Marktwerking zie je overal terug komen; ook bij ethische hackers. Werden de bugs in het verleden nog keurig netjes gratis gemeld vanuit de rokerige zolderkamertjes, vandaag de dag wordt er grof geld betaald voor een exploit. Ook was het vroeger niet zonder gevolgen, klokkenluiders konden hun nuttige uitzoek werk vaak tegemoet zien met vervolging of werden ze doodgezwegen. Was het wijzen op software fouten jaren geleden een riskante gelegenheid, tegenwoordig wordt er flink in de buidel getast.

Vermarkten van bugs

Saumi Shah, de eerste keynote spreker van Hack in The Box, benoemt dat ook. Shah is een bekend spreker op verschillende beveiligingscongressen en de man achter Exploit Laboratory, een serie populaire geavanceerde meerdaagse trainingen over kwetsbaarheden die onder meer afgelopen week op Hack in the Box werd gehouden.

Initiatieven van de grote softwaregiganten zoals Google en Apple om grote geld bedragen uit te loven voor zero-days hebben de "vermarkting" van bugs in rap tempo versneld. Miljoenen kunnen er tegenwoordig worden verdiend aan de handel in en om software bugs. Waren het voorheen de grote bedrijven die gul met de buildel zwaaiden, nu kan je de zelf gevonden fouten verkopen aan de hoogste bieder. Waarbij de bieder niet noodzakelijk het uit bedrijf in kwestie hoeft te zijn waar de foutieve code werd gemaakt.

Tussenhandel

Saumi spreekt dan ook van een verzieking van de markt. Want als de bugs niet meer direct verkocht worden aan de software producenten, wat wordt er dan mee gedaan? Kan jouw werk worden ingezet in (bedrijf)spionage ? Hoeveel verdient die tussenhandel aan de bugs?

Ben je dan nog wel ethisch hacker, of meer een hebzuchtige hacker? Feit blijft wel, de publiek toegankelijke hacks zijn verleden tijd. Vind je iets in je browser dan is het niet meer de eerste gedachte dit op een 'gratis' op een forum te zetten, met strikte geheimhouding en eurotekens in de ogen kom je nu verder in hackersland.

Winstgevend

Met een ontwikkeltraject van enkele maanden, waar bij je je investering in luttele weken kunt terugverdienen, loont het nu om zakelijk op bug-hunt te gaan. Met een klein team slimme jongens (of meisjes) kan je niet alleen de net 'geschoten' bugs met winst verkopen, ook kan je de kennis nogmaals aanbieden aan de talloze technische bedrijven in de vorm van advies en opleiding. Kortom, bug business is big business. White hat-hacking is nu echt volwassen en de vermarkting is niet meer te stoppen. Vraag is, is het nog ethisch te noemen?