Etyczny hacking nie zawsze był akceptowany jako zawód prawniczy. Był czas, gdy jakakolwiek forma włamania, niezależnie od jego celu, była traktowana jako czynność czysto przestępcza. W miarę jak technologia ewoluowała i stawała się coraz bardziej wszechobecna w naszym życiu, wzrastała także wiedza na temat hakowania i praw rządzących jego wykorzystaniem. Dla wielu czytelników tej książki są to pojęcia po prostu utracone w historii. Ważne jest jednak zrozumienie tej historii i uznanie ciężkiej pracy założycieli tej dziedziny, którzy umożliwili kontynuowanie tej kariery. Podajemy te informacje nie tylko po to, aby informować, ale także chronić zdolność profesjonalistów do etycznego stosowania swoich umiejętności hakerskich, aby mogli w dalszym ciągu czynić świat lepszym miejscem. Był czas, gdy korzystanie z komputerów regulowało mniej zasad, ponieważ umiejętności i wiedza prawodawców i organów ścigania pozostawały w tyle w obliczu szybkiej ewolucji systemów sieciowych. Hakerzy, którzy mogli atakować systemy z ciekawości lub nawet psot, odkryli jednak nowy świat możliwości. Nie każdy, kto pozwolił sobie na ciekawość, zrobił to bez szkody. Jednak wynikające z tego starcia z autorytetami, które nie były w stanie zrozumieć systemów, sprawiły, że wielu życzliwych, bystrych i inteligentnych hakerów zostało uznanych za przestępców przez większość światowych dostawców oprogramowania i rządów, niezależnie od ich intencji. Widzisz, ludzie boją się tego, czego nie rozumieją, a wielu zrozumie jedynie, że haker włamał się do systemu bez pozwolenia – nie dlatego, że nie miał zamiaru wyrządzić w ten sposób żadnej krzywdy. W 1986 roku Stany Zjednoczone przyjęły ustawę Computer Fraud and Abuse Act, aby wzmocnić istniejące przepisy dotyczące oszustw komputerowych. To wyraźnie zabraniało dostępu do systemów komputerowych bez autoryzacji lub powyżej autoryzacji i miało na celu ochronę krytycznych systemów rządowych. Wkrótce potem w 1988 r. wydano ustawę Digital Millennium Copyright Act. Uznawała ona za przestępstwo ataki na kontrolę dostępu lub zarządzanie prawami cyfrowymi (DRM). W czasach, gdy hakowanie komputerów było nie tylko źle rozumiane, ale wręcz budziło strach, środowisko, w którym pracowali badacze bezpieczeństwa, mogło być bardzo wrogie. Uprawnionym badaczom należącym do społeczności hakerów pozostała teraz obawa, że znalezienie luk w zabezpieczeniach i zgłoszenie ich może skutkować podjęciem kroków prawnych lub nawet karą więzienia, zgodnie z jednym lub obydwoma tymi aktami, biorąc pod uwagę argument, że kod jest chroniony prawami autorskimi, a zatem inżynieria wsteczna jest nielegalna, lub że nieuprawniony dostęp do jakiegokolwiek systemu (nie tylko systemów rządowych) musi być karalny. W niektórych miejscach nadal się to zdarza . Zwiększona presja na hakerów, aby odróżniali się od przestępców, skłoniła wielu badaczy do zdefiniowania dla siebie zestawu zasad etycznych, który nie może budzić żadnych wątpliwości prawnych, podczas gdy inni kwestionowali odstraszający wpływ prawa i ogólną reakcję na badania nad bezpieczeństwem. Osoby z pierwszego obozu stały się znane jako „hakerzy białych kapeluszy” i decydowali się omawiać znane słabości z minimalną możliwą ilością szczegółów, aby spróbować naprawić sytuację. Hakerzy ci postanowili również wystrzegać się technik, które mogą wyrządzić szkody podczas prowadzonych przez nich badań, i wykonywać wyłącznie działania wymagające pełnego pozwolenia. To spowodowało, że resztę uznano za „hakerów w czarnych kapeluszach” dla każdego, kto mógłby kwestionować dobroć prawa. Jednak wyłoniła się trzecia grupa. Hakerzy, którzy nie chcieli wyrządzać krzywdy, ale polepszyć sytuację, byli sfrustrowani niemożnością wprowadzenia pozytywnych zmian w obliczu tych ograniczeń. Gdzie były przepisy nakładające na producentów i dostawców oprogramowania odpowiedzialność za decyzje dotyczące bezpieczeństwa, które miały negatywny wpływ na konsumentów? Odkrywanie luk nie ustało; został po prostu zepchnięty pod ziemię, podczas gdy techniki białych kapeluszy nadal były utrudnione w tym, co udało im się odkryć, ze względu na prawne ograniczenia ich metod. W przypadku pewnej podgrupy hakerów nie chodziło wyłącznie o przestrzeganie zasad, ale nie chodziło też o osobiste korzyści ani wyrządzenie szkody. Wyrażenie „hakowanie w szarym kapeluszu” zostało po raz pierwszy użyte przez Peitera „Mudge” Zatko w 1997 r. podczas pierwszego postępowania w sprawie Black Hat1, kiedy ogłosił, że rozpocznie współpracę z firmą Microsoft w celu usunięcia luk w zabezpieczeniach.2 W tym samym wydarzeniu jego kolega haker z grupy hakerskiej L0pht, Weld Pond, ujął to najlepiej: „Po pierwsze, bycie szarym nie oznacza angażowania się w jakąkolwiek działalność przestępczą ani jej tolerowania. Z pewnością nie. Każdy człowiek jest odpowiedzialny za swoje czyny. Bycie szarym oznacza, że uznajesz, że świat nie jest czarny ani biały.”3 Później, w 1999 r., L0pht użył tego terminu w artykule4. (Nawiasem mówiąc, kiedy po raz pierwszy zdecydowaliśmy się napisać Grey Hat Hacking, zaczęliśmy od użycia wyrażenie „szary kapelusz” (pisane przez e), ale od wydawcy dowiedział się, że „szary” jest bardziej powszechną pisownią w Wielkiej Brytanii, dlatego zdecydowano się użyć zamiast niego słowa „szary”, które jest częściej używane w Wielkiej Brytanii USA.) L0pht i inni pionierzy w tej dziedzinie wykorzystali swoją wiedzę do edukowania autorytetów, w tym do składania zeznań przed Kongresem. Ta edukacja pomogła zmienić podejście do hakerów i badań nad bezpieczeństwem, dzięki czemu dzisiejsi prawowici praktycy mogą prowadzić prace poprawiające bezpieczeństwo komputerów, bez obawy przed ściganiem z powodu braku zrozumienia. Jest to jednak delikatna równowaga i walka o utrzymanie tej równowagi toczy się z każdą nową sprawą, każdą nową technologią i każdym nowym hakerem.