Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

It-bedrijf moest wachtwoord overhandigen voor keyserver crimineel pgp-netwerk

Een Nederlands it-bedrijf is door de Nationale Politie gevorderd het wachtwoord te overhandigen voor de keyserver van het criminele pgp-netwerk van Ennetcom. Daardoor kon justitie het netwerk, dat door criminelen werd gebruikt om met elkaar te communiceren, in 2016 ontmantelen.

Dat schrijft De Telegraaf op basis van ingelezen stukken en gesprekken met het openbaar ministerie. Daaruit blijkt dat een it-bedrijf door middel van een officiële vordering bevolen is om mee te werken aan het onderzoek naar het Ennetcom-netwerk. Dit bedrijf leverde technische ondersteuning aan het netwerk en beschikte over het wachtwoord van de keyserver. Toen het OM dit wachtwoord kreeg kon het de versleutelde berichten lezen die via het netwerk zijn gestuurd.

Eerder bleef het onduidelijk hoe de politie precies aan de encryptiesleutels kwam. Zo werd twee jaar geleden gesuggereerd dat de sleutels op de Ennetcom-servers stonden en ook via dat bedrijf zijn verkregen. Danny M., eigenaar van Ennetcom, werd daardoor bedreigd vanuit de onderwereld en verdween uit Nederland, aldus De Telegraaf. Nu blijken de encryptiesleutels via de mede-eigenaar van het it-bedrijf te zijn verkregen. Volgens de krant heeft de justitie geen deal of andere afspraken met hem gemaakt. Zijn rol was eerder niet genoemd vanwege 'onderzoeksbelangen'. Volgens M. bewaarde het bedrijf ook 'tegen alle afspraken in oude data, die daardoor nu in handen van de politie kon vallen', schrijft De Telegraaf.

Ennetcom verkocht aangepaste BlackBerry-telefoons die toegang hadden tot het pgp-netwerk voor 1500 euro. Criminelen konden hiermee via versleutelde berichten met elkaar communiceren. De server voor de berichten stond in Canada, eind 2016 kreeg de Nederlandse politie hier toegang toe. Mede dankzij de medewerking van de mede-eigenaar kon de politie ruim 4,6 miljoen berichten lezen van 40.000 smartphones. Met de hulp van de ontsleutelde berichten probeert de politie eerder onopgeloste misdrijven en liquidaties op te lossen.

Update, donderdag 10:30: Het OM schrijft in een reactie dat 'de suggestie' dat het wachtwoord van het it-bedrijf toegang gaf tot de berichten van het Ennetcom-netwerk onterecht is. Volgens het OM heeft de politie zelf ook diverse wachtwoorden gevonden in de code van het systeem en dat alle wachtwoorden nodig waren om toegang te krijgen tot het volledige berichtennetwerk.

Door Hayte Hugo

Stagiair nieuwsredactie

23-04-2019 • 14:57

39 Linkedin Google+

Reacties (39)

Wijzig sortering
Verplicht wachtwoord leveren als je geen verdachte bent.
Art. 125 k wetboek van strafvordering.
Voor degene die niet alles willen hoeven na te zoeken:
Artikel 125k
1. Voor zover het belang van het onderzoek dit bepaaldelijk vordert, kan indien toepassing is gegeven aan artikel 125i of artikel 125j tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging van een geautomatiseerd werk, het bevel worden gericht toegang te verschaffen tot de aanwezige geautomatiseerde werken of delen daarvan. Degeen tot wie het bevel is gericht, dient desgevraagd hieraan gevolg te geven door de kennis omtrent de beveiliging ter beschikking te stellen.
2. Het eerste lid is van overeenkomstige toepassing indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.
3. Het bevel, bedoeld in het eerste lid, wordt niet gegeven aan de verdachte. Artikel 96a, derde lid, is van overeenkomstige toepassing.
Wat niet uitsluit dat je daarna alsnog als verdachte kunt worden aangemerkt.

Stel nou dat je nog geen verdachte bent, maar in die informatie zit bewijs dat jij een dader bent. Kun je dan weigeren? Dat weigeren lijkt me erg verdacht. Wordt je dan een verdachte waardoor ze het je niet meer mogen vragen 8)7
Ik vermoed dat dat zo niet werkt en dat je dan, links of rechts om, het haasje bent.
Dat kan je zeker weigeren, maar ik denk wel dat je de rede moet noemen. Niet wat er staat dus, maar dat er iets staat waardoor jij veroordeeld kan worden. Op basis van die mededeling wordt je niet veroordeeld, maar ik denk wel dat als er toegang is de politie iets beter kijkt naar wat er over jou staat. Je hoeft niet mee te werken aan je eigen veroordeling.
... redelijkerwijs kan worden vermoed dat hij kennis draagt
Vermoeden is geen bewijs. https://nl.wikipedia.org/wiki/Vermoeden_(recht)
Hoe kun je hiermee in de problemen komen als je zegt de kennis verloren te hebben?

[Reactie gewijzigd door rickiii op 24 april 2019 10:04]

En de Europese wet?
Wetten op dit gebied zijn niet Europees geregeld. Alle lidstaten hebben nog hun eigen wetten omtrent opsporing en vervolging.De Europese privacy wet geldt in dit soort gevallen niet.
Beter gezegd, de privacy wet regelt dit soort zaken niet.

De vordering is gericht aan Dahvo, maar Dahvo zelf heeft geen enkel privacy-belang bij de keyserver van Ennetcom. Ennetcom en zijn medewerkers vallen niet onder de privacy-wet, maar onder de regels voor verdachten.
Die kan zich best ver uit de voeten maken "Volgens M. bewaarde Dahvo ook 'tegen alle afspraken in oude data, die daardoor nu in handen van de politie kon vallen', schrijft De Telegraaf."
Dit komt redelijk overeen met het vogelvrij verklaren van iemand die heeft meegewerkt door de politie en de Telegraaf. Het blijft natuurlijk nog steeds een crimineel, maar of dit nou een nette manier van handelen is blijft discutabel.
Mooie waarschuwing voor opportunistisch ondernemertjes; niet tegen de belangen van Nederland ingaan.
Dit komt redelijk overeen met het vogelvrij verklaren van iemand die heeft meegewerkt door de politie en de Telegraaf. Het blijft natuurlijk nog steeds een crimineel, maar of dit nou een nette manier van handelen is blijft discutabel.
Waar lees jij dat Dahvo crimineel zou zijn? Het is een IT dienstverlener die voor een crimineel zaakje is gebruikt, maar dat hoeven ze niet te hebben geweten.

Sterker nog, als ik het citaat van @Sissors goed begrijp, hadden ze dit helemaal niet kunnen doen als Dahvo ook verdachte was.
"schrijft de telegraaf" is een journalistieke truuk om aan hoor en wederhoor te ontkomen. De krant en de journalist weet niet of het waar is, dus geeft hij zijn enkele bron.

Correcter was dit gegeven te verifiëren bij een 2e partij, maar die staan uiteraard niet in het persbericht.Dat is teveel werk anno 2019, zelfs als het over een bericht gaat van 3 jaar geleden.
Welke 2e partij stel je voor?
Het bedrijf davho? M beweert x. Davgo beweert een normaal bedrijf te zijn.
Welkom in het C/P tijdperk der journalistiek :X
Wat zou dat de eigenaar van Dahvo opgeleverd hebben :+
In ieder geval een nieuwe identiteit. Een hoop criminelen (Thagi?) zijn hier niet blij mee en zullen wraak willen nemen...
Een klant minder...
Maar ik dacht dat alleen Huawei naar de overheid hoefde te luisteren? In het westen dwingt de overheid hun bedrijven toch niet om hun eigen it beveiliging om zeep te helpen?


sarcasm
Anders gezien: Een bedrijf met focus op veiligheid zou de sleutels van hun gebruikers nooit kwetsbaar opslaan. Die kunnen gebruikers enkel zelf opslaan, en decrypten gaat lokaal.
Waarom zou je nog zoveel betalen als de poltie toch toegang zo mag krijgen.
Dan valt je hele core businiessplan en design gewoon in duigen.

Je moet onderhand toch wel weten dat de Poltie meer macht heeft dan elk ander bedrijf.
Ongeacht of ze je verdenken of niet.
Dit was gewoon op een officiële vordering, dat is niet iets wat even intern wordt geregeld. Er waren dus zeker wel zwaarwegende aanwijzingen.

Uiteindelijk: Je sleutels zijn bij jezelf het veiligste, zoals al zo vaak is gebleken. Encryptie is geen dienst, maar een afspraak met de tegenpartij. Als je het als dienst wilt gebruiken, dan loop je de risico's inherent aan het gebruik van een externe dienst.
Het hele issue hier is dat een groep mensen - die wel degelijk iets te verbergen had - nogal zijn best gedaan heeft om die gegevens te verbergen voor Justitie. Ergens in het onderzoekstraject is de politie erachter gekomen dat er wat werd verborgen, en waar. Vervolgens hebben ze (zoals @MadMarky ook al aangeeft, daar beslag op laten leggen.
Wil je dit soort zaken privé houden, dan moet je het niet commercieel verkopen. Ik durf te beweren dat een VPSje met de juiste software minder opvalt dan wanneer je een hele kast optuigt in een datacentrum en de telefoons erbij verkoopt.

Dit valt bij mij in de categorie "keurig politiewerk". Dat de aanbieder van de dienst zich heeft laten pakken, dat zal die aanbieder aangerekend moeten worden.
Opmerkingen als "politie heeft de macht" zijn van die opmerkingen die ik over het over het algemeen hoor van mensen die om de een of andere reden, en met enige regelmaat in aanvaring komen met de politie.
Het is inderdaad wel redelijk dom van die criminelen om een service (met bijbehorende hardware) te kiezen van en 'grote(re) speler'. Dan weet je indirect dat je vroeg of laat het target wordt van justitie. Ik denk dan direct aan die gasten die Kodi kastjes massaal op marktplaats verkocht hebben. Dan weet je dat dat vroeg of laat fout gaat.
En wat betreft beloftes over het wel of niet bewaren van data en hoe veilig iets is, daar kun je tegenwoordig echt niet meer op rekenen.
In het geval van BlackBerry beweerden ze zelf de keys ook niet te hebben, net zoals Apple je iPhone niet kan ontsleutelen zonder jouw input.
Je bedoelt dat we in een democratische rechtstaat leven en dat justitie op basis van artikel 125k (zie andere post) iemand kan sommeren om wachtwoorden en dergelijke af te staan.
De politie is slechts een uitvoerend orgaan en heeft hier verder niet zoveel mee te maken, anders dan dat zij het onderzoek doen naar deze criminele organisatie.
40.000 x €1.500 = € 60 miljoen.
Minus inkoop diverse hardware, software, manuren etc.
Ik vermoed dat er gewoon wat gehandeld werd en dat de roverheid over liquidaties begint om de burger wat angst aan te jagen
Er zullen toch vast wat IT-vaardige 'criminelen' tussen hebben gezeten? Waarom zou men zoveel geld betalen voor iets dat met 5 minuten googlen beter en gratis kan worden gedaan?
Omdat je dan aan je minder technische zakenpartners het technische deel moet gaan uitleggen. Dus je bent dan opeens een huurmoordenaar EN helpdesk. Daar zit men natuurlijk niet op te wachten.
Juist de "standarisatie" op één manier die iedereen in het wereldje gebruikt maakt het een stuk makkelijker.
Vertrouwen lijkt me wel een dingetje.

Ik stel me voor dat ik als boef liever een derde partij inhuur dan dat ik vertrouw op een constructie die de concullega in elkaar heeft gedraaid, zelfs als het vakmanschap onbetwist is.
Denk je nou echt dat je werkelijke bulletproof dienstverleners om zoiets op te zetten zoëven via Google gaat vinden?

[Reactie gewijzigd door RoestVrijStaal op 23 april 2019 20:43]

De meeste criminelen zijn gewoon niet al te snugger.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Google

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True