Mag ik (zero day) exploits verkopen en aan wie?

Geschreven in samenwerking met Barend Bon

Waar hacken vroeger nog iets was wat vooral miskende pubers op hun zolderkamer deden, is het tegenwoordig ‘big business’. Grote techbedrijven als Google en Microsoft schrijven regelmatig prijsvragen of ‘hackathons’ uit, waarbij flinke bedragen worden uitgekeerd aan hackers die erin slagen hun beveiliging te kraken. Onlangs voegde ook de Amerikaanse overheid zich in deze trend door hackers uit te dagen het Pentagon te hacken.

Buiten deze legale markt van partijen die prijzen uitschrijven om gaten in hun eigen software te vinden zodat deze zo snel mogelijk gedicht kunnen worden, is niet alle handel in beveiligingslekken even fris. Zogenaamde zero-day exploits, applicaties die gebruik maken van nog niet eerder ontdekte beveiligingslekken, worden soms via veilingwebsites verkocht aan de hoogste bieder. En of die daar goede bedoelingen mee heeft, is nog maar de vraag. Mag je zulke exploits, of inbraaksoftware, dus eigenlijk wel zomaar verkopen?

Het antwoord is (wellicht niet verrassend): nee, dat mag niet zomaar. Zo is het op grond van art. 139d lid 2 onder a Strafrecht verboden om een ‘technisch hulpmiddel dat hoofdzakelijk geschikt is gemaakt of ontworpen om computervredebreuk te plegen of om communicatie wederrechtelijk af te tappen’ (dus een exploit) te vervaardigen, voor handen te hebben of beschikbaar te stellen, met het oogmerk dat daarmee een misdrijf wordt gepleegd. Bij verkoop heb je al snel de schijn tegen. Want waarom zou iemand ervoor willen betalen als die het niet wil gebruiken, of op zijn minst doorverkopen aan iemand die dat wel wil? En uiteindelijk zijn er maar weinig partijen die mogen inbreken in digitale systemen.

Zelfs de politie mag dit in Nederland eigenlijk niet en het wetvoorstel om dit mogelijk te maken is zeer omstreden. Nationale inlichtingen- en veiligheidsdiensten zouden een legale doelgroep kunnen vormen, maar vooral sinds de openbaringen van Snowden staat dat ook ter discussie.

Door alleen aan opsporings- en veiligheidsdiensten te leveren, kan een leverancier de kans op juridische problemen wel sterk beperken. Deze diensten zullen de hand die hen voedt immers niet snel bijten en hebben vaak ook nog een aardige portemonnee.  Vooral als een partij ook inbraaksoftware levert aan dubieuze of dictatoriale overheden, kunnen er nog wel andere risico’s bestaan, waar de hack op Hacking Team een sprekend voorbeeld van vormt.

De handel in inbraaksoftware is ook internationaal gereguleerd. In de EU is onlangs het Wassenaar Akkoord geïmplementeerd, dat de export van wapens en dual-use technologie aan banden legt. Ook zero-day exploits vallen hieronder, en mogen sinds 2014 alleen uit de EU worden geëxporteerd of doorgevoerd met een geldige vergunning van de douane (in Nederland de Centrale Dienst In- en Uitvoer, CDIU).

Wie overweegt om exploits (internationaal) te verhandelen, doet in elk geval verstandig aan om (i) een vergunning te bemachtigen en de voorwaarden daarvan strikt op te volgen, (ii) ook de wetgeving in het importland te controleren en na te leven, (iii) de goede bedoelingen van de koper goed te controleren en het bewijs daarvan te documenteren, (iv) de nodige garanties tegen misbruik in het contract op te nemen en (v) de eigen beveiliging heel goed op orde te hebben.

Terug naar overzicht