Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OM verkrijgt ruim miljoen berichten van servers met informatie van pgp-telefoons

Het OM zegt dat onderzoeken in servers waarop informatie van pgp-telefoons stond, meer dan een miljoen nieuwe berichten heeft opgeleverd. De informatie kan een bijdrage leveren aan strafrechtelijke onderzoeken. Eerder ontsleutelde de politie al 3,6 miljoen pgp-berichten.

Volgens het OM bevatten de ruim een miljoen berichten niet alleen nieuwe of aanvullende informatie voor tientallen strafrechtelijke onderzoeken, maar eventueel ook gegevens voor onderzoeken waarbij tot nu toe in het duister werd getast. Het OM geeft verder weinig nadere informatie over de vondst van de nieuwe berichten, maar stelt wel dat er nu ook data zijn gevonden in back-upsystemen van de servers.

Het gaat hierbij om servers die gebruikt werden door telefoons die via pgp versleuteld zijn. Deze versleuteling is in principe niet of lastig te kraken, maar dat veranderde toen in Canada en Costa Rica servers in beslag werden genomen die een centrale rol speelden bij een afgeschermd netwerk dat door criminelen werd gebruikt. Canada verstrekte de Nederlandse autoriteiten een kopie van servers van het Nederlandse bedrijf Ennetcom, waarop de politie in 2016 in totaal 7TB aan data van 3,6 miljoen versleutelde berichten aantrof. Deze waren verstuurd via zo'n 40.000 smartphones.

Omdat de politie en het OM ook over de encryptiesleutels beschikten, kon de versleuteling van de berichten worden opgeheven. Het netwerk van Ennetcom kwam in beeld nadat in meerdere gevallen BlackBerry-toestellen van opgepakte criminelen in beslag waren genomen.

Het gaat bij pgp-telefoons om BlackBerry's of Android-toestellen, die in sommige gevallen versleuteld via speciale netwerken communiceren. Het beheer van die netwerken wordt als het faciliteren van criminele activiteiten gezien. Uit een actie uit 2017 bleek dat het OM leveranciers voor witwassen vervolgt als zij cryptophones leveren aan criminelen.

Door Joris Jansen

Nieuwsredacteur

30-01-2019 • 11:13

103 Linkedin Google+

Submitter: luuj

Reacties (103)

Wijzig sortering
Het gaat bij pgp-telefoons om BlackBerry's of Android-toestellen, die in sommige gevallen versleuteld via speciale netwerken communiceren. Het beheer van die netwerken wordt als het faciliteren van criminele activiteiten gezien. Uit een actie uit 2017 bleek dat het OM leveranciers voor witwassen vervolgt als zij cryptophones leveren aan criminelen.
Toe maar. Heeft iemand de NordVPN / PIA / ProtonMail / TOR ontwikkelaars al aangeklaagd voor het faciliteren van criminele activiteiten?
Het staat er wat vreemd maar ik neem aan dat ze het faciliteren van speciale criminele netwerken bedoelen. Het faciliteren van een versleuteld netwerk voor algemeen gebruik is niet illegaal. Zelfs niet als hier ook illegale praktijken op plaats vinden. Als je dat gaat criminaliseren dan is de bouwmarkt ook schuldig voor het verkopen van gereedschap waar je mee zou kunnen inbreken.
Een bouwmarkt die legaal gereedschap verkoopt dat ook voor inbraken gebruikt kan worden zal nooit strafbaar zijn.

Een bedrijf dat een gereedschapsassortiment heeft dat alleen maar gericht is op inbreken, niet van buiten herkenbaar is, grote hoeveelheden cash geld aanneemt, geen videopnames maakt in en rond de zaak, aanzienlijk duurder is dan een gewone bouwmarkt in ruil voor de anonieme service en alleen leeft van mond-tot-mond reclame onder het inbrekersgilde zal wél in de problemen komen.

Ennetcom was overduidelijk een bedrijf uit die tweede categorie. Dat criminelen er de deur platliepen en ze €1500 vroegen voor de service geeft al aan dat ze niet voor huis-tuin-en-keuken gebruik opgericht waren.
Leuk verhaal maar zo zwart wit is het niet, het zijn bovendien aannames.

Cash geld aannemen mag gewoon, daar is niets illegaals aan.
video opnames zijn niet verplicht
aanzienlijk duurder is ook relatief
leeft van mond tot mond reclame, je wil niet weten hoeveel bedrijven daar echt van leven.
anonieme service, prepaid telefoon zonder registratie is ook anoniem.
Uit een actie uit 2017 bleek dat het OM leveranciers voor witwassen vervolgt als zij cryptophones leveren aan criminelen.
OM kan vervolgen, het is een Rechter die bepaald of er ook iets gedaan is dat niet volgens de wet is.
Heb even gezocht op google maar ik kan voor leveren van die telefoons geen veroordeling vinden.

Zou zeggen zoek even op spyshop waar leveren die nu allemaal zaken aan. als je wat artikele op google zoekt zitten daar ook criminelen tussen. Als er nu iemand van 1 van de bekende motorclubs met hesje zo een zaak binnenkomt en een gps tracker wil kopen. Lever je dan aan een crimineel, of hoe moet je weten dat het een crimineel is. Je hebt geen inzage in een politiedossier, moet je dan op internet zoeken of iemand een crimineel verleden heeft, hetgeen niet wil zeggen dat dat nu nog zo is.
De gps tracker kan ook gebruikt worden als anti diefstal op eigen motor maar ook om iemand anders zonder medeweten te volgen, hetgeen niet mag.
Als verkoper verkoop je iets dat wettelijk verkocht mag worden, het is niet jou taak om je klanten te screenen, he ze betalen of dat ze wel of niet hun naam op een factuur willen hebben. Een klant die in een winkel iets koopt heeft geen legitimatieplicht.
Het is geen aanname die @Maurits van Baerle doet voor wat betreft het platlopen van de deur door criminelen. Dit klopt gewoon. Sterker nog: het personeel wist donders goed uit wat voor volk hun klantenkring bestond. Is ook niet raar als er regelmatig tassen met geld gewoon in de gang staan. In het geval van Ennetcom werden overduidelijk criminelen gefaciliteerd (en een enkele verdwaalde journalist of Russische overheidsmedewerker).

Ik snap je punt, maar in DIT geval is het redelijk duidelijk. Hier werd bewust, willens en wetens, veel geld verdiend door criminelen te faciliteren en dit was ook nog eens de kernactiviteit van Ennetcom.

Edit: typo

[Reactie gewijzigd door netmeester op 30 januari 2019 16:38]

Ben net weer aan het zoeken gegaan maar heb geen veroordeling of bericht daarover kunnen vinden. Wel dat justitie de data kon gebruiken.

Tussen donders goed weten wie je klantenkring is en dat ook met bewijs hard kunnen maken zit ook nog een verschil.

Het OM zal gewoon bewijs moeten hebben en dat is niet zo eenvoudig om dat nu echt keihard te bewijzen.
Klopt, de politie heeft het pand een periode geobserveerd voordat er actie werd ondernomen. Aangezien toen opviel dat de klanten bestonden uit een "who is who" van de onderwereld is er op een gegeven moment besloten stappen te ondernemen. Als ik het goed heb hebben ze het systeem toen nog een tijdje in de lucht gelaten om de communicatie van een reeks criminelen te kunnen onderscheppen.
Het is irrelevant of al die activiteiten afzonderlijk legaal zijn. Als ze worden gebundeld op een manier waardoor het doel eigenlijk alleen maar het faciliteren van strafbare feiten kan zijn dan kun je wel degelijk strafrechtelijk in de problemen komen.

Als mijn buurman aan de deur staat om een keukenmes te lenen is er niets aan de hand als ik dat doe. Als mijn buurman aan de deur staat om een keukenmes te lenen terwijl hij schreeuwt dat hij z'n vrouw wil vermoorden en ik geef hem een mes dan ga ik de cel in. Ook al is het uitlenen van een mes op zichzelf niet strafbaar.
Jou voorbeeld is duidelijk maar eens kijken crimineel komt binnen enz zegt ik wil een telefoon om gecodeerde berichten te versturen, berichten die voor andere niet leesbaar zijn.
Die crimineel gaat niet lopen roepen ik zit in de drugs en volgende week komt er uit verweggistan een zending en moet ik met die mensen gecodeerd kunnen communiceren. Dit voorbeeld is vergelijkbaar met wat jij zegt over je buurman die een moord wil plegen.

Let wel het is aannemelijk dat men kon weten aan wie men verkocht maar vraag een advocaat en die zal je zeggen dat er gewoon hard bewijs voor nodig is.

De rechter zal bepalen of het bewijs hard genoeg is.
Vraag een advocaat off the record of z'n client schuldig is, en hij zal het meestal beamen. Alleen zal diezelfde advocaat in het publiek te vuur en te zwaard verdedigen dat diezelfde client een brave huisvader is die nooit een vlieg kwaad doet. Zo werkt het toneelspelletje nu eenmaal.

Dat de advocaat van Ennetcom doet alsof het bedrijf 100% legitiem is zegt dus niets. Dat is gewoon een advocaat die zijn rol meespeelt.
Klopt helemaal maar om een veroordeling te krijgen is niet zo eenvoudig.

KIjk naar Hells angels ze bestaan nog steeds. OM verbod gevraagd maar bij Hells angels niet gelukt. vooruit andere Motor Clubs ondertussen wel.
Het laat gewoon zien dat het niet zo eenvoudig is en dat een rechter naar wetten kijkt en of bewijs overtuigend is.
Voor de buitenwereld kan iemand schuldig zijn maar dat wettelijk aantonen en rechter overtuigen is toch vaak iets anders.
De strafzaak van Danny M. loopt nog en als ik het goed zie wordt ie in ieder geval verdacht van witwassen en wapenbezit.
Lol, je beschrijft nu heel veel dorpswinkels, die zijn allemaal crimineel?
Nee, lees het nog eens. Welke dorpswinkel verkoopt uitsluitend inbrekersgereedschap voor vijf keer de normale prijs? En hoe weet jij dat ze dat doen als ze het geheim proberen te houden?

Kortom, het lijkt niet op een gemiddelde dorpswinkel.
Toch kijkt de politie mee bij "verdachte" aankopen in de bouwmarkt

"De politie komt regelmatig langs bij de bouwmarkten om de camerabeelden van de aankopen van bepaald inbrekersgereedschap te bekijken" … "Als op de camerabeelden personen staan die bij de politie bekend zijn in verband met inbraken, onderneemt zij actie. De politie zal de criminelen aanspreken...."
(bij de Gamma in Wageningen, bron)
Ja daar heb je wel een goed punt inderdaad. Toch was de beredenering van bijvoorbeeld Ennetcom dat het communicatie voor advocaten wilde faciliteren, dat is opzich een algemeen doel. Alleen het is aan de prijs ja, maar is dat dan het enige wat het zo crimineel maakt?
Hoge prijzen impliceren inderdaad crimineel gedrag. Iedereen met een high end telefoon oppakken.(en de makers vervolgen)
Een advocaat koopt denk ik met bon, en niet anoniem.
Sterker nog, een advocaat registreert zijn telefoon bij het tap-me-niet register. Dat is alles behalve anoniem.
Kan je dan niet iedere provider gaan aanklagen ?

Zij dragen hier hoe dan ook een steentje aan bij
wat dacht je van de postbode,, genoeg filmpjes op yt die laten zijn dat drugs via het deepweb gewoon met de post bij je worden afgeleverd,,

edit: deze info verkregen door mensen die vloggers als kalvein(? niet zeker van de naam, ik volg geen vloggers) volgen

maar even serious,, het oogmerk van de ispers en de postbode is niet het faciliteren van criminele activiteiten,, pgp-telefoons daarintegen,, je gaat geen 3.500,- betalen voor een telefoon om veilig je oma te appen

[Reactie gewijzigd door Unsocial Pixel op 30 januari 2019 11:33]

je gaat geen 3.500,- betalen voor een telefoon om veilig je oma te appen
Dat is het beetje hetzelfde als zeggen, laten kleine metale buisjes produceren, want die worden ook gebruikt om harddrugs te snuiven.

Daarnaast heb ik redelijk de behoefte om in het "geheim" met mijn oma te praten. Simpelweg omdat het niemand iets aangaat wat ik mijn oma of zij mij te vertellen heeft. Nog eventjes afgezien van dat ik geen oma's meer heb :+

We moeten eens af van het idee dat een geheim iets is wat niet mag. Bedrijfsgeheimen zijn een mooi voorbeeld die mensen wel snappen. Maar de geheimen die ik heb in een intieme relatie zijn net zo geheim. Dat maakt het niet strafbaar, maar heb ik wel iets te verbergen. Iemand hoeft niet te weten wat de koosnaampjes zijn :+ Prive = geheim. Geheim != een strafbaarfeit. Een strafbaarfeit, kun je echter wel het beste geheimhouden.

edit; qoute != quote. Tpyo

[Reactie gewijzigd door jaenster op 30 januari 2019 14:36]

Zie mijn reactie op subbas hierboven. Ik zeg nergens dat iets verbergen automatisch betekent dat men een strafbaar feit begaat
(hoelang dit nog duurd geen idee maar de plannen om encryptie te verbieden/te verzwakken (wat onhaalbaar en onuitvoerbaar is) zijn in sommige landjes al tersprake gekomen)

Het punt dat ik wou aantonen is ondanks dat het overpriced verkopen van telefoons toegestaan is, is dat door (meerdere) factoren (prijs, restricties, hobbels voor aankoop, doel voor aankoop, etc) het aannemelijk gemaakt kan worden dat deze telefoons niet enkel en alleen gebruikt werden voor witte wasgoed en dat witte wasgoed ook zeker niet hun main market is/was
je gaat geen 3.500,- betalen voor een telefoon om veilig je oma te appen
Zeker niet als je dat straks voor minder dan een kwart van het bedrag kan. ;)

Even serieus:
Dit soort smartphones worden verkocht aan mensen die zich veilig willen voelen door zich te laten vertellen door anderen dat ze veilig zijn. Daar hebben ze een berg geld voor over. In die groep zitten niet alleen criminelen.

[Reactie gewijzigd door The Zep Man op 30 januari 2019 11:51]

Precies, laten we er voor waken dat niet zomaar meegaan in waar 'men' het heen wil sturen: als je encryptie gebruikt moet je wel wat te verbergen hebben.
Kijk hartstikke mooi succes dat ze die server in handen kregen en dat ze daar al jaren op kunnen teren.
Daar valt weinig op aan te merken.

Maar laten we wel wezen: in deze tijden zijn criminele activiteiten echt niet de enige reden om je communicatie af te willen schermen.
Kijk bijv. naar die berichten over (bedrijfs-)spionage van de laatste tijd.
Het afschermen van informatie is niet relevant hierin, dit is volstrekt legitiem,, zie oa briefgeheim, encryptie, vpns,, als het niet legitiem was hadden een hoop bedrijven een hoop problemen,, het gaat hierin om de intentie van..
intentie is duidelijk aantoonbaar te maken (dit moet ook in de rechtzaak), en in dit geval was de intentie om diensten te leveren aan criminelen

Nogmaals wie iets versleutelde moet helemaal niks, maar ja diegene houd voor buitenstaanders wel degelijk bepaalde informatie afgeschermd

[Reactie gewijzigd door Unsocial Pixel op 30 januari 2019 12:23]

Dat is dus maar de vraag, het kan zo maar zijn dat de intentie was veilige telefoons te leveren waarmee men berichten uit kan wisselen zonder dat men bang hoeft te zijn dat een derde de berichten kan onderscheppen. Er zijn genoeg legale bedrijven die daar belang bij hebben, zo maakte vele grote bedrijven gebruik van BlackBerry's met encryptie, alleen beheerde die zelf hun servers.

Ennetcom leverde die diensten dus aan derden (40.000 telefoons), maar of dat specifiek alleen criminelen waren of dat het merendeel normale klanten waren, dat moet allemaal nog maar blijken tijdens de rechtszaak. Het bedrijf stelde zelf in 2017: ‘Gelijk ieder ander willekeurig bedrijf (van broodbakker tot autodealer) kan Ennetcom onmogelijk uitsluiten dat criminelen gebruik maken van haar producten. '

[Reactie gewijzigd door wiseger op 30 januari 2019 12:34]

Dan komt dus het stukje om de hoek kijken dat de berichten in te zien waren door de leverancier (ondanks dat ie z'n klanten wat anders vertelde) en fysiek op de servers werden bewaard. Hierdoor had de leverancier weet kunnen hebben van. Waardoor het voor het om makkelijk hard te maken is dat meneer willens en wetens heeft geholpen met het al dan niet in stand houden van criminele communicatie/organisatie
Ennetcom had dat nou weer uitbesteed aan derde partijen, o.a. in Canada. Ze hadden zelf dus geen servers. Dat was nou net de hele crux, die leveranciers wiste de berichten niet waarvan Ennetcom dacht dat ze na 24 uur gewist werden. Zo kreeg justitie via Canada de data in handen.
Of die berichten werden wel gewist, maar op een 'logging file system' met een 'wandering log' bleven ze alsnog op de fysieke disk staan?
Die berichten waren voor de leveranciers niet inzichtelijk voor zover ik begrijp. Alleen had justitie vanuit de opsporing nogal wat telefoons gevonden en versleuteling kunnen achterhalen vanuit die telefoons. Een gebrekkige implementatie bij fysieke toegang is wat anders dan als leverancier mee kunnen kijken.
Vervolgens heeft men de servers gevorderd en de gevonden sleutels gebruikt om de aanwezige berichten te ontsleutelen.
Daar kun je dan weer van alles van vinden, maar doordat zo'n groot deel van de gesprekken gelinkt was aan mensen met een criminele achtergrond, wordt het ook onwaarschijnlijk dat je als verkoper op kunt houden dat je privacy telefoons verkoopt.
Mijn persoonlijk mening is nog steeds dat privacy en veiligheid een inherent spanningsveld hebben, en dat het aan de politiek is om daar een afweging in te maken. Het maakt mij niet uit dat het OM bij een gerede verdenking probeert versleuteling ongedaan te maken. Het gaat me wel te ver dat bij een dergelijke massale ontsleuteling blind gezocht wordt naar interessante woorden, of alle communicatie lekker doorgespit wordt, ook als iemand geen verdachte is, of met een verdachte communiceert.
Ten slotte is er veel privacy gerelateerde informatie waarbij de overheid zich dient te verschonen (medische gegevens, client-advocaat communicatie). De waarborgen hoe omgegaan wordt met de bijvangst zijn altijd het lastigst te regelen. De heren aan de top hebben overwegend de juiste intenties, maar de rechercheur die graag het bewijs tegen iemand rond wil krijgen, zal zich als gevolg van de druk mogelijk wat minder van de wettelijke grenzen aantrekken.
intentie is duidelijk aantoonbaar te maken (dit moet ook in de rechtzaak), en in dit geval was de intentie om diensten te leveren aan criminelen
Dat is dan ook een onderdeel van wat hier fout is gegaan: je moet niet je 'target audience' criminelen maken. Maak het mensen die behoefte hebben aan het sterk versleutelen van hun communicatie. Zorg ervoor dat je zelf niet de mogelijkheid hebt om die berichten in te lezen, en zie daar: plausible deniability.

Wat niet kan weten, wat niet deert gaat in sommige gevallen zeker op. ;)
Er zijn ook genoeg bedrijven die gebruik maakten van dit soort diensten.
Volgens mij het witte huis ook.

Om een bepaalde mate van veiligheid te kunnen garanderen krijg je gewoon een fors prijskaartje gepresenteerd...
Ja toch? kreeg Trump niet een zwaar beveiligde (verouderde) blackberry telefoon?
ja, die hij vervolgens vertikt om te gebruiken waar zijn hele staf over viel.
Zwaar beveiligd, hoeft niet ouderwets te zijn, maar betekent wel dat sommige apps niet kunnen.
Facebook hoeft niet het adresboek van de NSA te hebben (andersom ook niet, maar dat is een andere discussie), om maar eens een voorbeeld te noemen.
Dat iemand die de beschikking heeft over informatie met de hoogste beveiligingsclassificatie willens en wetens weakest link wil spelen, is misschien wel het beste teken dat ouderdom met gebreken komt.
Nee, 7000 euro, want je oma heeft er ook een nodig.
Gewoon met je oma op tinder een accountje nemen is veel goedkoper...
Serieus: telefoons voor 'senioren' zijn ook gruwelijk duur, ontdaan van allerlei opties en hebben eigenlijk alleen grote knoppen en ze kunnen harder.
/offtopic
Kan je dan niet iedere provider gaan aanklagen ?
Dat was inderdaad wat ik wilde bereiken met mijn vraag. :)
Laat ik voorop stellen dat ik een enorme voorstander ben van de door mij genoemde diensten!
Maar ik zie niet in hoe die diensten fundamenteel anders zijn, dan bijvoorbeeld een Ennetcom.
Het verschil is wel dat beide bedrijfjes puur en alleen gericht waren met deze activiteiten op het criminele circuit. Terwijl de bedrijven die jij aanhaalt, zich richten op mensen die gesteld zijn op hun privacy.
Lees die vraag in je hoofd nog eens voor en vertel mij het verschil? :P

edit: waarom -1? Dit is een serieuze en normale vraag: Wat is het verschil tussen een crimineel die niet gepakt wil worden en iemand die gesteld is op zijn privacy?

[Reactie gewijzigd door dehardstyler op 30 januari 2019 11:38]

Het verschil is dat deze speciale telefoons ook erg veel geld kosten t.o.v. de normale variant. Ze worden ook aangeboden voor specifiek criminele doeleinden, dus ja er is een verschil. Mensen die maar "oh nee privacy!" roepen zijn net zo kortzichtig als de mensen die voorstander zijn van een sleepnet, het is een lastig onderwerp wat zeker niet zwart of wit is. Het kan natuurlijk niet zo zijn dat we wel post mogen inkijken, maar niet onderlinge berichten omdat die digitaal zijn 8)7 Maar het kan ook niet zo zijn dat we zomaar alle berichten gaan inkijken omdat het kan.

Ik denk dat een goede vergelijking eerder is: de normale koerier en een drugs koerier. De normale koerier laat je met rust, van de ander controleer je alle pakketjes omdat je weet dat het geen normale koerier is. Dat is dus exact wat hier gebeurt: Normale diensten worden met rust gelaten, maar diensten die bewust criminele diensten ondersteunen worden aangepakt en die zijn dan ineens de data van alle klanten kwijt.
Goede vergelijking. Er zijn twee 'pakketbezorgers' actief: de ene krijgt paketten waar een adres op staat en bezorgt die, de andere krijgt ongeadresseerde pakketten en een telefoon waar af en toe een adres op verschijnt met alleen de kleur van het af te leveren pakket. En mag vooral geen aantekeningen maken waar hij aflevert, en krijgt ook te horen de pakketten buiten het zicht te bewaren en nooit met iemand te praten over zijn bezorgwerk. Bovendien krijgt ie 5 keer zoveel betaald als ie ergens anders zou krijgen...
Het verschil is op welke doelgroep ze zich primair richten ;)
En de grote van de klantengroep uit een bepaalde hoek.
nieuws: Nederlandse politie doet doorzoekingen bij leverancier versleutelde B...
De levering van geprepareerde BlackBerry- of Android-smartphones waarmee alleen versleuteld kan worden gecommuniceerd is niet verboden, maar het faciliteren of ondersteunen van criminelen en criminele organisaties is dat wel.
Uiteraard is het dan wel nodig dat de leverancier bewust dit levert aan criminelen.

Als een VPN aanbieder bewust diensten faciliteert aan criminelen zijn hun ook strafbaar. Het betekent ook niet wanneer jij gebruikt maakt van een VPN dat je ineens alles wel mag doen.
NordVPN etc geven de overheid direct al je persoonlijke informatie als de politie op de deur klopt. Ze zullen wel gek zijn om dat soort bedrijven uit de lucht te halen.
Zoals rvhuehv al stelt, zonder logs heeft de overheid niets te halen, alleen de naw gegevens van degene die er een VPN afneemt. Ennetcom wilde vast ook wel de gegevens van hun verkoop administratie delen met de overheid, indien die er via een bevel om vroeg.

Hier gaat het om de sleutels die gebruikt worden voor de encryptie. Als Ennetcom die niet tot zijn beschikking heeft omdat gebruikers die bijvoorbeeld zelf in konden stellen, dan valt er niets te overhandigen aan de overheid. Het is maar hoe men het ingericht heeft, werden de servers door Ennetcom geconfigureerd of door de klanten zelf?

Vervolgen wegens witwassen komt mij erg opportuun over, zie de van Dale definitie 'iets illegaals legaliseren: zwart geld witwassen in het normale geldverkeer (weten te) brengen'. We zullen moeten afwachten wat de rechter hier van vind. Hier worden middelen verkocht die criminelen helpen uit handen van de politie te blijven, echter er wordt geen crimineel geld omgezet naar legaal geld.
Heb je daar ook bronnen of bewijs voor?
De betere VPN providers houden geen logs bij dus er is niets te overhandigen wanneer de politie aanklopt.
VPN providers hebben nu een enorm goed excuus om zulke data niet bij te houden.

Wettelijk zijn ze enkel verplicht bij te houden wat nodig is voor de bedrijfsvoering. Dankzij de AVG mag zo'n VPN provider zonder toestemming die data niet eens bijhouden. Wettelijk zijn ze niet verplicht die toestemming te vragen.
Het enige dat noodzakelijk is om gebruikers te traceren zijn connection logs, die vrijwel altijd sowieso al bijgehouden worden; die worden namelijk gebruikt om problemen te debuggen. Dat is onder de AVG hoogstwaarschijnlijk voldoende grondslag om deze gegevens bij te houden.

Sterker nog, in OpenVPN staan deze naar mijn weten standaard aan en kon je - in ieder geval in het verleden - deze niet uitzetten zonder de broncode zelf te patchen. Gezien hoeveel providers standaard OpenVPN draaien, maakt dit het nog waarschijnlijker dat deze logs aanwezig zijn.

(Bovendien is het nog maar de vraag hoe erg de AVG hier in de praktijk van toepassing is; gezien het gebrek aan controlemogelijkheid en de schimmige manier waarop vrijwel iedere VPN-provider uitgebaat wordt, vaak vanuit obscure jurisdicties, is het niet zo gemakkelijk als bij een gemiddeld bedrijf om boetes op te leggen danwel controles uit te voeren.)
Ik heb er geen bewijs voor dat ze logs verwijderen, anders dan dat ze het beweren. Maar inderdaad, elk bedrijf kan beweren wat ze willen.

Waarom ik het aannemelijk genoeg vind dat ze geen logs bijhouden is omdat wanneer ze inderdaad logs zouden overhandigen aan justitie en een klant wordt op basis daarvan veroordeelt voor iets strafbaars, en dat lekt uit naar de media, dat je er donder op kunt zeggen dat ze daardoor veel klanten zullen verliezen die naar concurrenten zullen overstappen waar dat NIET gebeurt.

Er zijn meerdere websites die over het reilen en zeilen van VPN providers berichten.
Waarom ik het aannemelijk genoeg vind dat ze geen logs bijhouden is omdat wanneer ze inderdaad logs zouden overhandigen aan justitie en een klant wordt op basis daarvan veroordeelt voor iets strafbaars, en dat lekt uit naar de media, dat je er donder op kunt zeggen dat ze daardoor veel klanten zullen verliezen die naar concurrenten zullen overstappen waar dat NIET gebeurt.
Dat is al gebeurd. En nog een keer. En nog een keer. En toch bestaan die bedrijven nog en doen ze goede zaken.

Waarom? Omdat het geen hol uitmaakt. De hele VPN-industrie draait op bangmakerij, mooie beloftes (die vrijwel altijd pertinent onjuist zijn), sponsoring, en affiliate-systemen die zich voordoen als neutrale "reviews". Zo'n beetje iedere "site die over VPN-providers bericht" zit vol met affiliate-links; soms expliciet benoemd, soms verborgen.

De doelgroep van VPN-providers is niet "mensen die zich informeren over veilige opties", want die doelgroep zou uberhaupt geen off-the-shelf VPN-dienst gebruiken, gezien de vele inherente problemen in dat proxy-model. De doelgroep is "mensen die ze bang kunnen maken en in kunnen pakken met mooie beloftes", en dan met name hen die slechts beperkt technisch inzicht hebben.

Reputatie is dus volkomen irrelevant; je verkoopt VPN-diensten door mensen eerst bang te maken over "onbeschermd" surfen, en vervolgens te beweren dat je het op magische wijze op kunt lossen met jouw dienst. Het is een snakeoil-industrie met nauwelijks opstartkosten, hoge winstmarges, en weinig ethisch besef.

Om even een paar concrete voorbeelden te noemen van onjuiste beweringen: "al je verkeer wordt versleuteld" (onjuist; vanaf de VPN-provider is het net zo onversleuteld, en dus verschuif je enkel het aftappunt), "je bent anoniem" (onjuist; op z'n hoogst pseudoniem), en sommigen gaan echt ver en beweren dat het werkt tegen inlichtingendiensten (onzin; die kunnen gewoon dataverkeer correleren).

Ik moet de eerste VPN-provider nog zien die niet ergens liegt danwel bewust onjuist informeert over wat hun dienst precies doet.

Dus om het even heel plat te zeggen: als je gelooft dat deze providers zich aan hun beloftes houden, dan ben je echt te goedgelovig. Er is geen enkele reden om deze aanbieders te vertrouwen; er is weinig financiele investering voor hen te verliezen want je bouwt zo weer een nieuw bedrijf, er wordt consistent gelogen, en het gros van de aanbieders heeft een onduidelijke eigenaar.
En wat denk je van de HEMA? Die verkopen ook messen die voor criminele doeleinden gebruikt kunnen worden. Sluiten die hele handel! Ongeacht motief. Als ze niet meewerken is het strafbaar voor faciliteren van moord en geweld. Messen zijn net als cryptophones, levensgevaarlijk.

:O

[Reactie gewijzigd door Mushroomician op 31 januari 2019 05:40]

Ik weet niet wat voor een type service die gasten leverden, maar als je een privacy service verleend zou je dan niet eens wat oude berichten verwijderen nadat ze zijn verstuurd? Waarom bewaren ze 7TB aan berichten op hun servers? Die beheerders zouden maar beter hun auto heel goed controleren voor ze hem starten de komende paar weken...
Oh dat is nog maar het tipje van de ijsberg. Niet alleen bewaarden ze het, maar volgens de berichtgeving genereerde en beheerde de servers de sleutels... Dat is een beetje hetzelfde als bij een zwaar beveiligde kluis de sleutels en pincode neerleggen. :+
Gaat dat bij Signal trouwens misschien net zo?
Nee, die genereert de sleutels op je toestel en de privésleutels verlaten het toestel ook niet. (Tenzij je die zelf exporteert (geen idee waarom je dat zou doen) of er zit bijvoorbeeld een beveiligingslek in het OS van je toestel. 100% veilig bestaat niet. Is het de software niet, dan is het de hardware wel. :+)
Ok, bedankt voor de uitleg.
Het is kwalijk dat berichten zo lang bewaard worden. Zo kan je terugredeneren wie met wie gesproken heeft op welk moment.

Wat nog kwalijker is, is dat er geen gebruik wordt gemaakt van end-to-end encryption.

Kwalijk vanuit een informatiebeveiligingsperspectief, zonder te oordelen over het criminaliteitsgehalte.

[Reactie gewijzigd door The Zep Man op 30 januari 2019 11:47]

Met end-to-end encryptie kan nog steeds gezien worden wie met wie gesproken heeft, op welk moment.
Je kan alleen niet zien wat er wordt besproken.

Dit is dan ook meteen de reden waarom de terminologie end-to-end encryptie bij bijvoorbeeld WhatsApp overrated is. Leuk dat Facebook niet de berichten zelf kan zien, voor hen is het al voldoende om te zien hoe,waar,wanneer,met wie er contact wordt gelegd. het wat is daarin dan niet extreem boeiend.
De eerste twee zinnen van mijn reactie gelezen? Dat is al erkend, en dat is (ook) kwalijk.

Inhoud is nog steeds belangrijk. Het feit dat derden daar al bij kunnen geeft aan dat het geen veilige implementatie was. Effectief was er enkel beveiliging van de communicatiekanalen en niet van data-at-rest.

[Reactie gewijzigd door The Zep Man op 30 januari 2019 12:43]

Ja, het laat mooi zien dat 'security' best lastig is.

Overigens is de eigenaar in 2016 al opgepakt en sindsdien zitten 'ie afwisselend in cellen en op onderduikadressen. Hij wordt zelf ook verdacht van betrokkenheid bij diverse liquidaties dus heel zielig is het allemaal niet.
Zo boeven vangen lijkt me wel leuk werk :)
Geen persoonlijk risico maar toch bijdragen.
Geen persoonlijk risico? Wacht maar totdat de maffia weet dat jij hun server in beslag hebt genomen. De medewerkers van de AIVD krijgen daarom ook vaak (zo niet altijd) een alibi waardoor niemand weet dat ze bij de geheime dienst werken.
Geen persoonlijk risico? Wacht maar totdat de maffia weet dat jij hun server in beslag hebt genomen. De medewerkers van de AIVD krijgen daarom ook vaak (zo niet altijd) een alibi waardoor niemand weet dat ze bij de geheime dienst werken.
Waar haal je de AIVD nu weer vandaan? Dat die voorzichtig zijn met namen lijkt me voor de hand liggen. Did gaat over het Openbaar Ministerie waar iedereen gewoon onder zijn eigen naam werkt. Je maakt het allemaal veel spannender dan het is.
Het gaat hier om de politie die de gegevens heeft achterhaald en dat was volgens mij ook de functie waar @MrMonkE over sprak. Dat er geen persoonlijk risico bestaat lijkt mij wat naïef. Dat van de AIVD was als voorbeeld om aan te geven dat die mensen op voorhand rekening houden met persoonlijk risico.
Ja, ik snap je helemaal. Zelfs als ze alleen maar weten dat je op een bepaalde interessante plek werkt zou je al doelwit kunnen zijn.
Tja, cyber criminaliteit zit in een aardige lift afgelopen jaren.
Het Cyberteam word met de dag belangrijker voor de openbare/(digitale) orde.
Ja, maar de "Rotterdam, Driebergen-Rijsenburg " vloek.
Het is allemaal te ver voor mij.
Voor mij ook. Ik zit in west Friesland, heb er geen behoefte aan om te werken over de afsluitdijk.
Het betaalt ook niet zo goed als werken in de publieke sector.
Niet alles in het leven draait om geld toch?
OK dan, succes er mee :)

In dat geval vind je het vast prettig om te horen dat voor ICT-ers de kloof tussen bedrijfsleven en (semi-)overheid ietsje minder is geworden. Ikzelf werk bij een universiteit en ben eigenlijk prima tevreden met mijn salaris (ICT-consultant 1, zoek maar op).

Daarbij ga ik elke dag met plezier naar mijn werk en heb ik het gevoel dat ik ook nog een beetje bijdraag aan de samenleving.

Ik ken trouwens wat mensen die bij de politie werken en hebben gewerkt. Daar kan ik alleen maar bewondering voor hebben (niet altijd kritiekloos als het op privacy aspecten aankomt). Maar als je iedere dag kunt opbrengen om om te gaan met zaken als kinderporno, dan ben je een bijzonder mens. Ik zou dat niet kunnen...

Maar ja, ook aan jou is de keus...
Ik werk sinds kort voor de overheid en ik verdien meer dan ooit te voren.

Tevens heb ik nauwelijks het idee dat ik uitgezogen wordt. Wat ik in het bedrijfsleven wel heb, waar men hun best doet om mij zo goedkoop mogelijk aan het werk te helpen.

Als ITer voor de overheid werken, beste keuze die ik tot nu toe heb gemaakt. Ik heb zekerheid voor lange termijn, ik heb meer doorgroeimogelijkheden dan ooit tevoren, ik wordt in mijn waarde gelaten en ze betalen me -een stuk- beter dan vergelijkbaar werk in het bedrijfsleven.
Werken wel. Ik heb nu toevallig een baan waar een lease auto in zit, en een goed salaris, en plezier op het werk. Maar als 't anders had gelopen, ga ik toch voor het geld. Krap uit komen wordt je ook niet blij van, als je gewoon goed kan leven van je salaris, leef je direct gelukkiger.

Dus wat dat betreft ligt geluk en geld heel dicht bij elkaar.
ah dus ga je 1/3 deel van je leven verrot leven zodat je die andere 1/3 deel gelukkig wordt? 8)7
Maar veel betaald worden voor werk dat zwaar kl*te is? Doe mij maar een leuke baan en iets minder geld. Goed kunnen leven, natuurlijk, krap zitten is niet fijn, maar als je eenmaal genoeg hebt, maakt dan meer geld nog steeds gelukkiger?
Maar veel betaald worden voor werk dat zwaar kl*te is?
Niet zo zwart-wit. Er is natuurlijk ook een job die iets minder leuk is, maar wel veel meer geld, ja dan liever t geld. Werk dat zwaar klote is ga ik sowieso niet doen. Ik zoek dan werk wat ik leuk vind, en kijk daarna naar het salaris aanbod die daarna een grote factor speelt. Ik werk immers voor een inkomen, niet om m'n dag leuk in te delen.
l
Niet alles in het leven draait om geld toch?
Werk zeer zeker wel ;)
Mag dat zomaar? 3,6 miljoen berichten lezen als je er minder dan 100 nodig hebt?
Niet alle berichten zullen door iemand worden gelezen, dat kost veel te veel tijd. Je gaat kijken naar berichten van en naar de al bekende verdachten, in het bijzonder vlak voor en na liquidaties en andere grote gebeurtenissen. Als 5 minuten na een liquidatie een onbekend nummer 'OK' naar een baas stuurt is dat een aanleiding beter naar dat nummer te gaan kijken.

[Reactie gewijzigd door IJzerlijm op 30 januari 2019 12:26]

Gezien het feit dat al die berichten per definitie verdacht zijn, ja. Het gaat hier over een netwerk tussen criminelen. Die zullen elkaar ook wel eens feliciteren met elkaars verjaardag. Desondanks is elk bericht verdacht totdat het tegendeel blijkt.
Hoe weet je zonder (nog) te weten of iemand iets fout heeft gedaan en een crimineel is?
En wat is eigenlijk de officiële definitie van crimineel?
De term hoort in ons rechtstelsel alleen te slaan op mensen die in de straffase zitten.
Tot de rechter het schuldig uitspreekt zijn ze onschuldig, en na hun straf zijn ze geen crimineel meer en mogen met een schone lij beginnen.
Ze mogen onder jouw argumentatie dus alleen maar worden afgeluisterd terwijl ze in de bak zitten.
Omdat de politie en het OM ook over de encryptiesleutels beschikten, kon de versleuteling van de berichten worden opgeheven.
Dat was toen. Dit is nu. Op welke manier kwam deze ontsleuteling tot stand?
Het OM geeft verder weinig nadere informatie over de vondst van de nieuwe berichten, maar stelt wel dat er nu ook data zijn gevonden in back-upsystemen van de servers.
Het originele pers bericht:
Maar inmiddels heeft speurwerk van het THTC veel meer gegevens opgeleverd. Er zijn bijvoorbeeld ook gegevens gevonden in back-upsystemen van de servers.
Lijkt er op dat ze de backup gewoon hebben ontsleuteld met de encryptiesleutels, maar dat ze eerder niet deze hebben doorzocht.
"Het beheer van die netwerken wordt als het faciliteren van criminele activiteiten gezien."

Zo ver is het dus gekomen: het faciliteren/beheren van pgp-encrypte/versleutelde diensten wordt nu dus al gezien als 'crimineel' gedrag. Zullen ook criminelen gebruik maken van encryptie? Natuurlijk. Maar privacy is not a crime. Zonder heel gerichte probable cause, heeft een overheid helemaal niets te zoeken in een andermans berichten (al dan niet versleuteld).

Het is diep triest te noemen dat het zo ver gekomen is. Vroeger had je het briefgeheim (maar wie verstuurt er nu nog brieven?). Dan was iedereen strafbaar die jouw brieven onderweg stiekum wilde lezen. Nu ben JIJ de crimineel, alleen maar omdat je niet wil dat een ander meeleest.
Hoho, in het geval van Ennetcom klopt dit gewoon hè, niks mis mee.
Er staat dan ook achter "Uit een actie uit 2017 bleek dat het OM leveranciers voor witwassen vervolgt als zij cryptophones leveren aan criminelen."

Ben het wel met je eens dat dit niet voor al dit soort netwerken zou moet gelden, maar wel als de doelgroep overduidelijk bestaat uit criminelen.
Naar verwachting zullen een hoop zittende boeven hun hoger beroep nu opeens gaan intrekken.
En was er voor alle verzenders of ontvangers van deze miljoen berichten een bevel van de rechter om ze af te mogen tappen of hun gegevens te doorzoeken? Op basis van wat mag het OM deze correspondentie doornemen?
Laten we zeggen: het OM vindt een sieradenwinkel waar een flink aantal gestolen juwelen worden verhandeld. Mak er dan worden gekeken naar de herkomst van de gehele inventaris?
7 TB aan data en dan maar 3,6 miljoen berichten. Waarom is dat zoveel data? Neem toch net aan dat bij elk bericht tientallen foto’s zitten enz.
Je moet wel een foto maken van je geliquideerde slachtoffer hé. :9
Af en toe komt er weer wat bij. Misschien moeten ze batch voor batch ontsleutelen en komt er af en toe een miljoen berichten bij, maar nog steeds uit de 7TB.

Dat is ook wel de onrust in de onderwereld. Wat hebben ze al, en wat gaan ze nog krijgen?

[Reactie gewijzigd door Dennisdn op 30 januari 2019 12:11]

Het beheer van die netwerken wordt als het faciliteren van criminele activiteiten gezien.
Waarom mag Whatsapp met Signal protocol dan wel? Of wordt dat gedoogd? Lijkt mij exact hetzelfde en ik dacht zelfs veiliger wegens gebrek aan master keys. Ook voor SSL/TLS.

Dit is toch gewoon meten met twee maten.

[Reactie gewijzigd door Mushroomician op 31 januari 2019 05:47]

Zelfde reden dat de bouwmarkt niet vervolgd wordt wegens de verkoop van gereedschap dat gebruikt van worden voor inbraken. "Overweldigend gebruikt voor legale doelen" versus "Vrijwel uitsluitend gebruikt door criminelen".

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True