Onlangs is Tweakers overgestapt op een standaard singlepageweergave voor achtergrondartikelen en reviews. Voor dit artikel kan juist die multipageweergave het handigst zijn.
Wat maakt een hacker 'ethisch'? Securityonderzoekers die hacken voor hun beroep hebben over het algemeen als uitgangspunt de maatschappij helpen. Ze willen bedrijven of organisaties helpen beschermen, in plaats van misbruik maken van hun vaardigheden. Tegelijkertijd zijn er een hoop randgevallen waarbij de moraliteit en legaliteit van een hack betwistbaar zijn en je je kunt afvragen of de onderzoeker zijn boekje te buiten ging.
Ethisch hackers maken allemaal hun eigen afwegingen, waarvan sommige online tot veel discussie leiden. Denk bijvoorbeeld aan een hacker die uit eigen beweging inbreekt bij een phishingbende, oproept om losgeld te betalen aan een hackersgroep of de online accounts van een vermist persoon hackt om meer te weten te komen over de vermissing.
Om te weten hoe ethisch hackers te werk gaan en waar ze voor zichzelf hun grenzen hebben gelegd, heeft Tweakers tien stellingen voorgelegd aan acht ethisch hackers. Deze zijn deels gebaseerd op enkele actuele, controversiële casussen. Per pagina behandelen we een stelling en lichten we enkele reacties uit van de volgende hackers:
Wesley Neelen
Wouter van Dongen
Max van der Horst
Jeroen van der Ham-de Vos
Rory Breuk
Inti De Ceukelaire
Sijmen Ruwhof
Floor Terra
Wesley heeft meer dan 20 jaar ervaring als pentester binnen verschillende organisaties. Hij heeft samen met enkele collega's een eigen bedrijf opgericht, Zolder.io, waarvoor hij de beveiliging van IT-infrastructuren, systemen en tooling onderzoekt.
Wouter is een verwoede bugzoeker. Hij verwierf bekendheid door de beveiliging van Nederlandse en Belgische banken meermaals op de proef te stellen en wist zich binnen één jaar te vestigen in de all-time top 10 van bugbountyplatform Bugcrowd. Ook treedt hij regelmatig in de media op als expert, bijvoorbeeld in het programma Klaas kan Alles, waarin hij digitaal inbrak bij de gemeente Velsen.
Max is promovendus aan de TU Delft en beveiligingsonderzoeker bij het Dutch Institute for Vulnerability Disclosure (DIVD). Daar werkt hij aan onderzoek naar digitale kwetsbaarheden en helpt hij actief met het opsporen en melden ervan. In totaal droeg hij bij aan meer dan vijftig internationale onderzoeken en meldde hij duizenden kwetsbaarheden.
Jeroen is associate professor cybersecurity op de Universiteit Twente. Hij doet onderzoek naar vulnerability management en disclosure en heeft bijgedragen aan talloze internationale toonaangevende beleidsstukken over vulnerability disclosure en de Richtlijn Coordinated Vulnerability Disclosure van NCSC.
Rory is chief information security officer bij team.blue, het fusiebedrijf van TransIP en Combell. Hij heeft projecten gedaan voor onder meer overheidsorganisaties, bedrijven uit de financiële sector en verzekeraars aan zowel de infrastructurele als softwarekant van informatiebeveiliging. Daarnaast heeft Rory onderzoek gedaan bij het NCSC naar aanvallen op overheidssystemen en hij schreef een plug-in voor Metasploit om via FireWire computers aan te vallen.
De Belgische securityexpert Inti weet regelmatig de media te halen met zijn stunts. Vooral zijn 'hack' van het Twitter-account van Donald Trump maakte veel furore, maar ook onder meer de infiltratie van de accounts van een vermist persoon en de kaping van het phishingpanel van een criminele bende maakte een hoop discussie los. Tweakers sprak Inti in 2022 al eens uitgebreid.
Als whitehathacker met 24 jaar ervaring heeft Sijmen onder meer aan de bel getrokken over de beveiliging van de dealerportals van KPN en de beveiliging van de telsoftware voor Nederlandse verkiezingen. Onlangs probeerde hij tevergeefs het losgeld van het Odido-datalek bij elkaar te crowdfunden.
Floor is privacyadviseur bij onderzoeksbureau Privacy Company. Hij doet onder meer onderzoek naar de implementatie van de AVG en cookiewalls voor organisaties als de overheid. Zo waarschuwde hij in 2023 dat verschillende Nederlandse politieke partijen illegale trackingcookies plaatsten op hun websites.
Het is gerechtvaardigd om criminelen uit eigen beweging te hacken om phishingacties te verijdelen
Onlangs infiltreerde securityonderzoeker Inti De Ceukelaire de systemen van een hackgroep. Deze groep stuurde phishingmails naar klanten van de Belgische bank Argenta. De Ceukelaire wist toegang te krijgen tot het controlepaneel van de cybercriminelen en besloot de lopende phishingactie te blokkeren. Door het phishingpaneel verder te analyseren, kon hij de daders opsporen en zes andere phishingacties blokkeren.
In de reacties op het artikel op Tweakers vroegen sommige lezers zich af in hoeverre het juridisch en ethisch is toegestaan voor beveiligingsonderzoekers om eigenhandig in te breken in de systemen van anderen. De Ceukelaire heeft voorafgaand aan zijn actie immers niet de autoriteiten op de hoogte gebracht en speelde dus voor eigen rechter. Vinden ethisch hackers het verdedigbaar om criminelen uit eigen beweging te hacken, als ze daarmee kunnen voorkomen dat die meer slachtoffers phishen?
Phishingpaneel van de hackersgroep
Inti De Ceukelaire
"Ik heb de discussie onder het artikel gelezen en kan me vinden in zowel de voor- als tegenargumenten. Precies daarom heb ik bij mijn blogbericht een disclaimer geplaatst: dit soort acties kan de wet overtreden en zelfs lopende onderzoeken dwarsbomen. Toch heb ik besloten in te grijpen. De schaal van de phishingpanelen van deze groep was enorm en in België ontbreekt het momenteel aan middelen en machtigingen voor een structurele, repressieve aanpak. Ik heb voorzorgsmaatregelen genomen om negatieve gevolgen te beperken, maar de risico's bewust afgewogen en aanvaard."
"Ethisch hackers staan absoluut niet boven de wet. Wel vind ik dat burgers zelf de afweging mogen maken om risico's te nemen als zij menen daarmee het algemeen belang te dienen, mits ze bereid zijn de consequenties te dragen als het misgaat."
"Achteraf bekeken ben ik ook van mening dat mijn actie meer goeds dan slechts heeft teweeggebracht. Ik heb in de afgelopen weken heel wat contact gehad met politiediensten en beleidsmakers om dit probleem samen aan te pakken. Ik denk niet dat dit binnen de huidige context was gelukt zonder de problematiek aan te kaarten."
Wouter van Dongen
"Als algemene regel vind ik dat geen wenselijke norm. Tegelijk moet ik eerlijk zijn: ik heb zelf bijvoorbeeld ook grootschalige cryptoscams geïnfiltreerd, samen met de VRT en AvroTros. Als je ziet hoeveel slachtoffers hiermee worden gemaakt en hoe beperkt de capaciteit van opsporingsdiensten is, vind ik dat de maatschappelijke winst in zulke gevallen zwaarder kan wegen, zolang het proportioneel gebeurt en de informatie daarna wordt overgedragen aan de politie."
Wesley Neelen
"Dit is natuurlijk grijs gebied. Officieel mag dit niet. Al hangt het denk ik ook wel af van hoe complex je hack is. Zomaar iemands computer hacken vind ik te ver gaan. Maar in een phishingpanel kijken dat je tijdens research tegenkomt, vind ik minder erg. Ik ben van mening dat je dit als ethisch hacker doet om de maatschappij te helpen, waardoor ik er minder moeite mee heb. Je gebruikt de gevonden data alleen voor researchdoeleinden en deelt dit waar nodig met instanties. Een politieagent zal hier overigens anders over denken."
Het is een slecht idee om ransomwarecriminelen losgeld te betalen
Losgeld betalen aan ransomwarecriminelen stimuleert deze criminelen om door te gaan met hun praktijken. Aan de andere kant zou je kunnen stellen dat sommige gegevens dermate gevoelig zijn, dat losgeld betalen om te voorkomen dat deze gegevens op straat belanden de minst slechte optie is.
Ethisch hacker Sijmen Ruwhof kreeg onlangs nog veel kritiek te verduren omdat hij een crowdfundingactie opzette waarmee hij de Odido-hackers wilde betalen, zodat ze zouden stoppen met het publiceren van de gestolen data van Odido-klanten. Nadat alle gegevens toch openbaar waren gemaakt, stortte Sijmen het opgehaalde bedrag terug. Hoe kijken ethisch hackers naar het dilemma van wel of geen losgeld betalen aan criminelen?
Sijmen Ruwhof
"Als uitgangspunt is het betalen van afpersgeld een slecht idee: het financiert criminaliteit, versterkt het verdienmodel en creëert precedentwerking richting toekomstige slachtoffers. Bovendien koop je geen zekerheid: data kan alsnog worden gepubliceerd of doorverkocht."
"Tegelijk is deze discussie in de praktijk minder principieel dan vaak wordt voorgesteld. In incidentresponsetrajecten worden dit soort beslissingen zelden genomen vanuit moraal, maar onder tijdsdruk en met incomplete informatie, waarbij operationele continuïteit, aansprakelijkheid en maatschappelijke impact samenkomen."
"Bij grootschalige data-afpersing verschuift de vraag daarom van principe naar proportionaliteit. Als betaling de kans op ernstige en langdurige schade voor grote groepen betrokkenen aantoonbaar verkleint, kan dat ondanks alle bezwaren een verdedigbare keuze zijn."
"De discussie wordt vaak te lineair gevoerd, terwijl de echte afweging in de indirecte effecten zit: welke prikkels creëer je voor toekomstige aanvallen en hoe verhouden die zich tot de directe schade die je nu voorkomt?"
"Niet de morele reflex, maar de vraag welke keuze de minste totale maatschappelijke schade veroorzaakt zou leidend moeten zijn."
Max van der Horst
"Op de langere termijn lijkt het een slecht idee om losgeld te betalen, aangezien je het verdienmodel in stand houdt. Dit is echter een uitspraak die vanuit moreel perspectief niet altijd standhoudt en zelfs kan leiden tot extremer gedrag van criminelen. Wat gebeurt er als er een ziekenhuis met ransomware wordt gegijzeld en dit levens in gevaar brengt? Zijn die patiënten minder waard dan de ransom?"
"Dit soort extremen lok je ook uit met een 'niet betalen'-houding, want de extremen zetten mensen verder onder druk om toch te betalen. Daarbij is er eigenlijk ook weinig ondersteuning voor bedrijven die geransomd worden (anders dan dure incident response). Met een beter systeem voor ondersteuning maken we het bedrijfseigenaren makkelijker om de juiste keuze te maken. Over het algemeen ben ik tegen betalingen aan ransomwarecriminelen, maar helaas is het dus niet altijd zo simpel."
Inti De Ceukelaire
"Eens, al heb ik wel begrip voor bedrijven die in het nauw gedreven toch betalen. Ik reken een bedrijf niet af op die specifieke keuze, maar kijk liever naar de context: hoe was de preventie op orde vóór de hack, hoe transparant is de communicatie en wat doet men om verdere schade te voorkomen? Ik zie een bedrag ter grootte van het losgeld liever naar betere beveiliging en slachtoffercompensatie gaan. Een totaalverbod op het betalen van losgeld zou op korte termijn veel pijn doen, maar is op de lange termijn mijns inziens wel de juiste beslissing."
Echt 'ethisch' hacken kan alleen als je instanties hackt die je hebben ingehuurd, anders is het gewoon inbreken
Online wordt veel gediscussieerd over de ethiek van ethisch hackers. Weinig mensen hebben er problemen mee als securityonderzoekers organisaties hacken waardoor ze zijn ingehuurd of waarbij ze in dienst zijn, maar hoe zit het als ze zonder toestemming bedrijven hacken? Sommige mensen vergelijken dit met het zomaar proberen in te breken in iemands huis. Hoe kijken ethisch hackers hier zelf naar?
Werkwijze van ethisch hackers – volgens sommigen dan. Foto: Getty Images/South_agency
Rory Breuk
"Of je een formele opdracht nodig hebt om ethisch te hacken, is naar mijn mening niet het belangrijkste. Wat telt is hoe je als hacker omgaat met een kwetsbaarheid die je vindt. Je moet zo ver gaan dat je voldoende bewijs hebt voor je bevinding, maar je moet bijvoorbeeld geen dingen stuk maken of onnodig veel data binnenhalen. Daarnaast is de manier van melden ook belangrijk: communiceer je open en eerlijk naar een instantie, eis je geld voordat je de bevinding deelt of maak je de bevindingen direct publiek?"
Sijmen Ruwhof
"Vanuit juridisch perspectief is deze stelling correct: zonder expliciete toestemming is er sprake van computervredebreuk. Toestemming vormt de primaire scheidslijn tussen geautoriseerd en ongeautoriseerd handelen."
"Ethisch gezien ligt dit genuanceerder. In de praktijk bestaat er een grijze zone waarin onderzoekers zonder mandaat kwetsbaarheden aantonen met als doel schade te voorkomen. Historisch heeft juist dat type onderzoek bijgedragen aan het blootleggen van structurele beveiligingsproblemen. De beoordeling van dergelijk handelen draait om proportionaliteit en subsidiariteit: was de inbreuk minimaal, noodzakelijk en doelgericht, en waren er geen minder ingrijpende alternatieven beschikbaar?"
"Tegelijk accepteert de sector impliciet dat deze grijze zone bestaat, maar niemand beschouwt die als wenselijk eindmodel. Zonder duidelijke kaders ontstaat juridische onzekerheid en risico op misbruik. In situaties waarin met minimale interactie een ernstig lek kan worden aangetoond zonder data-inzage, exfiltratie of verstoring, en dit vervolgens zorgvuldig wordt gemeld, kan dat ethisch verdedigbaar zijn. Maar juridisch blijft het risicovol. Toestemming blijft daarom de enige ondubbelzinnige basis voor zowel ethisch als rechtmatig handelen."
Max van der Horst
"Ethisch hacken kan ook zonder toestemming. Niet iedereen weet tenslotte dat ze kwetsbaar zijn of überhaupt toestemming moeten geven. Daarnaast gaat het ook niet alleen om hun eigen beveiliging, maar ook om de beveiliging van andere mensen die getroffen worden door compromittatie. De afweging ligt dus niet per se alleen bij 'toestemming', maar ook in de proportionaliteit van de manier waarop je iemands beveiliging test en de mogelijke schade die je ermee voorkomt. De regel in elk geval: de genezing kan nooit erger zijn dan de ziekte. Maak de situatie niet erger dan die al is en zorg dat je een groter gevolg voorkomt. Op die manier blijft hacken zonder toestemming verantwoord."
Responsible disclosure is de beste vorm van disclosure
Een veel gevoerde discussie rond hackers is hoe ze moeten omgaan met kwetsbaarheden die ze vinden. Moeten ze de hack publiceren en zo ja, kiezen ze er dan voor om te wachten met publiceren tot de organisatie de kwetsbaarheid heeft gedicht (responsible disclosure)? Dat klinkt het meest ethisch, maar critici vinden dat de organisatie dan geen reden heeft om het probleem tijdig aan te pakken.
Er zijn verschillende voorbeelden waarbij organisaties maanden na een melding de kwetsbaarheden nog niet hadden opgelost. Aan de andere kant zijn er situaties waarbij een bedrijf door een cybercrimineel werd gehackt, juist doordat een securityonderzoeker zonder overleg het bestaan van een bug wereldkundig had gemaakt. Vinden ethisch hackers responsible disclosure de beste vorm van disclosure?
Floor Terra
"Responsible Disclosure is een beetje een verouderde term. Ik gebruik liever coordinated vulnerability disclosure (cvd). Dat is wel mijn ideaal om na te streven. Cvd betekent dat de ontdekker van een kwetsbaarheid zoveel mogelijk fabrikanten en/of systeemeigenaren, waar dat redelijk mogelijk is, probeert te waarschuwen voor publicatie en ze redelijk de tijd geeft om maatregelen te nemen. Maar cvd betekent niet dat de leverancier van het systeem eenzijdig het tempo kan bepalen. Soms kan het voor iedereen beter zijn als er niet op de leverancier wordt gewacht met publicatie, bijvoorbeeld omdat een leverancier niet overlegt over de oplossing."
Wesley Neelen
"Ik ben eigenlijk niet zo fan van het disclosuredeel. Persoonlijk maak ik hier alleen gebruik van als organisaties gewoon té slecht reageren op een bevinding, wat ze helaas nog steeds heel vaak doen. Verder gewoon lekker melden bij de organisatie en voor je houden."
Rory Breuk
"Responsible disclosure zou zeker het uitgangspunt moeten zijn, maar er zijn situaties waarin instanties dermate slecht omgaan met een kwetsbaarheid, dat het bijvoorbeeld op een gegeven moment ethischer is om de getroffen instantie onder druk te zetten door full disclosure. Ik ben er zelf geen voorstander van, maar ik heb wel begrip voor dergelijke situaties."
Ethisch hackers moeten geen geheimhoudingsverklaringen tekenen over kwetsbaarheden
Als hackers in opdracht van een organisatie ergens inbreken of meedoen aan een bugbounty, wordt hen soms gevraagd om een geheimhoudingsverklaring (nda) te tekenen, zodat ze het bestaan van de kwetsbaarheid niet naar buiten mogen brengen. Zorgt zo'n nda er niet voor dat een lakse beveiliging onder het tapijt kan worden geveegd? Bovendien leren ethisch hackers van elkaars bevindingen, maar dat wordt door een nda ook in de kiem gesmoord. Wat vinden ethisch hackers van deze geheimhoudingsverklaringen?
Wesley Neelen
"Tijdens een pentest hebben wij altijd geheimhoudingsverklaringen. Daar lijkt mij niets mis mee. Een klant huurt je in. Jij helpt hem om dingen veiliger te maken. Bevindingen mogen niet publiek. Bij responsible disclosure zou ik dit niet zomaar doen. Je helpt ze gewoon vrijwillig en klaar."
Wouter van Dongen
"Ik vind dat ethisch hackers in principe geen geheimhoudingsverklaring moeten tekenen over kwetsbaarheden. In mijn ogen draagt een nda meestal niet bij aan verantwoord herstel. Vaak draait het voor organisaties vooral om controle over het verhaal en het beperken van reputatieschade."
Jeroen van der Ham-de Vos
"We zijn erbij gebaat als we zoveel mogelijk openheid geven over kwetsbaarheden, nadat ze zijn opgelost. Daarmee kunnen we leren van elkaars problemen, zoals ze in de luchtvaartindustrie ook doen na grote incidenten. Aan de andere kant zijn er zeker situaties denkbaar waarbij een geheimhoudingsverklaring wel van toepassing kan zijn, zoals bij problemen die om valide redenen nooit opgelost kunnen worden."
Sijmen Ruwhof
"Het onderscheid tussen werk in opdracht en onafhankelijk onderzoek is hier essentieel. Bij opdrachten is een nda standaard en gerechtvaardigd. In die context is het logisch dat bevindingen vertrouwelijk blijven, zodat kwetsbaarheden gecontroleerd kunnen worden gevonden en verholpen, zonder onnodige blootstelling van systemen of schade aan de reputatie van de organisatie. Bij onafhankelijk onderzoek ligt dit anders. Daar is het niet vanzelfsprekend dat een onderzoeker een nda accepteert en zijn de inhoud en reikwijdte bepalend."
"Sommige nda's faciliteren een gestructureerd remediationproces. Problematisch wordt het wanneer nda's worden ingezet om transparantie structureel te beperken, disclosure te blokkeren of reputatieschade te minimaliseren in plaats van risico's te beheersen. Dat soort constructies verschuiven de balans van risicobeperking naar risicoverhulling. Een selectieve benadering is daarom noodzakelijk bij onafhankelijk onderzoek. Nda's die tijdige en redelijke disclosure mogelijk maken zijn acceptabel; nda's die structureel transparantie beperken niet."
Veel ethisch hackers doen hun werk voor een groot deel voor de (media-)aandacht
Sommige ethisch hackers voeren opmerkelijke hacks uit die als voornaamste doel hebben om in de media te komen. Zo kwam Inti De Ceukelaire in het nieuws voor het 'hacken' van de Twitter-pagina van Donald Trump, hoewel hij eigenlijk alleen een verlopen domeinnaam registreerde die hij omleidde naar een YouTube-video. Het beeld kan daardoor ontstaan dat in de media komen een belangrijke drijfveer van ethisch hackers is. Is dat ook zo?
Inti De Ceukelaire
"Er is niets mis met media-aandacht, zolang het een hoger doel dient. De media zijn cruciaal om druk uit te oefenen op beleidsmakers en om klokkenluiders te beschermen. Bovendien informeert en inspireert het een breder publiek om het debat aan te gaan of zelf hacker te worden. Natuurlijk is die aandacht op persoonlijk vlak soms fijn en levert het wel eens een spreekopdracht op, maar persoonlijk gewin mag nooit de drijfveer zijn. Ik verwijs journalisten regelmatig door naar collega-hackers om andere stemmen en meningen een podium te geven. Zodra ik uit jaloezie zou handelen of mezelf ten koste van de waarheid (of anderen) zou profileren, is het tijd om te stoppen."
Jeroen van der Ham-de Vos
"Nee, cybersecurityonderzoekers doen dit omdat ze het leuk vinden, omdat ze houden van een uitdaging, omdat ze willen weten hoe iets écht werkt, omdat ze beveiliging van hun eigen gegevens belangrijk vinden, maar vooral omdat ze het internet een veilige plaats willen houden. Media-aandacht daarvoor kan helpen en sommige onderzoekers vinden dat fijn, maar er zijn er ook zat die dat niet fijn vinden. Net zoals de gemiddelde persoon."
Floor Terra
"Op zich niets mis met aandacht krijgen als je maatschappelijk nuttig bezig bent. Het is een beetje grijs gebied als je vanuit een commercieel (marketing) oogpunt organisaties gaat hacken. Het kan lastig zijn om maatschappelijk nut en commercieel belang te onderscheiden. Maar het is ook de verantwoordelijkheid van de pers om onderscheid te maken tussen marketing en nieuwswaardige kwetsbaarheden."
Bugbounty's verstoren samenwerkingen tussen ethisch hackers, omdat ze direct met elkaar concurreren om een beloning
Voor veel pentesters zijn bugbounty's een aantrekkelijke inkomstenbron. Daarbij biedt een organisatie geld als een beveiligingsonderzoeker een kwetsbaarheid als eerste meldt. Tegelijkertijd verhoogt dit de concurrentie tussen ethisch hackers. Informatie weggeven aan concurrenten betekent minder kans op een beloning. Verstoren bugbounty's daardoor niet de samenwerking tussen ethisch hackers?
Bugbountyplatforms als Bugcrowd houden ranglijsten bij met de productiefste bugopspoorders.
Sijmen Ruwhof
"Bugbountyprogramma's introduceren een marktmechanisme in securityonderzoek. Dat leidt onvermijdelijk tot competitie. Die competitie kan samenwerking verminderen, omdat onderzoekers parallel werken aan dezelfde targets en incentives gericht zijn op individuele beloning."
"Tegelijk verhoogt dit model snelheid en efficiëntie en geeft het organisaties toegang tot een wereldwijd ecosysteem van onderzoekers. De uitkomst wordt grotendeels bepaald door incentive design: hoe zijn beloningen gestructureerd, hoe wordt duplicatie behandeld en in hoeverre wordt samenwerking gefaciliteerd? Bugbounty's zijn daarmee geen intrinsiek goed of slecht model, maar een systeem waarvan de effecten sterk afhankelijk zijn van implementatie."
Jeroen van der Ham-de Vos
"Bugbountyprogramma's hebben een rol. Duidelijke afspraken rondom beloningen voor het vinden van kwetsbaarheden is voor een groep mensen fijn en die kunnen daarmee hun brood verdienen. Het geeft erkenning voor het werk van die onderzoekers en een eerlijke vergoeding. Geld vragen of ontvangen voor cvd-meldingen is een lastige kwestie en bugbounty's zijn een goede aanvulling voor dit ecosysteem. Het creëert allerlei andere lastige dynamieken, maar dat gaat zich vanzelf wel oplossen."
Floor Terra
"Ik denk dat commerciële pentesting en cvd-achtig hacken los van elkaar bekeken moeten worden en dat bugbounty's grotendeels aan de kant van commercieel pentesten beoordeeld moet worden. Het grootste probleem met bugbounty's in dat opzicht is volgens mij dat veel organisaties doen alsof bugbounty's een mechanisme zijn om cvd-meldingen af te handelen, terwijl de organisatie wel controle wil behouden. In dat opzicht zijn bugbounty's schadelijk voor cvd-principes. Als je bugbounty's ziet als gig economy pentesting (met de nodige nuances in die vergelijking) is er denk ik niet een verwachting van samenwerking en denk ik niet dat je dat als probleem zou moeten zien. Er zijn dan nog genoeg arbeidsrechtelijke zorgen, maar niet die uit de stelling."
Organisaties als DIVD moeten ethisch hackers strenger screenen om te voorkomen dat ze misbruik maken van hun positie
In 2023 werd een vrijwilliger van DIVD gearresteerd voor het hacken en afpersen van talloze bedrijven en organisaties en het bezit van miljoenen persoonsgegevens. Volgens de hackersstichting zijn er geen aanwijzingen dat hij misbruik had gemaakt van zijn toegang tot gevoelige informatie van DIVD. Toch roept dit de vraag op of organisaties als DIVD hun onderzoekers strenger moeten screenen om zulke situaties in de toekomst te voorkomen.
Max van der Horst
"Dit is een moeilijke kwestie waar het eerste logische antwoord een volle 'ja' is. Het is belangrijk om hier in overweging te nemen dat dit soort screenings niet alleszeggend zijn en alleen werken als mensen in het verleden gepakt zijn. Daarnaast verdienen mensen ook tweede kansen en kan het best zijn dat zij van hun fout geleerd hebben, terwijl iemand die nog niet gepakt is dat niet heeft. Dus strenger screenen: zeker weten, maar alleen om te informeren. Er moet alsnog een case-by-casebeslissing worden genomen en het is ook geen allesomvattende oplossing die het probleem uit het voorbeeld in z'n geheel voorkomt."
Floor Terra
"Ik denk dat screening van een niveau dat nodig is om dergelijke incidenten te voorkomen onhaalbaar is. Ik denk dat je het eerder moet zoeken bij beperken van impact door toegang tot gevoelige gegevens af te schermen, maar ik denk dat de (strafrechtelijke) afhandeling van het betreffende incident ook best effectief is geweest. Ik denk ook dat het belangrijk is om mensen die ook interesses hebben aan de verkeerde kant van de wet een uitlaatklep te geven om maatschappelijk nuttig bezig te zijn. Het is ontzettend lastig in de praktijk, maar ik geloof niet dat DIVD wat te verwijten valt en dat voorafgaande screening niet de effectiefste maatregel is om aan te denken."
Inti De Ceukelaire
"Ik denk niet dat vrijwilligersorganisaties zoals DIVD de middelen hebben om ieders privéleven te controleren en dat is misschien maar goed ook. Elk bedrijf of initiatief loopt het risico op een rotte appel, maar dat betekent niet dat de hele stam ziek is. Mijns inziens was er disproportioneel veel aandacht voor het feit dat deze specifieke verdachte actief was bij DIVD. DIVD is juist heel helder over hun kernwaarden en wat ze absoluut niet tolereren. Het zijn dit soort organisaties die hackers op het rechte pad houden; het is alleen erg spijtig dat dit bij deze enkeling niet is gelukt."
Het is gerechtvaardigd om een vermiste persoon te hacken in een poging om meer informatie over de vermissing te vinden
In 2024 brak beveiligingsonderzoeker Inti De Ceukelaire in bij de online accounts van zijn vermiste neef Dries. Hij hoopte hiermee onder meer locatiegegevens te verzamelen om hem te kunnen opsporen. De verzamelde informatie heeft niet voor een doorbraak gezorgd. Even later werd het lichaam van Dries gevonden. In hoeverre vinden ethisch hackers het gerechtvaardigd om iemands privacy te schenden in een goedbedoelde poging diegene op te sporen?
Inti De Ceukelaire
"In het geval van mijn neef Dries gebeurde dit op uitdrukkelijk verzoek van zijn gezin. Er waren concrete medische aanwijzingen dat hij niet in staat was om bewuste keuzes te maken, waardoor een vrijwillige verdwijning zeer onwaarschijnlijk was. Natuurlijk hebben ook (mogelijk) overledenen recht op privacy, maar we achtten de kans dat hij op dat moment nog leefde groot genoeg om in te grijpen. We hebben destijds besloten om dit te doen zónder systemen van derden (buiten Dries zelf) te hacken en we hebben de privacy van Dries en zijn contacten zoveel mogelijk geprobeerd te waarborgen. Gezien die specifieke, acute context vond ik de beslissing moreel absoluut gerechtvaardigd, ook al was deze juridisch niet afgedekt. Het leek me toen correct om hier transparant over te communiceren."
Wouter van Dongen
"Hoewel ik de ethisch hacker in het voorbeeld goed begrijp, vind ik dit in algemene zin geen goed uitgangspunt. In mijn ogen is dit informatie die de politie bij een serieuze vermissingszaak zelf zal opvragen of onderzoeken. Daarnaast loop je ook het risico dat je een lopend onderzoek belemmert door zelf in te loggen op allerlei accounts."
Rory Breuk
"Dergelijke beslissingen zouden door bevoegde instanties gemaakt moeten worden, niet door de hacker. Juist in situaties waar emoties hoog oplopen, is het belangrijk dat er een bevoegde instantie over beslist die de afwegingen kan maken."
Sijmen Ruwhof
"Zonder toestemming inbreken in accounts is juridisch strafbaar en kan opsporingsonderzoeken verstoren. In beginsel horen dergelijke bevoegdheden bij instanties met mandaat en toezicht."
"Daarnaast speelt een fundamentele ethische vraag: wil de vermiste persoon überhaupt gevonden worden? Niet elke vermissing is onvrijwillig. Er zijn echter uitzonderlijke scenario's denkbaar waarin de afweging kantelt, vooral bij acute levensbedreigende situaties, hoge tijdsdruk en aantoonbaar falende of trage interventie van bevoegde instanties."
"Zelfs in die gevallen blijft het juridisch risicovol en ethisch complex. Het probleem is niet dat er geen argumenten vóór ingrijpen zijn, maar dat er geen robuust kader bestaat om dat handelen te legitimeren. Juist daarom hoort dit type interventie in principe bij partijen met wettelijke bevoegdheden, niet bij individuen."
De wet in Nederland/België moet aangepast worden om ethisch hackers meer ruimte te bieden
Ethisch hackers balanceren soms op een juridisch dun koord. Zonder toestemming online inbreken kan al snel gezien worden als computervredebreuk. In sommige landen, zoals Duitsland, zijn er ethisch hackers veroordeeld voor het rapporteren van een veiligheidslek. Dat kan securityonderzoekers ontmoedigen om kwetsbaarheden op te sporen. Vinden ethisch hackers dat de wet in Nederland en België genoeg ruimte biedt voor hun werkzaamheden?
Rory Breuk
"In Nederland geldt een gedoogbeleid voor ethisch hacken. Ik ben daar geen voorstander van, omdat het onzekerheid creëert en onduidelijk is wat wel en niet is toegestaan. Het zou veel beter zijn wanneer de wetgeving duidelijk voorschrijft hoe ver een hacker mag gaan, wat de toegestane vormen van disclosure zijn en hoe bedrijven meldingen moeten behandelen."
Max van der Horst
"In Nederland hebben we het eigenlijk best goed geregeld. Dat lijkt vanaf een afstandje misschien niet helemaal zo en er zijn wel degelijk nadelen aan de aanpak die wij aanhouden, maar ten opzichte van bestaande oplossingen is het elegant. In Nederland bestaat er vervolgingsvrijheid rondom zaken die ethische hacks betreffen. Een officier van justitie bepaalt of iemand vervolgd kan worden en het OM heeft hierin aangegeven dat hackers die zich houden aan de beginselen van proportionaliteit en subsidiariteit niet vervolgd zullen worden. Dit geeft een mate van flexibiliteit in hoe ons rechtssysteem werkt en staat een evaluatie per casus toe."
"Wanneer dit rigide wordt doordat het in de wet wordt vastgelegd, zoals in België, verdwijnt deze flexibiliteit. België heeft een uitsluitingsgrond vastgelegd in het strafrecht in 2024. De voorwaarde voor deze uitsluitingsgrond is dat een onderzoeker zich houdt aan de regels van het Centrum voor Cybersecurity België (CCB). Deze regels dicteren bijvoorbeeld dat een onderzoeker zich binnen 24 uur na het ontdekken van een kwetsbaarheid moet melden en dat deze niet mag publiceren over de kwetsbaarheid zonder toestemming van het CCB."
"Deze regels klinken logisch, aangezien sommige onderzoekers hier wat begeleiding bij nodig hebben. Maar in de praktijk blijkt dat de 24-uursregel automatisch betekent dat een onderzoeker onder deze wetgeving valt op het moment dat deze een kwetsbaarheid vindt, waarbij de macht over publicatie terechtkomt bij de Belgische overheid. Dit ontmoedigt onderzoekers om bij te dragen en ondermijnt het grondbeginsel van vulnerabilitydisclosure: het informeren van het publiek. Je bereikt dus eigenlijk het tegenovergestelde van wat je hoopte."
"Omdat dit allemaal is vastgelegd in de wet, ontstaat er een situatie waarin moeilijk kan worden afgeweken van deze regels. Om deze reden is de flexibiliteit die we in Nederland hebben juist heel mooi. We moeten als Nederlanders misschien wat meer doen aan het informeren en onderwijzen van jonge hackers (16-jarigen begrijpen natuurlijk niet wat 'proportionaliteit' en 'subsidiariteit' exact inhouden), maar over het algemeen werkt het Nederlandse systeem in het voordeel van de hackers."
Floor Terra
"Ik denk dat het in Nederland in de basis goed geregeld is. In België zie ik grotere problemen. Als ik als Nederlander in België kwetsbaarheden vind, kan ik vastzitten aan behoorlijk strenge meldverplichtingen en levenslange geheimhoudingsverplichtingen waar je alleen met officiële toestemming van de overheid onderuit mag komen. Hoe wordt bepaald of je die uitzondering krijgt en hoelang dat duurt, is niet publiek bekend."
"Ik ben voor zover ik weet de enige die dergelijke toestemming heeft gekregen, maar alleen omdat ik behoorlijke publieke ophef heb gecreëerd over hoe onveilig België is als je aan cvd wilt doen. In België heeft men de keus gemaakt om ethisch hackers explicieter te beschermen (goede intentie wat mij betreft), maar om dat te doen zijn daar behoorlijk zware verplichtingen opgelegd aan de hackers."
"Die verplichtingen zijn niet optioneel en maken het effectief onmogelijk om onder cvd kwetsbaarheden af te stemmen met meerdere partijen als daar een enkele Belgische organisatie tussen zit of als je achteraf bijvoorbeeld klanten wilt waarschuwen als de organisatie niet patcht. Vanwege de beschermende wetgeving van België kies ik er een volgende keer waarschijnlijk voor om Belgische organisaties niet te waarschuwen."
Inti De Ceukelaire hier, bedankt redactie om dit belangrijke debat onder de aandacht te brengen! Verfrissend en leerrijk om te zien hoe anderen het zien, bij ethische vraagstukken is het antwoord nooit zwart-wit.
Ik geef nog even mijn antwoorden mee op de andere vragen:
Ethisch hacken met toestemming vs ‘inbreken’ zonder toestemming
'Ethisch' is een veelzijdig begrip dat ik liever schuw, omdat iedereen een andere opvatting heeft van wat dit precies inhoudt en ik onmogelijk aan al die interpretaties kan voldoen. Bij voorkeur noem ik mezelf gewoon een hacker. Het woord ‘ethisch’ maakt er een beladen term van, en doet bovendien ook uitschijnen dat de daad zonder dit woord per definitie crimineel zou zijn.
België heeft regels voor ethisch hacken waarbij toestemming vooraf niet altijd vereist is, maar mijn recente actie voldeed niet aan alle voorwaarden daarvan. Of dat het per definitie 'onethisch' maakt, laat ik in het midden, ethiek blijft ook cultureel bepaald en kan veranderen met de tijdsgeest. Ik worstel soms met die vragen, en er zijn enkele dingen uit het verleden die ik vandaag misschien anders zou aanpakken, maar mijn moreel kompas wijst wel nog altijd in dezelfde richting.
Ik heb begrip voor de mensen die er andere normen en waarden op nalaten en vind het belangrijk dat discussie hierover mogelijk is. Om die reden ben ik geen fan om vaste definities te koppelen aan ethiek.
Is responsible disclosure is de beste vorm van disclosure?
Als ik op persoonlijke titel spreek (en niet namens een bedrijf): in de zuiverste vorm van responsible disclosure zouden geheimhoudingsclausules niet mogen bestaan. Dit wordt anders wanneer er vergoedingen tegenover staan. Critici noemen dat 'zwijggeld', maar penetratietesters mogen hun bevindingen immers ook niet zomaar publiceren. Ik hoop dat hackers in de toekomst zelf het model kunnen kiezen, want de beste vorm van disclosure hangt af van de kwetsbaarheid. Als ik bijvoorbeeld een brede, nieuwe techniek ontdek die bij talloze bedrijven werkt, kan ik onmogelijk iedereen vooraf inlichten. Door publicatie help je enerzijds criminelen aan een nieuwe methode, maar geef je tegelijkertijd de hele sector de kans om zich te wapenen. Een absoluut 'goed' of 'fout' is er niet, maar we hebben gelukkig al wetgeving (zoals regels rond laster, eerroof en privacy) om misbruik en onnodige dataschade bij disclosures tegen te gaan.
Moeten ethische hackers geen geheimhoudingsverklaringen tekenen over kwetsbaarheden?
(Zie het antwoord hierboven rondom de nuances van responsible disclosure en vergoedingen).
Verstoren bugbounties samenwerkingen door ethische hackers, omdat ze direct met elkaar concurreren om een beloning?
Als fanatiek deelnemer aan bug bounties ben ik het hier niet mee eens. Competitie drijft juist innovatie en leidt verrassend vaak tot betere samenwerkingen. Je ziet in de praktijk juist dat de hackers die de krachten bundelen, keer op keer de sterkste resultaten neerzetten.
Moet de wet in Nederland/België aangepast worden om ethische hackers meer ruimte te bieden?
Eens, maar we moeten ons realiseren dat zulke veranderingen tijd en compromissen vergen. Ik heb veel respect voor mensen zoals Floor Terra, en ook voor de reageerders op Tweakers die vaak terechte kritiek uiten op het huidige systeem (of op mijn persoonlijke aanpak). Volgens mij is vrijwel iedereen het erover eens dat ethische hackers hard nodig zijn en dat er werk aan de winkel is. We bewegen ons zeker in de goede richting, wellicht alleen niet met de aanpak of snelheid die iedereen zou willen. Een zeilboot moet soms van meerdere richtingen wind vangen om vooruit te kunnen gaan.
Dankjewel. En voor de helderheid: veel respect voor wat je doet ookal denk ik soms achteraf en vanaf de zijlijn dat het beter zou kunnen. Een terugkerend onderwerp daarin is geheimhouding. Ik snap namelijk dat geheimhouding bij bug bounties of commercieel pentesten redelijk kan zijn. Het probleem dat ik zie, en bijna alle bug bounty platformen zijn daar onderdeel van, is dat melden onder NDA door organisaties als enige meld-optie wordt gegeven. Dat zorgt ervoor dat veel (ook minderjarige) hackers die willen helpen (vaak onbewust) levenslange geheimhoudingsverplichtingen aangaan voor het voorrecht om te waarschuwen dat er iets onveilig is. Er zijn allerlei overwegingen voor de uiteindelijke disclosure, maar dat zou primair de afweging van de ontdekker moeten zijn. Het zou niet de taak moeten zijn van de Belgische overheid of de organisatie die geholpen wordt om de melder die vrijheid te ontnemen.
Ik merk in meerdere reacties dat wordt aangenomen dat het modellen zijn die naast elkaar bestaan. Maar dat is dus niet helemaal waar. Het is vaak de kwetsbare organisatie die vooraf eenzijdig bepaald dat er maar 1 meldoptie is.
Ik ben het volledig eens met jou op dit gebied en kan je verzekeren dat ik achter de schermen probeer te bewegen in de juiste richting. Maar het blijkt frustrerend traag en moeilijk.
Dat waardeer ik. Vandaar ook mijn blogpost om te laten zien dat het wel beter kan. Of het helpt om er als botte Hollander zo dwars doorheen te walsen hangt van de omstandigheden af. Ik merk wel dat in Nederland heldere feedback beter gewaardeerd wordt dan in Belgie.
Goh, het heeft wel effect hoor! Ik gebruik je tweets wel vaker, maar ik denk dat Nederlanders vaak iets sneller openbaar krediet geven en gaan toegeven dat de kritiek terecht is. Maar ook directe kritiek helpt op lange termijn, het is dan maar aan mij om het a la Belge diplomatisch aan te kaarten achter gesloten deuren
Dat is fijn om te horen. Al merk ik dat als ik netjes probeer te overleggen met Belgische overheids-organisaties (over dit soort onderwerpen) dat het zelden goed gaat. Waar ik altijd goed contact heb gehad met bijvoorbeeld de belgische privacytoezichthouder merkte ik dat bij het melden van een kwetsbaarheid het heel snel omsloeg naar dreigen en intimidatie. Het is meer dan alleen diplomatie denk ik: het is ook een kwestie van ervaring en vertrouwen om te weten welke wetten je kan overtreden om niet zo naar behandeld te worden.
Echt 'ethisch' hacken kan alleen als je instanties hackt die je hebben ingehuurd, anders is het gewoon inbreken
Eens. Zou toch gek zijn wanneer ineens iemand in mijn huiskamer staat die ik niet ken en zegt: ‘ik ben een ethische inbreker, ik kwam alleen kijken of je beveiligingssysteem op orde is’.
Als ik iemand zou inhuren, dan kan het wel of een open oproep zoals, kijk maar of je binnenkomt (bounty).
Je kan er een boom over op zetten, maar een fysieke handeling kan je nooit vergelijken met een cyber handeling. Het is in mijn ogen alleen intrusief als je ook kwaad aanricht. Op het moment dat je inbreekt en verder geen schade aanricht en gelijk de instantie/bedrijf/persoon inlicht vind ik het prima.
Ik vind dat je fysiek en cyber zeer goed kan vergelijken.
Stel: je buren zijn op verlof en je merkt dat het poortje naar hun tuin achterin open staat. Je gaat naar daar, betreed hun privé gebied en kijkt rond dat alles ok is. Je gaat even naar de achterdeur en voelt dat deze zeker nog dicht is. Dit wordt maatschappelijk perfect geaccepteerd. Is de deur los en kan je hem open doen, dan bel je je buren op om dit te melden en eventueel de politie als er sporen van inbraak zijn.
Maar als je merkt dat een firma een systeem gebruikt dat zo lek als een mandje is (open) en je kijkt of je binnen kan, of dat er andere maatregelen getroffen zijn, dan plots ben je mogelijk een crimineel.
Het verschil is natuurlijk dat ik mijn buur ken; bij een wildvreemd huis waar een poortje open staat, waar ik niet weet of ze op vakantie zijn of niet, ga ik natuurlijk niet naar binnen.
Ik begrijp wat je bedoelt, alleen vind de vergelijking niet toch hetzelfde.
Wanneer je constateert dat iemands voordeur/achterdeur openstaat, kan je stellen dat je de "keys to the kingdom" hebt. Je kunt naar binnen (als je dat zou willen) en niets houd je meer tegen om het huis leeg te halen. (er vanuit gaande dat de binnendeuren niet op slot zitten, geen boobytraps aanwezig zijn, de bewoners niet thuis, etc). Kortom, domain admin, superuser, je hebt gewoon alles te pakken bij het constateren dat die deur openstaat.
Bij computer hacking is dat niet zo eenvoudig. Rammelen aan aan TCP port, of merken dat een webserver gevoelig is voor SQL injection, maakt je niet gelijk een admin op dat netwerk. Je zult toch meer moeten doen om aan te tonen dat je echt de "keys to the kingdom" gevonden hebt. Terwijl dat bij een huis veel eenvoudiger is.
De eenvoud om ergens binnen te komen of de zekerheid dat je "volle" toegang hebt doet er in principe niet toe en was mijn punt ook niet.
Bij die buren kan je bij een gesloten deur ook je lock-picking-skills naar boven laten komen "om te zien dat binnen zeker alles ok is". Toch wordt dat 'maatschappelijk niet aanvaard'.
Ook, als je binnen kan, betekent het nog niet dat je de code voor hun huiskluis hebt. Toegang en toegang zijn 2 dus....
Mijn punt was eerder dat men enkel toegang hoort te zoeken tot plaatsen of systemen als je de mensen kent, of een redelijkerwijs acceptabele noodsituatie kan verhelpen.
Etisch hacken is ook binnendringen op een website en op de front-page een berichtje "you have been hacked" achterlaten voor alle bezoekers. Waarom? Omdat de hacker vindt dat de security niet hoog genoeg is. Maar de commerciële schade verhalen op de hacker, die het ook gewoon kon melden en nadien wegwandelen (want het is de keuze van de firma of deze hier gevolg aan geeft of niet), oh, dat kan niet, want hij is ethisch.
Zal ik anders ook dagelijks bij dergelijke hacker als hij gaan werken is zijn lock picken en een sticker aan de binnenkant van zijn raam hangen 'te arm voor een degelijk slot'. Hoe vaak moet ik dit doen voordat hij de politie belt?
Zowel het argument dat het niet te vergelijken is als de stelling dat het alleen bij kwaad te ver gaat zijn te simpel.
Onze wetgeving legt niet voor niets de grenzen op dat eigenaren recht hebben en willekeurige anderen, die recht willen, dat horen te respecteren. De grens is niet dat als een ander meent geen kwaad te (willen) doen de rechten van de eigenaar maar vervallen. Geen zin hebben dat te respecteren en opzettelijk geen vergelijking willen is dus eerder een poging om onethisch te zijn in eigen belang.
Je kan deze twee prima met elkaar vergelijken. Vandaar de termen huisvredebreuk en computervredebreuk.
Je toegang verschaffen tot iets waartoe je officieel geen toegang hebt/hoort te hebben.
Helaas voor jou zit het juridisch ook anders in elkaar.
Als ik de achterdeur niet op slot doe heb jij nog steeds het recht niet mijn huis te betreden. Tenzij er een aantoonbaar noodgeval is.
Je kan er een boom over op zetten, maar een fysieke handeling kan je nooit vergelijken met een cyber handeling. Het is in mijn ogen alleen intrusief als je ook kwaad aanricht. Op het moment dat je inbreekt en verder geen schade aanricht en gelijk de instantie/bedrijf/persoon inlicht vind ik het prima.
Het probleem is dat jouw aanwezigheid an sich al schadelijk kan zijn. Wat als er geheime informatie op het systeem staat? Wat als het bijvoorbeeld gaat om data waarvan nu niet meer zeker is of de integriteit nog intact is? Bedenk je even wat een impact het kan hebben als een niet geautoriseerd personeel op een kritieken omgeving is geweest en het niet helemaal duidelijk is dat diegene daar heeft gedaan.
Het is heel goed mogelijk om per ongeluk of tijdens legitieme werkzaamheden tegen kwetsbaarheden aan te lopen en die toch willen melden. Dat is bij mij meestal het geval. De aanname dat ik daarom een crimineel ben die misschien gedoogd moet worden is best schadelijk.
Dat hangt er vanaf. De in het artikel genoemde opmerking over de situatie in België zijn bijvoorbeeld o.a. gebaseerd op mijn ervaringen toen ik de JavaScript code en het netwerkverkeer las bij een formulier van een overheidsorganisatie omdat ik in er proffesioneel ook mee te maken heb en ik wilde weten hoe het werkte. Tijdens dat lezen besefte ik dat het onveilig was en zat toen direct vast aan een meldplicht en geheimhoudingsplicht.
Ik heb APIs aangeroepen zonder credentials omdat ik dat per ongeluk vergat; toen werkte de API gewoon in ons specifieke geval. Het is me ook overkomen dat ik een API aanriep en de verkeerde ID meegaf waardoor ik andermans data terugkreeg. Daarnaast heb ik vaak genoeg een systeem om zeep geholpen door per ongeluk de randen van hun kunnen aan te raken met valide usecases, waar in het meest extreme geval zelfs een authorisatieserver niet meer wilde meewerken en de API zelf gewoon data bleef uitspuwen.
Dan heb ik het nog niet eens gehad over systemen die je via de API best wat vrijheid geven om queries uit te voeren en die prima beschermd zijn tegen injection maar waar iemand doodleuk vergeten was om de master tables van de database af te schermen voor queryen (een zeker marketingplatform blijft dit probleem tot op de dag houden, 7 jaar na melden )
Soms gebeuren dingen gewoon tijdens je werk, en het is fijn dat je dat gewoon mag melden zonder dat je direct illegaal bezig bent.
[Reactie gewijzigd door Merethil op 30 april 2026 08:31]
dan positioneer ik de "hoi wij zijn van de buurtwacht en we zien dat je slaapkamerraam al een jaar openstaat, misschien moet je die eens dichtmaken met een grendel en een gordijntje ophangen" ertegenover.
dan is 'je mag niet naar mijn huis kijken' niet de gepaste reactie, dan zeg je bedankt en ga je door met je leven.
[Reactie gewijzigd door dyrc op 30 april 2026 07:15]
De buurtwacht staat dan toch niet in mijn huis? Als iemand een potentieel veiligheidsprobleem ziet en dat meldt, zonder daadwerkelijk digitaal binnen te komen is anders dan dat ze ineens in je huiskamer staan.
Voorbeeld, onlangs zag ik de deur van de overburen open staan, terwijl ze niet thuis waren. Ik zou naar binnen kunnen gaan een foto nemen en appen: ‘er had ingebroken kunnen worden’. Maar ik heb ze gebeld en gezegd dat hun deur open stond en of ok deze zou dichtdoen.
[Reactie gewijzigd door no_way_today op 30 april 2026 08:19]
wie het wetboek van strafrecht een beetje kent, weet dat computervredebreuk net als veel andere misdrijven (nagenoeg alle behalve moord en doodslag) balanceert op het begrip wederechtelijkheid (de uitzondering voor doodslag kom je onder andere tegen bij hulp bij zelfdoding dat tóch strafbaar is ondanks dat striktgenomen niet wederechtelijk is (het slachtoffer wil immers dood) - maar goed dat is een andere discussie.
om het iets duidelijker uit te leggen: wederechtelijkheid is het principe dat je 'verboden dingen toch gewoon mag doen als je toestemming hebt' - iemand in elkaar slaan is verboden, maar in de boxring is een knock-out echter geen mishandeling.
inbreken in een computer is niet verboden als je door de eigenaar betaald wordt voor een pen-test.
MAAR en nu komt het, toestemming is niet de enige rechtvaardigingsgrond om verboden dingen te doen.
met 160 over de snelweg razen, bij de afslag een rood licht pakken, dwars door een parkje heen is ineens niet meer zo verboden als er iemand achter in je auto ligt dood te bloeden en je naar het ziekenhuis probeert te komen (bel een ambulance, zullen veel mensen roepen, maar als elke seconde telt, breekt nood, wet.
dan komen we dus bij de rechtvaardigingsgronden. je hebt in nederland de (soms wettelijke, maar in ieder geval morele) plicht om mensen in nood te helpen. en je mag daarbij passend geweld gebruiken om jezelf, anderen, of eigendommen te beschermen tegen onmiddelijke aanranding (dat is een term die zegt dat als het NU NU NU aan het gebeuren is je mag ingrijpen om erger te voorkomen).
er is dan een goed punt te maken dat hack en babbeltruuk software ontregelen een bescherming is tegen onmiddelelijke aanranding van mensen hun banksaldo's je ziet namelijk criminelen die op het punt staan een onwetende op te lichten danwel te bedreigen om ze geld of goederen afhandig te maken en je grijpt in.
je pleegt zo'n misdrijf van computervredebreuk dan dus in de verdediging van een ander (zoals je ook een verkrachter tegen de grond kunt slaan als hij een meisje probeert aan te randen, of wanneer je een auto brake-checkt die dreigt in te rijden op een groep overstekende kinderen.
dit wil allemaal niet zeggen dat je te alle tijden zomaar batman kunt gaan spelen om hackertjes te hacken, maar de soep is ook weer niet zo heet gegeten als dat hij is opgediendd
in het voorbeeld van @no_way_today hierboven is het natuurlijk gek dat een inbreker in zijn huiskamer staat om 'te testen of het alarm wel afgaat' - maar zou het nog steeds onwenselijk zijn als die inbreker zijn kunsten gebruikt om in te breken in een brandend huis met een slapend kindje er nog in terwijl de brandweer nog niet ter plaatse is.
of hoe zit het met die inbreker die wil testen of nederlandse legerbasissen hun wapens en munitie wel veilig hebben opgeslagen of dat random criminelen met een vlotte babbel zo een ak47 kunnen bemachtigen.
[Reactie gewijzigd door i-chat op 30 april 2026 07:20]
Nu ga je verschillende doelen en intenties door elkaar halen. En daar is de jurisprudentie voor. Als er in een brandend huis een kindje ligt te slapen en er dan iemand binnenkomt, dan is zijn intentie niet geweest om te kijken hoe makkelijk het is mijn huis binnen te dringen.
De veroordeling van Henk Krol is wat dat betreft erg interessant. Het is (afhankelijk van de omstandigheden) niet strafbaar om zonder toestemming van de systeemeigenaar te zoeken naar kwetsbaarheden en zelfs een beetje in te breken. Henk Krol is vervolgens wel te ver gegaan. Veel nuttiger in deze context dan vergelijkingen met brandende huizen.
Of de veroordeling van Alberto Stegeman. Binnengedrongen in een legerkazerne, om aan te tonen dat de beveiliging ruk was (dat was ook wel een feit), en vervolgens een nepbom achtergelaten. Is dat laatste een stap te ver of niet? De rechter vond van wel.
Dat ook, en volgens mij gaat die vergelijking met een doodbloedende persoon ook niet op. Ik heb vaak genoeg gezien in tv-programma's (o.a. Wegmisbruikers) dat zelfs bij nood breekt wet de politie je gewoon een waarschuwing of boete geeft onder het mom van ‘maar u wilt toch wel veiliger rijden, zodat het slachtoffer veilig in het ziekenhuis aankomt, want stel dat er door uw rijgedrag wat met het slachtoffer gebeurt…’, of gewoon vanwege de veiligheid van andere weggebruikers.
[Reactie gewijzigd door TheVivaldi op 30 april 2026 10:56]
Eens! Ik run al jaren een middel-grote SAAS applicatie en we worden regelmatig "lastig gevallen" door "ethische hackers". In het begin denk je bedankt voor het melden als ze iets vinden en betaal je een bounty maar zodra je ingaat op een dergelijk bounty-hunt hacker begint de ellende. Je app wordt gebombardeerd met meer ethische hackers die met allerlei pen-tools losgaan op je applicatie. Je krijgt 3x dezelfde verzoeken van verschillende ethische hackers, ze werken allemaal voor HackerOne zeggen ze op hun LinkedIn profile en werken uitsluitend in India en Pakistan. Deze hackers zijn niets minder dan ordinaire gelukszoekers die hopen dat je hapt op hun zogehete kwetsbaarheden en proberen daarna constant binnen te komen of verzinnen kwetsbaarheden.
Heeft weinig met de hackers te maken uit dit artikel maar maakt het ingaan op bounty-verzoeken wel ingewikkeld.
Vaak rapporteren die mensen low hanging fruit, overdrijven ze met de impact en vragen ze om een bounty. Dat is sowieso al moreel twijfelachtig, maar de personen die eerst een beloning vragen en dan pas de details van het kwetsbaarheid willen bekend maken zijn in mijn ogen gewoon ordinaire criminelen die zich schuldig maken aan extortion en fraude
Dat is wellicht een verschil. Alberto had ook kunnen bellen dat hij het idee had zo door te kunnen lopen en waarom. Maar ook toen al, alles voor de likes.
Ergens ben ik het er mee eens maar toch zie ik ook wel uitzonderingen. Dan denk ik aan bijvoorbeeld dat de overheid terroristen hacken. De terroristen zullen vast geen goedkeuring geven maar als dit een aanval kan voorkomen zie ik het nog steeds als ethisch (en ja ik snap dat er een verschil is tussen hacken met goedkeuring van de overheid en gewoon hacken).
En nu weet ik niet of het waar is maar zo zag ik een aantal dagen geleden iets op internet over dat een bedrijf die leeftijd moet controleren gehackt was en dat ze er achter kwamen dat dit bedrijf deze data ook doorgeeft aan de overheid. Nogmaals nu was dit mogelijk nep maar zulke situaties als deze zijn wel zaken waar je zonder hacken of een klokkenluider nooit achter komt. Zo lang je verder niets verkeerd doe en alleen bewijs verzameld zou ik dit ook kunnen zien als ethisch hacken. Je moet alleen wel geluk hebben dat je dus iets vind anders, ondanks dat je intenties goed kunnen zijn, valt het misschien niet meer onder ethisch hacken.
Er is wel eens iemand aangehouden voor het bezit van andermans portemonnee, ondanks dat diegene op weg was naar het gemeentehuis om hem in te leveren. Nu moet je als boa/politie natuurlijk een afweging maken of iemand de waarheid vertelt, maar ik bedoel maar te zeggen dat het wel wat afschrikwekkend kan werken als je daadwerkelijk goede bedoelingen hebt (dus niet “ik was op weg naar het gemeentehuis om hem in te leveren” als leugen gebruikt).
Los van of iemand ingehuurd is; volgens mij worden er ook voorwaardes opgesteld wat diegene, als ethische hacker, wel of niet mag doen.
Daarom lijkt het mij helemaal een dilemma, als diegene dit dus doet zonder opgestelde voorwaarden + kennisgeving zomaar in iemands huis staat.
Maar goed, wat mij opvalt is dat digitale grenzen niet overeenkomen voor vele vergeleken met de fysieke wereld. Ik gebruik jouw “huiskamer” argumenten ook geregeld, zodra het over data gaat die vele delen, privacy opgeven aan big tech (en straks voor overheden). Nadat mensen beginnen over “ik heb niks te verbergen”. Vergelijkbaar dat opeens bepaalde dingen wel gezegd worden digitaal, terwijl dit duidelijk over grenzen gaat fysiek.
EDIT, andere verwoordingen
[Reactie gewijzigd door m.z op 30 april 2026 10:19]
Leuk om terug te lezen. Ik ben heel erg benieuwd naar de opmerking van Sijmen: "Nda's die tijdige en redelijke disclosure mogelijk maken zijn acceptabel; nda's die structureel transparantie beperken niet.". Ik ben namelijk niet bekend met NDA's die dat onderscheid maken. Alle NDA's die ik heb gezien, en ik heb o.a. alle grote bug bounty platforms hierop onderzocht, hebben NDA's waarbij de hacker niet zelfstandig kan besluiten dat publicatie toch mag omdat de kwetsbare organisatie bijvoorbeeld weigert te patchen. Er zijn (steeds zeldzamer helaas) wel programma's zonder NDA maar het idee achter de NDA's is dat de ontvangende organisatie controle houdt.
[Reactie gewijzigd door Floort op 30 april 2026 08:03]
Er zijn (steeds zeldzamer helaas) wel programma's zonder NDA) maar het idee achter de NDA's is dat de ontvangende organisatie controle houdt.
Dat is logisch. De ontvangende organisatie is de klant die betaalt voor enkel het vinden van kwetsbaarheden, niet het opvolgen (zelf, advies daarover geven is uiteraard OK). Die heeft geen enkele behoefte aan onbeheerste verspreiding van de resultaten. Hier geen gehoor aan geven is onverstandig op verschillende niveaus. Ten eerste is er juridisch en ethisch (er is een overeenkomst aangegaan). Dan is er financieel m.b.t. de gevolgen voor die opdracht en het verminderde vertrouwen voor toekomstige opdrachten (hacker's got to eat).
Ik kan mij een zeldzame situatie bedenken waarbij een kritieke kwetsbaarheid gevonden wordt die grote gevolgen heeft voor andere partijen, waarbij het zeker is dat niets met die kwetsbaarheid wordt gedaan. Dan kom je meer in klokkenluidersgebied en dat is zeer lastig.
Als ik toevallig een kwetsbaarheid vind en het nodig vindt om slachtoffers te voorkomen en dat dus meld wordt ik niet betaald. Bug bounties zijn iets heel anders dan CVD. Ik doe niet aan bug bounties. Ik wil de vrijheid om onveilige situaties die ik tegenkom te melden en daar ook anderen over te waarschuwen.
Als ik toevallig een kwetsbaarheid vind en het nodig vindt om slachtoffers te voorkomen en dat dus meld wordt ik niet betaald.
De context van mijn reactie betreft specifieke en gerichte opdrachten van bedrijven, niet bug bounties of CVD. Mijn reactie ging met name in op deze algemene toevoeging:
maar het idee achter de NDA's is dat de ontvangende organisatie controle houdt.
Er zijn goede redenen voor NDA's. Zonder dat zouden in te huren hackers veel minder opdrachten krijgen.
[Reactie gewijzigd door The Zep Man op 30 april 2026 08:05]
En de context van mijn opmerking waar je op reageert is dat steeds meer organisaties onder het mom van bug bounties melders dwingen om een NDA aan te gaan voor het voorrecht om te mogen melden. Als melder is er dan weinig tussenweg meer tussen niet netjes melden of een NDA aangaan.
Ik heb dus geen probleem met een NDA voor commerciële opdrachten. Ik heb een probleem met NDA's die worden opgedrongen in het CVD proces.
[Reactie gewijzigd door Floort op 30 april 2026 08:13]
En de context van mijn opmerking waar je op reageert is dat steeds meer organisaties onder het mom van bug bounties melders dwingen om een NDA aan te gaan voor het voorrecht om te mogen melden.
Die snap ik ethisch ergens wel (opdrachtgever betaalt, dus bepaalt), zolang de opdrachtgever ook een CVD-beleid heeft waar geen NDA bij te pas komt. Als een organisatie geen CVD-beleid heeft en enkel zo aan bug bounty programma's meedoet, dan maakt die het voor ethische hackers (en zichzelf) best wel lastig.
[edit]
Dus helemaal eens met:
Ik heb dus geen probleem met een NDA voor commerciële opdrachten. Ik heb een probleem met NDA's die worden opgedrongen in het CVD proces.
NDA's horen niet in een CVD-proces. Ik denk dat bedrijven zich in de voet schieten door dit wel af te dwingen voordat iets gemeld kan worden.
Nog even over dit:
Als melder is er dan weinig tussenweg meer tussen niet netjes melden of een NDA aangaan.
Een ethische hacker heeft de keuze om iets in het geheel niet te melden. Ook daar komen verschillende belangen bij kijken, ook van de ethische hacker zelf.
[Reactie gewijzigd door The Zep Man op 30 april 2026 08:59]
Een ethische hacker heeft de keuze om iets in het geheel niet te melden. Ook daar komen verschillende belangen bij kijken, ook van de ethische hacker zelf.
Belangrijk voor mensen die kwetsbaarheden vinden: publiceren zonder de eigenaar eerst prive te informeren is ook mogelijk en onder omstandigheden best goed te verantwoorden. Niet netjes zoals je idealiter zou willen, maar de eigenaar van het systeem is vaak niet de enige belanghebbende.
ik vraag me af of zo'n NDA wel standhoud in de rechtszaal.
het kunnen waarschuwen van het publiek wanneer een misstand niet tijdig wordt opgelost lijkt me een evident iets sterker nog, het lijkt mij evident dat het niet waarschuwen gelijkstaat aan behulpzaam zijn bij een misdrijf (als je ervanuit gaat dat het moedwillig exploiteren van een lek computersysteem een misdrijf is).
ik vind hoe dan ook dat daar veel en veel te weinig aandacht aan wordt besteed, we praten de hele tijd over boze hackers met kwade intenties en bla bla bla. maar een ziekenhuis dat met patiënten gegevens loopt rond te strooien alsof het pepernoten zijn vinden we strafrechtelijk gezien eigenlijk helemaal prima.
Dat hangt van de situatie af denk ik. Ik heb bijvoorbeeld een keer bij de gemeente Den Haag iets gemeld voor een systeem waar later een partner van de gemeente (Cybersprint, nu Darktrace) voor verantwoordelijk bleek te zijn. Cybersprint is mij gaan bedreigen met juridische stappen als ik zou publiceren omdat zij eenzijdig een NDA opleggen aan iedereen die bij hun iets meldt. Dat bleek bluf te zijn en waarschijnlijk onzin. Maar wel bedoeld om te intimideren. Bij de meeste bug bounty platforms (waar vaak CVD meldingen ook naartoe geleid worden) denk ik dat de meeste NDA's wel stand houden.
En als een NDA geen stand houdt: het feit dat je mensen die je proberen te helpen juridisch probeert te intimideren is niet minder erg als die intimidatie niet rechtmatig blijkt te zijn.
[Reactie gewijzigd door Floort op 30 april 2026 07:44]
Tja, het enige verschil tussen ethische en niet-etische hacker is de intentie.
Ik mijn boekje rechtvaardigt intentie je daden niet, want met de beste intenties kan je nog steeds verkeerde dingen doen.
Groot en belangrijk verschil vind ik of er door een systeem eigenaar expliciet toestemming is om zich te laten hacken.
Het is de verantwoordelijkheid van een systeem eigenaar om zijn spullen goed te beveiligen. Ik begrijp dat niet alle systeem eigenaren dit doen of zich laten testen. Ons rechtssysteem zou in mijn optiek het enige mechanisme moeten zijn om verantwoordelijkheid (van eenieder) te borgen. Zelfs in het algemene belang is het niet aan een onbevoegde om het recht in eigen hand te nemen.
Ik vergelijk ethische hackers die geen toestemming hebben met een ondergrondse buurtwacht die zichzelf bestaansrecht geeft door het doel en het aantoonbaar gebrekkige verantwoordelijkheidsgevoel van veel systeem eigenaren.
Zo een ondergrondse buurtwacht vind ik extreem onprettig en totaal ongepast.
Hoe los je het op? Ik vind ethisch hacken alleen een gerechtvaardigde actie wanneer de systeem eigenaar dat expliciet wenselijk vindt. Dit kan middels een uitgeschreven opdracht of inderdaad met een uitnodiging in de vorm van een responsible disclosure.
Zonder expliciete instemming van systeem eigenaar ben je gewoon een onbevoegde goedzak die zijn boekje te buiten gaat.
edit: Op basis van feedback van @Floort duidelijker gemaakt dat het mij ging om dat toestemming/opdracht/uitnodiging van systeem eigenaar bepalend is in of ethisch hacken OK is of niet.
[Reactie gewijzigd door E!Ma0RB7 op 30 april 2026 07:57]
Ethisch hacken is ook: zoeken naar kwetsbaarheden in software die je zelf hebt geïnstalleerd, scannen naar kwetsbaarheden in open source software, etc. Het is een onterechte en schadelijke aanname dat een ethisch hacker ongevraagd (en onrechtmatig) inbreekt in andermans systemen.
Dat is ook niet (altijd) waar. Het is bijvoorbeeld mogelijk om kwetsbaarheden in andermans systemen te vinden zonder in te breken op een manier die strafbaar is. Bijvoorbeeld per ongeluk. Bijvoorbeeld door alleen code te lezen of netwerkverkeer te observeren of verouderde software te observeren. Niet alle handelingen mogen alleen met toestemming.
Ik begrijp je punt, maar ook dat vind ik zonder toestemming gek en onwenselijk wanneer het doel puur is om de veiligheid van een systeem te testen.
Ook de ondergrondse buurtwacht is niet in overtreding wanneer zij zonder toestemming aan alle voordeuren gaan voelen om te kijken of ze wel dicht zijn.
Een toevallige constatering (per ongeluk) melden is anders, omdat het doel van de interactie met de voordeur anders is. Bijvoorbeeld visite die bij het verlaten van je huis opmerkt dat de voordeur niet goed sluit.
De visite heeft een meldplicht (vind ik), maar de buurtwacht kan dezelfde intentie (huiseigenaar behoeden voor inbraak) in mijn optiek niet ombuigen tot een fatsoenlijke rechtvaardiging voor pro-actief alle voordeuren langs te gaan.
Dus netwerkverkeer en code van een webpagina lezen is ok, maar zodra ik dat doe terwijl ik me afvraag of de gegevens die ik invul wel veilig zijn en er niet bijvoorbeeld persoonsgegevens uitlekken naar onbevoegde derden dan is dat niet ok? Dat is een interessante interpretatie. Maar ik ben het er niet mee eens.
Ook de ondergrondse buurtwacht is niet in overtreding wanneer zij zonder toestemming aan alle voordeuren gaan voelen om te kijken of ze wel dicht zijn.
Kleine nuance:
Als de buurwacht ongehinderd over jouw terrein de voordeur kan bereiken, is dat geen overtreding. Maar als ze daarvoor door een gesloten hek moeten, is het wel een overtreding. (Het gesloten hek geeft aan dat je niet wilt dat iemand op jouw terrein komt.)
De politie is een uitzondering, die mag wel jouw terrein op, ondanks een hek of zo, moeten daarvoor wel een goede reden hebben (strafbaar feit). Maar ook zij mogen zonder toestemming je huis niet in.
Ik 'hack' zelf vrij regelmatig systemen waarvoor ik geen toestemming heb. Vaak is op voorhand niet eens duidelijk van wie een systeem is. Voor mij is alles Country=NL in scope.
Voor mij is het daarom ook belangrijk te zorgen dat ik weet waar ik staat in relatie tot de uitzonderingen voor ethisch hacken. Enerzijds is het een sport om kwetsbare systeem te vinden, maar wel met het doel om de verantwoordelijke organisatie hierover te informeren zodat er actie ondernomen kan worden. Vaak is een organisatie zich helemaal niet bewust van het feit dat een systeem kwetsbaar is. Met het melden van kwetsbaarheden hoop ik te zorgen dat er nog iets opgelost kan worden voordat de echte criminelen langskomen. Vergeet niet dat er naast de verantwoordelijke organisatie vaak nog meer slachtoffers zijn van een criminele hack of datalek. Een systeem bevat vaak (persoons)gegevens en het kan als springplank gebruikt worden naar andere organisaties. Daarbij hoop ik ook dat er meer besef komt bij de organisatie over de eigen verantwoordelijkheid voor het veilig houden van IT systemen. Je kan er niet vanuit gaan dat er altijd een ethisch hacker is die je komt vertellen dat je moet updaten...
Tot zo ver heb ik alleen nog maar bedankjes gehad, als ik al reactie krijg. Het is altijd goed om rekening te houden met de situatie dat iemand minder blij kan zijn met de melding, maar die heb ik nog niet gehad.
De samenwerking met pentesters die ik afgelopen jaren gehad heb gaven mij een mooi inzicht in hun wereld: een combinatie van enthousiasme en fun in het vinden van kwetsbaarheden en de plicht voelen om bedrijven te informeren als er iets werd gevonden. Bugbounty was regelmatig een aanleiding, ook omdat het een legimiteit geeft. De bounties waren vaak niet zo spannend, maar geven wel de onderbouwing voor je werk.
Nachtenlang zijn ze er zoet mee en elke keer weer supertrots als het lukte een gerenommeerde site te hacken.
Ik merkte ook een donkere kant: ze zijn nogal wat APT’s actief die voor de bekende overheden werken. Omdat ik met pentesters op verschillende plekken op aarde werkte kreeg ik daar veel van mee - qua recruitering, dreiging en agressie. De pentesters met wie ik werkte vonden ons hier erg naief. Ben wel benieuwd hoe de geïnterviewde groep mensen hier over denkt? Zijn we naief en doen we er te weinig mee of tegen of valt het wel mee?
Wat de stelling “Het is gerechtvaardigd om criminelen uit eigen beweging te hacken om phishingacties te verijdelen” betreft: als je getuige bent van een misdrijf, zoals een inbraak of een mishandeling, heb je ook het recht (en de morele plicht) om in te grijpen. Het stoppen van een phishingactie lijkt me iets soortgelijks.
Interessant om de vergelijking met de Belgische regelgeving te zien. In de praktijk ben ik erg terughoudend met ethisch hacken buiten Nederland, juist omdat je niet weet in wat voor wetgeving je terecht komt. Het voelt echter als een gemiste kans. Juist wanneer je weet hoe een kwetsbaarheid werkt en hoe die netjes gescand kan worden, beperk ik mij toch tot de vertrouwde Nederlandse regels. Tegelijk loopt Nederland met DIVD en het NCSC al voorop als het gaat om proactief melden, maar ondertussen blijven er in het buitenland organisaties onnodig kwetsbaar.
Ik zie hier dus vooral kansen om in EU verband na te denken over wet- en regelgeving, vergelijkbaar met die van Nederland. Het harmoniseren van die regels neemt de juridische onzekerheid weg. Dat geeft ruimte voor meer samenwerking en het notificeren van buitenlandse organisaties.
:strip_exif()/i/2008139654.jpeg?f=imagegallery)
/i/2008037354.png?f=imagenormal)
:strip_exif()/i/2008139656.jpeg?f=imagegallery)
/i/2008140520.webp?f=imagenormal)
/i/2008062067.png?f=imagenormal)
/i/2008139664.png?f=imagegallery)
/i/2008140510.webp?f=imagenormal)
/i/2008140524.webp?f=imagenormal)
/i/2008058608.png?f=fpa)
:strip_exif()/i/2004648160.jpeg?f=fpa)
:strip_exif()/i/2004873156.jpeg?f=fpa)
/i/2008037710.png?f=fpa)
/i/2006807554.png?f=fpa)
:strip_exif()/u/284473/crop598caffe294d9.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/10049/fgth.jpg?f=community){kind=small}
/u/298866/crop5ef045407bab9_cropped.png?f=community){kind=small}
/u/75437/crop5daf1210eb5fc.png?f=community){kind=small}
/u/76977/crop5919bcfb221d8_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/284419/Mexican%2520Wolf%2520Klein.jpg?f=community){kind=small}
):strip_icc():strip_exif()/u/342739/deltadelta1.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/140051/BSOD.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/277895/crop5eda5f3273e75_cropped.jpeg?f=community){kind=small}
/u/99188/crop63277863da216_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/71115/plus222.jpg?f=community){kind=small}
/u/28468/librarian2.png?f=community){kind=small}
:strip_exif()/u/609320/crop5b6ae539e2dcd_cropped.gif?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_exif()/u/4143/crop673c629560e43_cropped.gif?f=community){kind=small}
/u/325014/Inter3-play.png?f=community){kind=small}