Khalil Shreateh je po mnenju Facebooka, ko je objavil sporočilo na Zuckerbergovem osebnem računu, kršil pravila uporabe in nepooblaščeno »vdrl« v sistem, zato do nagrade ni bil upravičen. V igri ni bilo veliko denarja, običajna nagrada znaša 500 dolarjev, kar pa je za nezaposlenega Palestinca, ki živi na Zahodnem bregu, pravo bogastvo. Njegova zgodba je zaokrožila po spletu. Po pravilih je Facebook obvestil o hrošču, tam so mu ves čas govorili, da hrošča ni, zato je moral njegov obstoj dokazati. In ga je! S tem pa je storil kriminalno dejanje oziroma nekaj, kar se v najboljšem primeru uvršča v sivo področje delovanja varnostnih raziskovalcev. Več simpatije do njega je pokazala spletna skupnost. Varnostni raziskovalci so sprožili kampanjo zbiranja denarja zanj in zbrali več kot šest tisoč dolarjev oziroma več, kot je pričakoval, da bo dobil od Facebooka. Tudi to je še vedno manj, kot bi dobil, če bi svoje odkritje prodal na spletnem črnem trgu.
Podoben je tudi primer 27-letnega Andrewa Auernheimerja, znanega pod hekerskim imenom Weev, ki je bil na začetku tega leta obsojen na tri leta in pet mesecev zapora, zato ker je opozoril na varnostno luknjo v sistemu ameriškega operaterja AT&T. Postal je zvezda med varnostnimi raziskovalci, saj je ameriško pravosodje raztegnilo razumevanje zakonodaje do skrajnih meja, da so ga lahko spravili v zaporo. In tako javnosti dali jasno sporočilo, kako bodo sodišča obravnavala »hekerje«. Kaj je naredil? Nič posebnega. Sistem tega operaterja je bil tako slabo varovan, da je Andrew skupaj s sostorilcem na enostaven način, brez vdora v sistem, v pravem razumevanju tega dejanja zbral poštne naslove dobrih 120 tisoč uporabnikov iPadov. O svojem podvigu sta obvestila novinarje in tako želela opozoriti na varnostno pomanjkljivost. Na sodišču sta trdila, da nista imela namena zlorabljati pridobljenih podatkov, vendar jima porota ni verjela.
Primera kažeta na težave, s katerim se spoprijemajo tako imenovani etični hekerji. Posamezniki, ki v sisteme ne vdirajo zaradi lastnih koristi ali zabave, temveč zato, da bi pokazali na napake in pomagali izboljšati varnost. Težav pa nimajo vsi. Jim Stickley (jimstickley.com) se ne boji, da ne bi dobil nagrade oziroma da bi pristal v zaporu. Preoblečen v vzdrževalca, davčnega ali zdravstvenega inšpektorja vstopi v banko, na lokalno omrežje namesti napravo za prisluškovanje prometu (network sniffer) ter s prenosnikom v bližnjem parkiranem kombiju krade občutljive podatke. Osebne podatke, ki mu omogočijo, da prevzame identiteto strank banke, s tem pa dobi moč, da počne, kar želi, tudi krade denar z bančnih računov. Njegovo delo je zakonito. Podjetja ga najamejo, mu plačajo, da preverja varnost informacijskih sistemom in odkriva varnostne pomanjkljivosti, preden jih odkrijejo spletni kriminalci. Varnostni raziskovalci, če imajo dovoljenje za svoje početje od »žrtve« napada, delujejo zakonito, če pa ga nimajo, potem se najmanj gibljejo v sivem področju.
Zakoni, ki opredeljujejo računalniško kriminaliteto, so namenoma napisani tako, da je njihova interpretacija (razumevanje) široka: »Prepovedan je dostop do računalnika (sistema) brez izrecnega dovoljenja.« Bolj široka verjetno ne bi mogla biti. Pravosodje širino zagovarja kot edini način, da se lahko hitro odzove na hitro spreminjanje metod in orodij hekerskih napadov. Kaznivi niso le napadi, temveč tudi razvoj in prodaja hekerskih orodij (programov). Drugače povedano, pred zakonom sta (skoraj) enako kriva tako napadalec, ki je vdrl v sistem, kot programer, ki mu je napisal in prodal orodje. To je tako, kot če bi bil zreški Unior kaznovan za vdor v objekt, ker je za tatu razvil, izdelal in mu prodal klešče, s katerimi je ta prerezal verigo. Zadeva je še bolj nerazumljiva. Enaka hekerska orodja (in naprave) uporabljajo varnostni strokovnjaki, ki v sisteme vdirajo z dovoljenjem. Gre torej le za to, kdo orodje uporabi; in če ga spletni napadalec, koliko škode je naredil. Dovolj, da se zganejo represivni organi.
Smešno, a v digitalnem svetu je takšno razmišljanje pravilo, kljub dejstvu, da je mnogo programske opreme na meji. Programe za beleženje pritiskov na tipkovnico (na primer Free Keylogger) uporabljajo starši, da nadzirajo početje otrok na računalniku in ga tako ščitijo pred spletnimi nevarnostmi, ali ljudje, ki vohunijo za svojim partnerjem. Če je zadnje nemoralno, zagotovo ni nezakonito. Ta isti program, katerega nameščenost na računalniku neuki uporabnik le s težavo opazi, pa je uporaben tudi za krajo gesel. Takšnih dvoumnih programov je še veliko in verjetno je absurdno pričakovati, da bodo avtorji krivi za zlorabe oziroma da bo kriminalizirana celotna računalniška industrija. Ščitijo se tako, da nekje na veliko napišejo, da je zloraba prepovedana, vendar to »uporabnikov«, ki jih želijo uporabiti v nedovoljene namene, ne ustavi.
Spletni kriminal se ne ozira na meje, zato tudi pregon ne more biti uspešen, če represivni organi delujejo le znotraj svojih držav. Zadnja leta je postalo očitno, da pisci kod, ki so bile prepoznane kot škodljive, ne morejo računati na to, da se jim ne bo treba zagovarjati v tujini. Prednjačijo zahteve Američanov po predaji osumljenih hekerjev. Rus Dmitrij Skljarov je bil leta 2001 povabljen na ameriško hekersko konferenco, kjer je predaval o tem, kako obiti Adobov sistem varovanja digitalnih vsebin, kar tisti čas v Rusiji ni bilo prepovedano. Preden se je vkrcal na letalo in odletel domov, ga je aretirala ameriška policija zaradi suma kršenja zakona o varovanju intelektualne lastnine. Domov se je vrnil po petih mesecih, pa še to šele, ko je obljubil, da bo pričal proti podjetju, v katerem je bil zaposlen. Primer zahteve po izročitvi osumljenca Američanom poznamo tudi v Sloveniji. Ameriški FBI je pred leti ugotovil, da je škodljivo kodo Mariposa, ki se je razširila na dvanajst milijonov računalnikov in kradla podatke o kreditnih karticah, napisal Mariborčan Matjaž Škorjanc, znan pod vzdevkom Iserdo. Američani so zahtevali izročitev, Slovenija jim ni ugodila, namesto tega pa proces proti njemu na slovenskem sodišču še vedno traja. Obtožnica ga bremeni izdelave programa za vdor v informacijski sistem in pranje denarja velike vrednosti. Mu pa je sodišče spomladi odpravilo pripor, v katerem je preživel leto in pol.
Za težave, ki jih imajo varnostni raziskovalci, tu so mišljeni tisti z belimi klobuki (white hat), so vsaj delno krivi tudi sami, ker se spuščajo v siva področja. Pri svojem delu, ko na naročnikovo zahtevo preverjajo varnost njegovega sistema, potrebujejo orodja, ki jih vsaj delno napišejo tudi sami. Denar pa diši. Marsikateri od njih prodaja svoje delo na hekerskem črnem trgu oziroma dopoldne preverja sistem, popoldne pa se prelevi v hekerja črnih klobukov (black hat) in počne, kar počnejo ti. Vse izrazitejša je težava mešanja obeh krogov, še toliko bolj, ker so hekerji, ki danes delujejo kot etični hekerji (beli klobuki), kariero začeli in se obrti naučili kot hekerji črnih klobukov. Enkrat heker, vedno heker.
