Maak kennis met de white hats

Het is al lang geen verrassing meer als een bedrijf aankondigt dat het hackers gaat belonen voor het opsporen van kwetsbaarheden. Grote Amerikaanse bedrijven als Facebook en Google hebben al een tijdje hun eigen programma's, ook wel bug bounties genoemd. Daarnaast zijn er in Nederland en België steeds meer bedrijven die een responsible disclosure-beleid opstellen, vergelijkbaar met de Amerikaanse term coordinated vulnerability disclosure. Daarin geven ze aan op welke manier lekken gemeld kunnen worden. Houdt een melder zich daaraan, dan wordt hij in principe niet vervolgd, bijvoorbeeld voor het plegen van computervredebreuk. Ook Tweakers heeft een dergelijk beleid opgesteld.

'White Hat', Carol VanHook, CC BY-SA 2.0

In Nederland speelt de leidraad responsible disclosure, die in 2013 werd geïntroduceerd, daarbij een belangrijke rol. Daarin is bescherming voor ethische hackers geregeld, zolang zij niet verdergaan dan nodig is. Daarnaast zijn er bedrijven die programma's aanbieden waarmee organisaties een eigen bugbountyprogramma kunnen opzetten. In feite is dat een responsible-disclosurebeleid in combinatie met een vaste beloning. Er zijn verschillende platforms die dergelijke diensten aanbieden, waaronder het mede door Nederlanders opgerichte bedrijf HackerOne in San Francisco en het volledig Nederlandse Zerocopter. In bepaalde gevallen heeft een dergelijk programma wel de restrictie dat de bevindingen niet gedeeld mogen worden, bijvoorbeeld in de vorm van een blogpost, als het lek is gedicht.

Al deze programma's hebben deelnemers nodig, degenen die uiteindelijk de kwetsbaarheden opsporen en melden. Om erachter te komen wie dat zijn en hoe ze te werk gaan, sprak Tweakers met een aantal Nederlandse en Belgische ethische hackers, oftewel white hats. In dit artikel spreken zij over hun ervaringen, werkwijze en achtergrond.