"Als het aan white hat hacker Jeremiah Grossman ligt, is het voortaan niet meer strafbaar om websites van de overheid en het leger te kraken. De aanval mag dan geen schade veroorzaken en moet als doel hebben het verbeteren van de beveiliging." Klinkt leuk, maar ten eerste is vaak niet duidelijk wat de doelstelling is van iemand die aan het hacken is. Immers zal deze zijn pogingen niet vooraf aanmelden. Ten tweede kunnen aanvallen ook gemakkelijk onbedoeld schade veroorzaken, zeker wanneer het gaat om relatief onervaren 'hackers'. Hoe toon je aan dat je doelstelling daadwerkelijk het verbeteren van de beveiliging is, en hoe zit het met de verantwoordelijkheid bij 'onbedoelde' schade ? Penetration testers stellen niet voor niets een uitgebreide overeenkomst op waarin wordt afgebakend wat deze wel/niet mogen doen, en waarin ook afgesproken wordt waar de verantwoordelijkheid ligt mocht er wat fout gaan. In het geval dat er wat fout gaat kan men bij een officiele pentest snel reageren, omdat men weet dat ...