Etycznego hakingu można się uczyć z książek, szkoleń organizowanych przez firmy zajmujące się bezpieczeństwem sieciowym, a nawet poprzez uczestniczenie w wykładach uniwersyteckich (kilkuletnie kursy zakończone dyplomem). Tacy wyspecjalizowani informatycy mają pomagać firmom i instytucjom w opracowywaniu skutecznych metod przed atakami z sieci. Od tradycyjnego, pejoratywnie kojarzącego się hakera różnią się oni wyznawanym kodeksem etycznym i wysokim stopniem odpowiedzialności za swoje działania sieciowe.

Teoria, choć brzmi przekonywająco, rozbija się o rzeczywiste problemy. Jak w każdej walce zła z dobrem, to ostatnie musi trzymać się pewnych zasad, co często stawia ja na gorszej pozycji. Podobnie jest z etycznymi hakerami - przekonywali uczestnicy ubiegłotygodniowej konferencji Usenix (Boston, USA).

Każde działanie etycznego hakera, aby było skuteczne, musi być celne i szybkie. Podążanie za śladami włamań oznaczające w praktyce skanowanie sieci i komputerów osobistych w wielu przypadkach naraża "dobrego" hakera na poważne konsekwencje prawne. Dave Dittrich, starszy specjalista ds. bezpieczeństwa sieciowego i naukowiec na Uniwersytecie w Waszyngtonie, przedstawił swoją historię, która o mały włos nie zaprowadziła go przed oblicze Temidy.

Podczas swej wieloletniej pracy Dittrich próbował na wszelkie sposoby niwelować działania internetowych włamywaczy. Jednym z nich była próba przerwania ataków DDoS (Distributed Denial of Service). Po zlokalizowaniu jednego z kanadyjskich serwerów, na którym przechowywano złośliwe kody oraz logi z numerami IP komputerów "zombie", Dittrich włamał się do niego i ściągnął wszystkie dane. Według prawa postąpił nielegalnie, co zostałoby szybko ujawnione, ponieważ ekspert chciał poinformować wszystkich użytkowników przejętych komputerów, że ich maszyny są w rękach hakerów.

Dittrich przekonał jednak władze, że działał w dobrej sprawie i wszystko skończyło się dla niego pozytywnie. Ściągnięte dane dostarczyły mu także potężną dawkę wiedzy na temat działania złośliwych kodów. Nie zmienia to faktu, że jeśli chciałby postąpić zgodnie z prawem, to zbieranie wszystkich potrzebnych pozwoleń, według jego szacunków, zajęłoby ponad rok.

"W sytuacji, gdy ataki sieciowe przeprowadzane są bez przerwy, a nie do końca wiemy, jak one przebiegają, czas jest krytyczny. Wszyscy staramy się postępować słusznie, w zgodzie z własnym sumieniem i prawidłowo pojmowanym dobrem. Mamy swój kodeks etyczny i wierzę, że to on kieruje naszym postępowaniem." - przekonywał zebranych na Usenix Dave Dittrich.

W podobnym tonie wypowiedział się Jose Nazario z Arbor Networks, który w ostatnim czasie prowadził intensywne badania nad zagrożeniami ze strony sławnego "robaka" Conficker. "Obecnie jesteśmy zdani na łaskę prokuratorów, balansując często na granicy prawa." - dodał Nazario.

Aby wspomóc pracę etycznych hakerów, również w aspekcie prawnym, Vern Paxson, naukowiec z ICSI (International Computer Science Institute), zaproponował, aby stworzyć jednolity zapis kodeksu ściśle określającego pojęcie etyki w działaniach "dobrych" hakerów. Paxson powołał się na przykład Thorstena Holza, doktoranta na Uniwersytecie w Mannheim (Niemcy), który podczas swojej pracy naukowej zebrał ponad 33 GB wrażliwych danych od ok. 170 tys. użytkowników Sieci (śledził sieć botnetów, w których używano "keyloggerów").

Mimo, iż była to praca stricte uniwersytecka powstało pytanie (prawne i etyczne), co zrobić z posiadanymi informacjami. Dyskutowano z policją, prawnikami, naukowcami nad sposobem przekazania tej wiedzy ofiarom działań hakerów - z jednej strony samo poinformowanie ich byłoby rozsądnym rozwiązaniem, ale niewiele osób umiałoby sobie poradzić z likwidacją złośliwego oprogramowania, z drugiej zaś ingerencja w specjalistów w sieć pokrzywdzonych mogłaby narazić ich na problemy prawne oraz moralne dylematy.

Opracowanie jednolitego kodeksu norm etycznych dla "dobrych hakerów" wydaje się być koniecznością. Obecny na konferencji sędzia Aaron Burstein przestrzegł jednak, że żaden zapis nie ustrzeże specjalistów ds. bezpieczeństwa przed odpowiedzialnością karną za działania niezgodne z prawem. Kwestia jest trudna do rozwiązania, tym bardziej, że jak przekonywali uczestnicy Usenix "typowy policjant ma niewielką wiedzą na temat sieciowych zagrożeń."