Ethical hacking klinkt spannend. Je breekt in, je meldt het, het bedrijf bedankt je, de wereld is veiliger. In werkelijkheid is het een onbetaalde bezigheid in een juridisch grijs gebied, waar je meer risico loopt dan waardering krijgt. Dit zijn de uitdagingen waar niemand het over heeft.
1. Je kunt worden vervolgd voor het goede doen
In Nederland is er geen wettelijke safe harbor voor security researchers. Artikel 138ab van het Wetboek van Strafrecht (computervredebreuk) maakt geen onderscheid tussen een crimineel en een onderzoeker die binnen CVD-kaders werkt. Het Openbaar Ministerie kan ambtshalve vervolgen, zelfs als het bedrijf geen aangifte doet en expliciet aangeeft geen vervolging te willen.
De NCSC-leidraad biedt richtlijnen, maar is geen wet. Een officier van justitie is er niet aan gebonden. Je kunt alles goed doen en alsnog strafrechtelijk vervolgd worden.
2. De scope wordt achteraf bepaald
Je vindt een kwetsbaarheid via een publiek toegankelijke API. Het bedrijf zegt achteraf: "dat viel buiten scope." Maar er was geen scope gedefinieerd, of de scope was vaag geformuleerd: "onze systemen." Is de API van hun payment provider dan wel of niet hun systeem? Is de native library in hun APK wel of niet onderdeel van de app?
Scope-discussies worden zelden in het voordeel van de onderzoeker beslecht. Het bedrijf bepaalt achteraf de spelregels en past ze toe op jouw eerdere handelen.
3. Platforms keuren je werk af zonder context
Platforms zoals Zerocopter, HackerOne en Bugcrowd zitten tussen jou en het bedrijf. Een triager (vaak geen specialist in het specifieke domein) beoordeelt je rapport. Als die het afwijst, heb je geen direct contact met het bedrijf om het toe te lichten. Rapporten worden afgewezen omdat de triager het aanvalspad niet begrijpt, of omdat de PoC niet past in hun verwachtingspatroon.
Je hebt geen beroepsmogelijkheid. De afwijzing is definitief.
4. "Dat wisten we al"
Een van de meest frustrerende reacties: je meldt een kwetsbaarheid en het bedrijf zegt "we waren hier al van op de hoogte." Geen bewijs, geen tijdlijn van wanneer ze het ontdekten, geen verwijzing naar een interne ticket. Het is een makkelijke manier om een melding te sluiten zonder iets te doen.
Jij kunt het niet verifiëren. Misschien wisten ze het echt. Misschien ook niet. Het effect is hetzelfde: jouw werk wordt onzichtbaar.
5. Je tools zijn dezelfde als die van criminelen
Frida, Burp Suite, mitmproxy, jadx, Ghidra: de tools die je gebruikt voor legitiem security research zijn dezelfde die worden gebruikt voor cybercrime. Het bezit en gebruik is legaal, maar in een juridische context kunnen ze worden geframed als "hackertools."
Er is geen juridisch onderscheid tussen een schroevendraaier waarmee je een slot repareert en een schroevendraaier waarmee je inbreekt. De intentie bepaalt het verschil, maar intentie is subjectief en wordt achteraf beoordeeld door iemand anders.
6. Je bewijs is per definitie ook misbruik
Om te bewijzen dat een API key werkt, moet je hem gebruiken. Om te bewijzen dat je orders kunt aanmaken, moet je orders aanmaken. Om te bewijzen dat data lekt, moet je die data opvragen.
Elke Proof of Concept is per definitie een handeling die ook als misbruik kan worden uitgelegd. De lijn tussen "bewijs" en "overtreding" is subjectief en wordt achteraf getrokken door iemand die er niet bij was. Doe je te weinig, dan wordt je rapport afgewezen wegens "geen bewezen impact." Doe je te veel, dan ben je te ver gegaan.
7. Bedrijven reageren niet, en je kunt niets doen
Veel organisaties beloven reactie binnen 5 tot 20 werkdagen. In de praktijk is stilte de norm. Je stuurt een herinnering: geen reactie. Nog een: geen reactie. Na 90 dagen is de CVD-termijn verlopen en de kwetsbaarheid nog steeds open.
Je hebt geen formeel escalatiepad. Het NCSC coördineert maar dwingt niets af. Publiceren is een optie, maar een juridisch grijs gebied. Dus wacht je. En de kwetsbaarheid blijft open.
8. Je werkgever mag het niet weten
Veel onderzoekers doen CVD naast hun reguliere baan. Als je werkgever ontdekt dat je "in systemen van andere bedrijven" hebt rondgekeken (ook al is het legaal en ethisch), kan dat consequenties hebben. "We willen niet geassocieerd worden met hacken." Contractueel kan het zelfs in strijd zijn met nevenactiviteitenclausules.
Vandaar dat veel onderzoekers anoniem werken. Ze hebben niets te verbergen; openheid kost ze gewoon meer dan het oplevert.
9. Niemand betaalt je, iedereen profiteert
Je investeert uren tot dagen in onderzoek. Je schrijft een gedetailleerd rapport met PoC, impactanalyse en aanbevelingen. Het bedrijf ontvangt gratis een professioneel security assessment dat hen tienduizenden euro's aan consultancy bespaart.
Jij krijgt: niets. Misschien een bedankmail. Misschien een vermelding op een pagina die niemand leest. Misschien niet eens een reactie. Het hele systeem draait op goodwill, en die goodwill is eindig.
10. Het vreet aan je als er niets mee gebeurt
Je vindt een kwetsbaarheid die honderdduizend mensen raakt. Je meldt het verantwoord. Er gebeurt niets. Weken gaan voorbij, maanden. De kwetsbaarheid staat nog open. Je weet dat elke dag dat het niet gefixt is een dag is waarop iemand het kan misbruiken.
Publiceren? Dan ben je de slechterik. Naar de pers? Dan ben je de klokkenluider die het vertrouwen heeft geschonden. Je kunt niets doen behalve wachten en hopen dat iemand binnen dat bedrijf je mail leest en er iets mee doet.
Dat is de werkelijkheid van ethical hacking. Het stille ongemak van weten dat je iets gevonden hebt, het gemeld hebt, en dat het niet genoeg was.
← Terug naar SecureScope