KÖTÜ amaçlı hackerların (kırıcıların), yani siyah şapkalı hackerların kullandıkları teknik ve yöntemleri bilen ve hackerların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, bazen yasaları da ihlal edebilen fakat genelde hukuk kuralları çerçevesinde iş yapan, uzman etik standartlarını ihlal etmeyen bilgisayar uzmanlarıdır.
Gri şapkalı korsan genellikle yasaları ya da yaygın etik standartları ihlal eder ancak bir siyah şapkalı korsan kadar kötü niyetli değildir.
Beyaz şapkalı bir korsan bir güvenlik açığını tespit ettiğinde bunu sadece izne bağlı olarak kullanır ve gerekli düzeltme yapılıncaya kadar başkalarını bundan haberdar etmez. Siyah şapkalı bir korsan ise aksine, bulduğu bir güvenlik açığını yasa dışı olarak kullanır ya da başkalarına bunu nasıl yapabilecekleri konusunda bilgi verir. Gri şapkalı bir korsan bulduğu bir güvenlik açığını ne yasa dışı olarak kullanır ne de başkalarına bunu nasıl yapabilecekleri konusunda bilgi verir.
Gri şapkalı korsanlar, internetin iş yapmak için güvenli olmadığını ileri sürerek interneti hem kişiler hem de kurumlar için daha güvenli hale getirme görevini kendi üstlerine alırlar. Haklı olduklarını dünyaya kanıtlamak için de internet sitelerine ve ağlara izinsiz giriş yapıp kaosa neden olurlar. Bir gri şapkalı korsan, genellikle bu saldırılarının amacının zarar vermek olmadığını söyler. Bazen, mahremiyete ve diğer sayısız yasaya önem vermeksizin sadece üst düzey bir sisteme izinsiz girmenin nasıl bir şey olduğunu merak eder.
Gri şapkalı korsanlar çoğunlukla şirketlere değerli bilgiler sunarlar. Yine de, beyaz şapkalı korsanlar topluluğu ve siber dünyanın büyük bir kısmı, kullandıkları yöntemlerinin etik olmadığı düşüncesindedir. Gri şapkalı bilgisayar korsanlığı, kurumlardan sistemlerine giriş için izin alınmamasından ötürü yasa dışıdır.
Gri şapkalı bilgisayar korsanları, siyah şapkalılarla beyaz şapkalılar arasında bir yerdedir. Gri şapkalı korsanlar, hem siyah şapkalıların hem de beyaz şapkalıların aktivitelerinin bir karışımını sergilerler. Bir gri şapkalı korsan sistemlerdeki zayıf noktaları genellikle sahibinin izni veya bilgisi olmadan arar. Eğer sorun bulursa bunları sistemin sahibine rapor eder ve bazen düzeltmek için küçük bir ücret talep eder.
Bazı gri şapkalı korsanlar, internet sitelerine saldırılar düzenleyerek ya da ağlarına izinsiz girerek şirketlere iyilik yaptıklarına inanmaktan hoşlanır. Yine de bazı şirket sahipleri nadiren de olsa işletmelerinin bilgi altyapısına yapılan bu yetkisiz akınları hoş karşılar.
Bir gri şapkalı korsanın asıl niyeti, çoğunlukla becerilerini göstermek ve tanınmaktır, hatta siber güvenlik alanına katkıları nedeniyle kendisine saygı duyulmasını bile bekleyebilir.
Gri şapkalı korsanlar nasıl çalışır?
Gri şapkalı bir korsan bir sisteme ya da ağa yasa dışı şekilde başarıyla erişim kazandıktan sonra, sistem yöneticisine kendilerinin ya da bir arkadaşlarının sorunu çözmesi için işe alınmasını önerebilir. Ancak bu uygulama, işletmelerin kovuşturma için eskiye göre daha istekli olması nedeniyle azalmıştır.
Bazı şirketler, gri şapkalı bilgisayar korsanlarını bulgularını rapor etmeye teşvik etmek için ödül programlarına başvurur. Bu durumda kuruluşlar, bir bilgisayar korsanının bulacağı güvenlik açıklarını kendi çıkarları için kullanması durumunda ortaya çıkabilecek daha büyük risklerden kaçınmak için bir ödül sunmayı tercih etmiş olur. Ancak senaryo zaman böyle işlemez. Bu yüzden şirketin iznini almak, bir korsanın yasalara uymayı garanti etmesinin tek yoludur.
Bazen, kuruluşlar hemen cevap vermezse veya talebi olumsuz karşılarsa, gri şapkalı bilgisayar korsanları siyah şapkalı olmayı seçerek güvenlik açığını internette yayınlayabilir ve hatta bundan kendileri maddi çıkar sağlamaya çalışabilir.
Gri şapkalı korsanlar ve beyaz şapkalı korsanlar arasındaki farklar
Gri şapkalı korsanlarla beyaz şapkalı korsanlar arasındaki en büyük fark, bir kuruluş gri şapkalı bir korsanın talebini reddettiğinde ortaya çıkar, çünkü bilgisayar korsanı herhangi bir etik değere ya da iş sözleşmesine bağlı değildir. Bunun yerine, açıklardan kendisi faydalanmayı veya diğer bilgisayar korsanlarının kullanması için bilgiyi çevrimiçi olarak paylaşmayı seçebilir.
Gri şapkalı korsan örneği
Sıkça verilen bir gri şapkalı bilgisayar korsanlığı örneği Ağustos 2013’te gerçekleşti. İşsiz bir bilgisayar güvenliği araştırmacısı olan Khalil Shareeh, Mark Zuckerberg’in Facebook sayfasını ele geçirdi. Bunu yapmaktaki motivasyonu, bir kişinin herhangi bir kullanıcının sayfasında ondan izinsiz gönderi yapmasını mümkün kılan bir açığın düzeltilmesi için baskı yapmaktı. Bu hata konusunda Facebook’u uyarmış ancak Facebook tarafından böyle bir hata olmadığı cevabını almıştı. Bu olaydan sonra Facebook, profesyonel spam gönderen kişilerin ellerinde güçlü bir silaha dönüşebilecek bu güvenlik açığını düzeltti. Shreateh, politikayı ihlal ettiği için Facebook’un beyaz şapka programı tarafından ödüllendirilmedi.
