Takedown is een podcast van het Team High Tech Crime van de Nederlandse politie. Het THTC houdt zich bezig met complexe, (inter)nationale cybercrimezaken en nieuwe vormen van high-tech criminaliteit. De doelstelling van dit team? Het bestrijden van cybercrime om Nederland minder aantrekkelijk voor cybercriminelen en dus veiliger te maken. In de serie Takedown spreken leden van het THTC met journalist Vivianne Bendermacher over hun specialistische werk. In een serie van zes afleveringen staat iedere keer één zaak centraal. Deze tweede aflevering draait om een actie waarbij een groot communicatienetwerk van criminelen is opgerold.
Rond 2015 vormen Ennetcom-telefoons met encryptie een probleem. Ze worden vaak gevonden bij liquidaties of arrestaties van zware criminelen, maar kunnen niet of nauwelijks worden gekraakt. Vooral de Blackberry blijkt geliefd onder zware criminelen. Er wordt gebruikgemaakt van het Ennetcom-platform omdat het volledige privacy biedt, zodat men versleutelde berichten naar elkaar kan sturen.
Ennetcom wist zichzelf goed te profileren dankzij flyers in coffeeshops en aanwezigheid op een website gericht op criminele gebeurtenissen. Op die site houden criminelen het nieuws bij over de politie en wat er internationaal allemaal gebeurt. Hoewel het verkopen van versleutelde telefoons op zichzelf niet strafbaar is, wilde THTC bewijs verzamelen om aan te tonen dat Ennetcom deze telefoons bewust aan criminelen verkoopt, wat wel strafbaar zou zijn.
Beluister de podcast:
Geliquideerde criminelen
Het onderzoek werd opgestart naar aanleiding van verdachte activiteiten bij Ennetcom, waaronder volledige privacygarantie en automatische berichtenverwijdering na 48 uur. Het wereldwijd gebruikte platform van het bedrijf leek geweldsdelicten te faciliteren. De bewuste telefoons werden aangetroffen bij criminelen die waren overleden door liquidatie. Tijdens verder onderzoek stuitten rechercheurs op een ouder naar Ennetcom dat nooit was voortgezet. Bij dat eerdere onderzoek was een laptop in beslag genomen, met daarin een IP-adres.
Ruud is teamlid van THTC en vanaf het begin betrokken bij deze case. Hij zoekt samen met andere digitaal-rechercheurs op allerlei manieren naar informatie, bijvoorbeeld in veiliggesteld bewijs en in historische en actuele publieke gegevens. Daarbij kom je ook onbekende technieken tegen: “De communicatie van Blackberry-telefoons verliep middels een protocol van Blackberry, het Session Routing Protocol, via servers van Ennetcom. Hoe dit werkte, was voor het team toen nog een onbekende factor.”
“Bij het doorgronden van de architectuur stelden we vast dat Ennetcom gebruikmaakte van servers, waaronder Blackberry Enterprise-servers, voor het beheren van versleutelde Microsoft Exchange-mails. Een belangrijke vraag was waar deze servers zich bevonden en wat voor data ze bevatten.” Het onderzoeksteam stuitte op meerdere servers die waren toegewijd aan de versleuteling en opslag van berichten. Om die berichten te ontcijferen, was grondige kennis van de opbouw van het platform noodzakelijk, waarbij ook ongelukkige instellingen van de kwaadwillende actoren een rol speelden, net als gedegen recherchewerk.
3,6 miljoen e-mails buitgemaakt
Het onderzoeksteam ontdekte dat de servers van Ennetcom in Canada stonden. Om de gegevens daarop te onderzoeken, was een rechtshulpverzoek aan de Canadese autoriteiten nodig. Dit vereiste bewijs dat de in Nederland onderzochte misdrijven ook in Canada strafbaar zijn, wat de zaak complex maakte. Het team vraagt de Canadese rechter om toestemming om de servergegevens volledig te kopiëren. Dit is nodig om aan te tonen dat Ennetcom willens en wetens geld van criminelen accepteert door in de e-mails bewijs te vinden aan wie en met welke kennis de toestellen verkocht werden. Ondanks Ennetcoms beleid om e-mails na 48 uur te verwijderen, zijn ongeveer 3,6 miljoen e-mails veiliggesteld.
De Politie
We kennen de Politie allemaal als het ‘blauw op straat’, maar ook online zet de dienst zich in voor veiligheid in de maatschappij. De specialisten van Team High Tech Crime (THTC) van de Landelijke Eenheid onderzoeken complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech crime. Het doel? Nederland veiliger, en minder aantrekkelijk voor cybercriminelen maken. Wil jij onderdeel uitmaken van dit team of een van de andere cybercrimeteams van de Politie? Bekijk hier de mogelijkheden.
PGP versus S/MIME
Ruud: “De gebruikte cryptografie was asymmetrisch, wat betekende dat gebruikers op hun telefoon een persoonlijke sleutel hadden. De communicatie werd beveiligd met PGP of S/MIME-versleuteling, waarbij die laatste variant als beter en duurder wordt beschouwd.”
PGP (Pretty Good Privacy) en S/MIME (Secure/Multipurpose Internet Mail Extensions) zijn beide methoden voor het versleutelen van communicatie, maar ze worden vaak in verschillende contexten gebruikt en kennen technische verschillen:
- PGP is een asymmetrisch cryptografisch protocol dat vaak wordt gebruikt voor het versleutelen van e-mails en bestanden (oorspronkelijk ontwikkeld door Phil Zimmermann).
- Bij PGP heeft elke gebruiker een paar sleutels: een openbare sleutel en een privésleutel. De openbare sleutel wordt gedeeld met anderen, terwijl de privésleutel strikt geheim wordt gehouden.
- Wanneer een criminele telefoon PGP-encryptie gebruikt, kan hij berichten en bestanden versleutelen met behulp van de openbare sleutels van de ontvangers. Alleen de ontvangers die over de bijbehorende privésleutels beschikken kunnen de versleutelde inhoud ontsleutelen.
- PGP is meestal niet ingebouwd in mobiele telefoonsoftware. Criminele telefoons vereisen extra software om PGP-encryptie te implementeren.
- S/MIME is ook een asymmetrisch cryptografisch protocol, maar het wordt meestal gebruikt voor het beveiligen van e-mailcommunicatie, vooral in zakelijke omgevingen.
- In het geval van S/MIME heeft elke gebruiker een digitaal certificaat dat wordt uitgegeven door een vertrouwde certificeringsinstantie (CA). Dit certificaat bevat de openbare sleutel van de gebruiker.
- Criminele telefoons die S/MIME-encryptie gebruiken, kunnen e-mails ondertekenen en versleutelen met behulp van hun digitale certificaat. De ontvanger kan het certificaat gebruiken om de afzender te verifiëren en de e-mail te ontsleutelen.
- S/MIME wordt vaak ondersteund door populaire e-mailclients op mobiele telefoons, waardoor het gemakkelijker kan worden geïntegreerd in criminele communicatie.
Om de versleuteling te doorbreken, moest het team zich verdiepen in de werking ervan. Daarbij kreeg het te maken met terabytes aan data; daarom werd eerst een triage van de gegevens uitgevoerd. Pas na verder onderzoek slaagde men erin een eerste bericht te ontcijferen. Dat was een grote doorbraak.
Ruud: “In totaal moesten ongeveer 3,6 miljoen berichten geautomatiseerd worden verwerkt. Deze verwerking lag in het begin bij ons. Een uitdaging hierbij was bijvoorbeeld het omgaan met verschillende encoding-methoden, aangezien tekst op meerdere manieren kan worden opgeslagen. We moesten kijken hoe we deze informatie leesbaar konden maken. Toen dat eenmaal was gelukt, ging het steeds beter en sneller. Gelukkig kon in Hansken veel geautomatiseerd worden verwerkt en doorzoekbaar worden gemaakt. Die oplossing is uiteindelijk gebruikt.”
:strip_exif()/i/2006258708.jpeg?f=imagenormal)
Met zoekmachine Hansken van NFI zoeken naar schuilnamen en codetaal
Met de bulk aan data leesbaar gemaakt, ontwikkelde THTC een plan van aanpak om te bewijzen dat Ennetcom betrokken was bij zware criminaliteit. Het team gebruikte criminele berichten die uit de Ennetcom-telefoons kwamen als bewijs, evenals financieel onderzoek om aan te tonen dat de directie er financieel beter van was geworden.
Tijdens het onderzoek werden strafbare feiten ontdekt - zoals moorden - maar men kon hier niet direct actie op ondernemen. Per zaak moest toestemming worden gevraagd aan de rechter-commissaris om de data te onderzoeken. De moordzaken waarin de berichten als bewijs werden gebruikt, waren complexe zaken, zoals het Marengo-proces dat ook om liquidaties draaide. Het was een uitdaging om te bepalen wie er achter de schuilnamen en codetaal in de berichten schuilden, maar door zoektermen en andere informatie kon het team de betrokkenen identificeren en het verloop van gebeurtenissen reconstrueren.
Marieke: “We gebruikten hiervoor Hansken; een geavanceerde zoekmachine van het Nederlands Forensisch Instituut (NFI), ontworpen om grote hoeveelheden digitale data te verwerken en te analyseren. We hebben voor deze zaak bijvoorbeeld gezocht op bepaalde woorden zoals ‘slapen’ wat straattaal is voor een liquidatie”
In het kort komt de werking van Hansken op het volgende neer: het systeem kan een breed scala aan digitale gegevensbronnen verwerken, ondersteunt diverse bestandsformaten en kan omgaan met gecodeerde of gecomprimeerde data. Voor het efficiënt doorzoeken van gegevens gebruikt Hansken een indexatiemethode. Deze methode creëert een gestructureerde database van de ingevoerde gegevens, waardoor snel en accuraat zoeken mogelijk is. Indexering omvat het categoriseren van data, het identificeren van sleutelwoorden en het aanmaken van metadata.
Nieuwe inzichten en strategieën
Het onderzoek heeft niet alleen geleid tot veroordelingen in de zaak tegen Ennetcom en de directeur, maar heeft ook inzicht gegeven in hoe de georganiseerde criminaliteit functioneert. Dit heeft de kijk van THTC op criminaliteit veranderd, en men begrijpt nu beter hoe criminele netwerken opereren en hoe daarop kan worden ingespeeld.
Verder heeft het onderzoek ook het inzicht gegeven dat moord op bestelling plaatsvindt alsof het de normaalste zaak van de wereld is. Marieke: “Als je kijkt naar hoe dat in het buitenland, bijvoorbeeld Colombia, gaat of in bepaalde tv-series wordt getoond, blijkt dat we daar in Nederland niet ver vanaf zitten. Het gebeurt hier ook gewoon.” Het onderzoek heeft daarnaast geleid tot nieuwe strategieën in de opsporing, waarbij prioriteit wordt gegeven aan de meest ondermijnende en gewelddadige criminele samenwerkingsverbanden.
Zo beluister je de Takedown podcast & geef je mening
Takedown is te beluisteren via gesponsorde artikelen die in samenwerking met de Nationale Politie en Team High Tech Crime worden geschreven voor Tweakers, en via Spotify of jouw favoriete podcastplatform. Abonneer je direct op Takedown, want dan krijg je een melding als de volgende aflevering klaarstaat. De vorige aflevering, over een spannende case waarin de politie het brein achter de Rubella-malware letterlijk uit de Nederlandse collegebanken plukte, luister je hier terug. Ook zijn we benieuwd wat jij van deze podcast vindt. Vul hier de korte enquête in en laat het ons weten.
Wil je nu meer weten over werken bij het THTC? Hier vind je een overzicht van alle IT-vacatures bij de politie.
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij de Politie en Tweakers Partners. Tweakers Partners is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Bekijk hier het overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_exif()/i/2006225226.jpeg?f=fpa)
:strip_icc():strip_exif()/u/162720/crop56e270e1a5394_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/3496/ford_power_klein.jpg?f=community){kind=small}
/u/2008130/crop6536ebba0daf2_cropped.png?f=community){kind=small}
/u/1533218/crop6202456a20713.png?f=community){kind=small}
:strip_icc():strip_exif()/u/219059/crop5efafd1bd64af_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/247341/803235p.jpg?f=community){kind=small}
/u/466919/Tweakers_p9_v2.png?f=community){kind=small}
/u/417773/crop5b62e53f02576_cropped.png?f=community){kind=small}
