Met enige regelmaat beland ik in een discussie waarin ik probeer uit te leggen dat er gevallen zijn waarin hacken wel illegaal is, maar niet meteen onethisch. Dat kunnen hele leuke filosofische discussies zijn, maar het kan heel verhelderend zijn om jezelf daadwerkelijk in zo’n dilemma te plaatsen. Dat is dus precies wat ik gedaan heb. Ik heb bewust de naam van de leverancier weggelaten.

Op Twitter lees ik de tweets van @ntisec met veel plezier. Een van de zaken die af en toe langskomen zijn slecht beveiligde SCADA-systemen. Wat mij opviel is dat 1 bepaald merk wel heel vaak langskomt. Ik heb voor veel van deze systemen nu al best vaak contact proberen op te nemen met het bedrijf dat de eigenaar is of het bedrijf dat ze geïnstalleerd heeft. Opvallend vaak hebben deze machines nog het wachtwoord staan op de fabrieksinstelling. Dit wachtwoord is voor alle apparaten van deze fabrikant hetzelfde en is te vinden in de handleidingen die online te vinden zijn.

Erg vaak krijg ik geen reactie van degene met wie ik contact opneem. Dat betekent dat het mij relatief veel tijd kost om de eigenaar te achterhalen en het probleem uit te leggen, maar dat dit bijna geen effect heeft. Op een gegeven moment werden het er zoveel dat ik besloot dat ik het anders moest aanpakken. Ik doe het eerste wat er in mij opkomt als ik een vervelend probleem tegenkom: ik schrijf een programma om het voor me op te lossen.

Wat ik gedaan heb is een programma geschreven dat snel het hele Nederlandse internet (dat is voorlopig genoeg) kan scannen en mij een lijst met alle adressen teruggeeft die een systeem van de betreffende fabrikant hebben aangesloten op het internet en bij welke daarvan je nog met het standaard wachtwoord in kan loggen. Dan heb ik een mooi rapport om te laten zien hoe groot het probleem is en kan ik misschien met een beetje publiciteit of via het NCSC het hele probleem in 1 keer oplossen.

De scanner is geschreven, nu is het dus gewoon een kwestie van de scan uitvoeren, het rapportje uitdraaien en het probleem is opgelost toch? Helaas niet, het daadwerkelijk uitvoeren van de scan is strafbaar. Om nauwkeuriger te zijn: door het uitvoeren van de test of het standaard wachtwoord bruikbaar is zou ik computervredebreuk plegen. In totaal zou ik dus miljoenen keren computervredebreuk plegen.

Ik help graag met het oplossen van problemen, zelfs als ik er zelf niet meteen wat aan heb. Het plegen van een veelvoud van strafbare feiten voor iets waar ik zelf niets aan heb is echter niet iets wat ik zomaar zal doen.

Aan de ene kant kan ik dus met weinig moeite zorgvuldig een flink aantal bedrijven veiliger maken met een laag risico dat ik zelf schade aanricht. Aan de andere kant heb ik niet zo’n zin in problemen met justitie. Het makkelijkst zou zijn om helemaal niks te doen; de veiligheid van die systemen is niet mijn verantwoordelijkheid en de wet overtreden is ook niet goed. Dit is ook het advies dat ik van de meeste mensen krijg. Dat vind ik echter te makkelijk; als ik mensen kan helpen vind ik het niet ethisch om daar mijn handen van af te trekken.

Wat zouden jullie doen?

Update: Behalve dat ze een streng en behulpzaam rode taalkundige pen hanteert maakt ze ook kick-ass tekeningen. http://www.neetje.nl/