Gevoel voor stijl kun je hem niet ontzeggen, de 62-jarige Nederlander Herman-Johan X, de hoofdverdachte in een omvangrijke rechtszaak omtrent bulletproof hosting. Tot twee keer toe wist hij een hostingbedrijf in een bunker te beginnen, toch een ideale locatie als je je richt op klanten die het liefst ondergronds opereren. Met bulletproof hosting laat je als hostingbedrijf potentiële klanten weten dat ze in feite met de servers mogen doen wat ze willen en dat takedownverzoeken en andere meldingen van autoriteiten in de prullenbak belanden. Dat trekt een bepaalde clientèle aan, zoals darknetmarktplaatsen voor wapens en drugs, kinderpornonetwerken en malwaregroeperingen.
Vaak bevinden de hostingbedrijven voor dat soort partijen zich in landen waar de opsporing als minder urgent wordt gezien dan hier in het Westen, maar X. trok zich daar niets van aan en begon zijn eerste CyberBunker-vestiging nabij het Zeeuwse Goes en het opvolgende bedrijf in het Duitse Traben-Trarbach. Het was daar dat in 2019 meer dan zeshonderd agenten en antiterreureenheden op de stoep stonden om een einde te maken aan de praktijken van CyberBunker. Hem en drie andere Nederlanders, waaronder zijn zoons, drie Duitsers en een Bulgaar, werd ten laste gelegd lid te zijn van een criminele organisatie die ict-diensten leverde aan illegale marktplaatsen, winkels en fora. De acht zouden zo medeplichtig zijn aan drugshandel op diverse darknetsites.
Van Arnhemse computerwinkel tot atoombunker
Herman-Johan X. blijkt al zijn hele leven geïnteresseerd in computers. De geboren Renkumer begon in de jaren tachtig van de vorige eeuw volgens De Gelderlander een computerwinkel in Arnhem met de naam PC International. Op die locatie zit overigens, na diverse keren van eigenaar te zijn gewisseld, nog steeds een computerwinkel. In de jaren negentig startte X. Zyztm, met vestigingen in Duiven en Amsterdam, Computer Discount Center en Simmcity. In 1995 nam het leven van X. een andere wending toen zijn oog viel op een te koop staande bunker in Kloetinge, bij Goes.
De Nederlandse Staat bouwde de bunker in 1955 voor 500 miljoen gulden als Provinciaal Militair Commando, een toevluchtsoord voor hooggeplaatste overheidsfunctionarissen. Het was de tijd van de Koude Oorlog en een aanval met atoomwapens werd als een reëel toekomstscenario gezien. De bunker was begin jaren negentig te koop voor 750.000 gulden. Voor dat geld kreeg de koper een betonnen kolos van twaalf meter hoog, waarvan vijfenhalve meter onder de grond. De totale oppervlakte is 972 vierkante meter, verdeeld over drie verdiepingen. Volgens de vastgoedaanbieder was de bunker ondanks gebrek aan ramen goed te gebruiken als 'jeugdherberg, wijnopslag of atelier'. Maar X. had er andere plannen mee.
Hij begon er een internetbedrijf om websites te hosten en te bouwen, een groeiende business halverwege de jaren negentig. Daarbij kon hij mooi gebruikmaken van de zeshonderd telefoonlijnen die vanuit de bunker naar de buitenwereld gelegd waren. Werknemers verbleven er 24 uur per dag, maar dat bleek geen probleem; daar was de locatie op gemaakt. X. had grootse plannen voor het pand en wilde er een 'hightech cyberkantoor' van maken, met kantine, ontspanningsruimte en zwembad om het werk te veraangenamen.
"We waren wat hosting betreft de grootste pornoboer van Europa"
Volgens een krantenartikel uit die tijd hostte CyberBunker onder andere de server van KLM Cargo, maar het bedrijf profileerde zich gaandeweg steeds meer als een hostingbedrijf waar veel kon. Aan het eind van de jaren negentig stond op de website dat klanten alles konden hosten wat ze wilden, 'behalve kinderporno en zaken gerelateerd aan terrorisme'. Een van de medewerkers, Sven-Olaf K, liet later aan Netkwesties weten: "We waren wat hosting betreft de grootste pornoboer van Europa. De porno-exploitanten uit alle landen van Europa wisten ons goed te vinden."
Xtc-laboratorium
De libertaire bedrijfsvoering was terug te zien in het interieur van CyberBunker. Het 'cyberkantoor' had meer weg van een kruising tussen een hackerspace en een kraakpand, zo is af te leiden uit foto's uit die tijd. De locatie sprak erg tot de verbeelding en CyberBunker kreeg de nodige bekendheid, vooral in 2002, vanwege een brand die er uitbrak. Noodgedwongen lieten de medewerkers politie en brandweer toe, die er op een xtc-laboratorium stuitten. Sven-Olaf K. liet op Webhostingtalk weten dat een ontploffing van het xtc-lab de oorzaak van de brand was. "Dat xtc-lab was eigendom van een stel Hagenezen die met valse paspoorten en dergelijke een 'schildersbedrijf' hadden ingeschreven bij de KvK en vervolgens ons 'zwembad' gehuurd hadden, waar natuurlijk geen water in stond ;)" X. heeft ook altijd ontkend van het lab af te weten.
:strip_exif()/i/2004837004.jpeg?f=imagearticlefull)
CyberBunker Kloetinge, foto's: Blaauw
De schade was groot bij een deel van de servers, de voedingen en het elektriciteitsnetwerk, maar de reputatieschade bleek nog groter: er vertrokken klanten en de gemeente Goes ging zich meer met de bunker bemoeien. De locatie was sindsdien in feite niet meer operationeel als hostinglocatie; het bedrijf bleef onder de CyberBunker-naam diensten aanbieden, maar dat liep via datacenters elders. "Alle data stond sindsdien in Amsterdam", zegt Guido Blaauw tegen Tweakers. Hij zag wel brood in extra beveiligde dataopslag in bunkers, maar om andere redenen dan X. De bunkers beschermen data tegen verstoring door krachtige emp's, elektromagnetische pulsen, die bij zonnestormen of aanvallen een vernietigend effect op data kunnen hebben.
:strip_exif()/i/2004837124.jpeg?f=imagearticlefull)
Eind 2008 kwam Blaauw in contact met X. om het te hebben over een overname van de bunker in Kloetinge. De vraagprijs van drie miljoen euro bleek te hoog, maar Blaauw bleef contact houden met X, die hij omschrijft als een rustige en aardige, maar ook gehaaide en op geld beluste man. Na de brand in de bunker is X. zich dan ook gaan richten op een andere lucratieve handel: die van domeinregistraties.
:strip_exif()/i/2004837086.jpeg?f=imagenormal)
Het doel was om particulieren en bedrijven te interesseren voor domeinnamen met .nl.vg als achtervoegsel, de gTLD van de Virgin Islands. Daarna dook zijn naam op bij het bedrijf Unidt, later UnifiedRoot, dat voor veel geld alternatieve topleveldomeinen, zoals .schiphol en .sex en .shop, aan de man probeerde te brengen. Het systeem voor alternatieve topleveldomeinnamen werkt met rootservers buiten die van de Icann om. Dat werkt echter alleen als voldoende gebruikers via die servers resolven. Daarvoor moesten ze de DNS-instellingen bij hun pc aanpassen of UnifiedRoot moest voldoende internetproviders bereid krijgen om mee te doen en klanten te routeren. Hoewel het bedrijf naar eigen zeggen een overeenkomst had met provider Tiscali, mislukte het plan en eindigde het volgens Netkwesties na verwikkelingen 'vol leugens en geheimzinnigheid' bij de rechter.
/i/2004836448.png?f=imagearticlefull)
Volgens Blaauw hield X. zich daarna meer met cryptocommunicatie bezig. Met behulp van een USB-stick en een chatprogramma konden klanten point-to-point versleuteld met elkaar communiceren, waarbij alle data gewist werd na het verwijderen van de stick. Blaauw: "Hij verkocht die cryptofoons aan duistere figuren en tal van leden van de onderwereld kwamen langs in de bunker. Het bracht hem ook in de problemen; hij werd continu bedreigd."
De netwerkactiviteiten van CyberBunker zouden in die tijd meer door CB3ROB, oftewel Sven-Olaf K. afgehandeld worden, iemand die niet zozeer geldbelust lijkt, maar wiens acties meer vanuit een anarchistische opvatting van vrijheid begrepen kunnen worden. In die tijd regelde CyberBunker onder andere tijdelijk de hosting voor The Pirate Bay en proxies van WikiLeaks.
Ddos-aanval op Spamhaus
In 2012 nam Blaauw met zijn bedrijf BunkerInfra definitief CyberBunker in Zeeland over voor een bedrag dat veel lager uitvalt dan de aanvankelijk gevraagde miljoen euro: 740.000 euro . "De bunker stond nog vol met zooi. We hebben vijf zeecontainers met puin geruimd. Er stond nog allemaal jarennegentigmeuk. Bovendien was nog niet alles na de brand opgeknapt, maar toch, er was overal neonverlichting. Het had toch nog altijd iets mystieks." Over aandacht had Blaauw niet te klagen, want begin 2013 vond uit naam van CyberBunker 'de grootste ddos-aanval in de geschiedenis van internet' plaats, met Spamhaus als doelwit. Spamhaus bleek CyberBunker op zijn spamblokkadelijst gezet te hebben, waarna het een hevige dns amplification attack van 300 gigabit per seconde te verduren kreeg. Blaauw: "Toen kreeg ik The New York Times en Bloomberg op bezoek en kon ik uitleggen dat de aanval niet van ons kwam. Er was nog niet eens glasvezel actief vanuit de bunker; die is pas aangelegd nadat de aanval plaatsvond." Een maand later werd Sven-Olaf K. in Spanje opgepakt voor de aanval en uitgeleverd aan Nederland, waar hij in 2016 een voorwaardelijke celstraf van 240 dagen kreeg opgelegd.
:strip_exif()/i/2004836440.jpeg?f=imagearticlefull)
Het bloed kruipt waar het niet gaan kan en in 2013 liet X. zijn oog vallen op een Duitse NAVO-bunker in Traben-Trarbach, tussen Trier en Koblenz. Met het met de verkoop van de eerste bunker verdiende geld, wilde hij er opnieuw een, jawel, bulletproof hostingbedrijf starten. Hij betaalde volgens Der Spiegel 450.000 euro voor het op een bergtop gelegen complex. De Duitse bunker is zelfs nog een maatje groter dan de Zeeuwse; het gaat om een faciliteit van vier verdiepingen tot op een diepte van 25 meter, met een totale vloeroppervlakte van 5500 vierkante meter. Volgens het Duitse OM verliep de verkoop via een in Nederland opgezette stichting.
Gaandeweg vulde het ondergrondse doolhof zich met servers en toen de glasvezelverbinding eenmaal was aangelegd, was CyberBunker back in business, met opnieuw als vrijwel enige eis aan klanten: geen kinderporno of terroristische inhoud. Wie zich wel welkom voelden, waren darknetwebsites. De groei van het aantal illegale marktplaatsen op het darknet had toen juist de aandacht van de politie wereldwijd, nadat in 2013 het populaire Silk Road werd opgedoekt. In 2015 had de Duitse politie CyberBunker al in het vizier. Volgens NRC tapte de Duitse justitie al vanaf juni 2016 al het internetverkeer van CyberBunker af om bewijs te verzamelen.
Locatie van de NAVO-bunker in Traben-Trarbach. Afbeelding: Google Earth
Het bleek nog lang te duren voordat er genoeg bewijs was verkregen, want pas in september 2019 vond de inval bij de bunker in Traben-Trarbach plaats. Daarbij zette de politie zo'n 650 agenten en leden van de tactische GSG9-eenheid in. Bij de actie werden 403 servers, 57 mobiele telefoons, 412 losse hdd's, 61 desktop-pc's en laptops, 65 USB-opslagmedia en 16 geheugenkaarten in beslag genomen. De totale hoeveelheid in beslag genomen opslagcapaciteit bedroeg 2 petabyte. Het Landelijk Centraal Bureau Cybercrime van het Openbaar Ministerie in Koblenz deed aangifte tegen vier Nederlanders van 25, 33, 50 en 60 jaar, drie Duitsers van 20, 24 en 52 jaar en een 39-jarige Bulgaar.
Wachtwoorden in Excel
Het OM beschouwde CyberBunker als een criminele organisatie met X. aan het hoofd en zijn twee zoons als deelnemers. Het bedrijf zou medeplichtig zijn aan de misdaden van klanten en deze in belangrijke mate hebben gesteund en bevorderd door de servers in de bunker ter beschikking te stellen. In de periode tussen 2016 en 2019 zou CyberBunker onder andere Wall Street Market hebben gehost, destijds een van de grootste illegale marktplaatsen ter wereld. Ook bood het bedrijf plek aan Cannabis Road, het ondergrondse forum Fraudsters, de Zweedse drugsmarktplaats Flugsvamp, en orangechemicals.com, acechemstore.com en lifestylepharma.com. In totaal zou het zo om medeplichtigheid aan meer dan 249.000 strafbare feiten gaan, aldus het OM. Het Duitse OM noemde ook de 'aanwezigheid' van de URL cb3rob.org/darknet op de servers, waarop 6581 darknetsites 'stonden vermeld'. Niet duidelijk is hoe dit onderdeel van de zaak is en CB3ROB is hoe dan ook geen onderdeel van het proces, noch als verdachte, noch als getuige.
De verschillende zittingen van het afgelopen jaar geven een beeld van een amateuristische bedrijfsvoering. Zo bleek dat CyberBunker voor elke server twee accounts aanmaakte: een voor de klant, maar ook een account met beheerdersrechten voor CyberBunker zelf. De wachtwoorden voor deze accounts waren volgens Golem in een Excel-document opgeslagen. Ook bleek uit de inbeslagname dat het bedrijf honderden harde schijven met gegevens van eerdere klanten had bewaard, ondanks beloften dat deze gegevens automatisch verwijderd zouden worden. Abusemeldingen bleek CyberBunker te negeren, maar wel stuurde het bedrijf mails naar klanten met het verzoek zich te onthouden van oneigenlijk gebruik.
/i/2004836684.webp?f=imagearticlefull)
Afbeeldingen: Landeskriminalamt Rheinland-Pfalz
Als getuige werd de Belgische IT'er Kevin S. gehoord, die vertelde dat hij al na een enkele rondleiding en nog een weekend stage mocht lopen bij de 'beveiligde hoster' en daarbij zonder verdere vragen zijn PowerEdge-server, kon installeren. Hij hoefde verder alleen een Protonmail-account aan te maken voor de interne communicatie. De stagiair vond volgens Golem de sfeer 'open, gezellig en gemoedelijk' en beweerde dat zijn manager bijna elke avond dronken was.
Servers als bankkluisjes
De grote vraag die centraal stond, was of de medewerkers wisten dat hun servers voor illegale activiteiten werden gebruikt. De advocaten beriepen zich volgens Volksfreund op artikel 10 van de Duitse Telemediawet. Dat stelt dat webhosters niet verantwoordelijk zijn voor informatie van derden die zij voor een gebruiker opslaan, tenzij ze op de hoogte waren van de illegale handeling of niet onmiddellijk actie hebben ondernomen toen ze er kennis van kregen. De medewerkers hadden theoretisch misschien de inhoud van de servers kunnen bekijken, aldus de verdediging, maar deden en wilden dat niet, en hadden dan ook geen idee wat er op de servers gebeurde. In een verklaring van X. aan Duitse media vergeleek hij de servers met bankkluisjes. "Geen enkele bankmedewerker opent die. Dat kunnen ze niet eens als ze geen sleutel hebben." Ook deelname aan een criminele organisatie werd ontkend. In de hoop op strafvermindering was bedrijfsleider Michiel S. aanvankelijk bereid te bekennen dat er sprake was van voorwaardelijke opzet bij de oprichting van de criminele organisatie, maar het OM bleek niet bereid een deal te sluiten.
/i/2004837084.webp?f=imagearticlefull)
X: "Waarom is er nooit een verzoek ingediend om het datacenter vóór 2019 stil te leggen?"
Tijdens de zittingen kreeg de rechter weinig bewijs te zien dat de verdachten wisten welke illegale sites ze huisvestten. Wel waren er berichten dat abusemeldingen gepaard gingen met een aanbod voor nog betere beveiliging, een soort stealthdienst om onder de radar te blijven. Daar staat weer tegenover dat CyberBunker eerder in 2019 meewerkte aan een eerdere actie van de Duitse politie tegen Wall Street Market en voldeed aan een sommatie harde schijven te overhandigen. Op die bereidheid tot meewerken beriep X. zich ook in zijn slotpleidooi. "Waarom is er nooit een verzoek ingediend om het datacenter vóór 2019 stil te leggen? Het enige wat mij verteld had moeten worden, was: dat willen we niet in Rijnland-Palts. Dan had ik wel iets anders gedaan."
'The Penguin'
Volgens de verdachte was CyberBunker slechts een middel om een doel te bereiken. Dat doel zou zijn om de ontwikkeling van encryptieapps te bekostigen. Dat lijkt niet alleen het doel van X. te zijn geweest. In een onverwachte wending werd X. in 2015 samen met George 'The Penguin' M. gespot in Traben-Trarbach door de Ierse krant Sunday World, mogelijk na een tip van een stagiair van CyberBunker. M. is een gezochte Ierse drugscrimineel en zijn aanwezigheid in het Duitse stadje is een belangrijke reden voor de Duitse politie om grondig onderzoek te doen naar CyberBunker, telefoons van M. af te luisteren en de inhoud van het Gmail-account van de 'godfather' bij Google op te vragen.
Uit het onderzoek bleek dat M. 700.000 euro investeerde in een niet nader genoemd ict-project in Duitsland, waarmee mogelijk op het CyberBunker-project gedoeld wordt. Ook bleek volgens Sunday World dat de Pinguin, zo genoemd vanwege zijn waggelende manier van lopen, al in 1995 de aanschaf van de eerste CyberBunker in Zeeland bekostigde en later in de jaren negentig in Nederland werd opgepakt vanwege grootschalige diefstal van computeronderdelen. X. en M. bleken regelmatig samen restaurants en een stripclub in Traben-Trarbach te bezoeken.
Volgens een getuige bezocht M. de bunker regelmatig onder de naam Mr. Green en was hij bezig met een operatie met de naam Underground om versleutelde communicatie aan te bieden. Het doel zou aanvankelijk zijn geweest om BlackBerry-telefoons voor 1200 euro aan te bieden, samen met een communicatieapp voor 3000 euro en een serviceabonnement voor 50.000 euro per jaar. Een voormalige CyberBunker-medewerker beschreef volgens Der Spiegel dat X. en Mr. Green het over apps met namen als Exclu en Enigma hadden. X. zou de apps in Polen laten ontwikkelen en ook een paniekknopfunctie inbouwen, waarmee met een enkele klik alle data te verwijderen zou zijn.
Welke rol speelde The Penguin bij de CyberBunkers? Was hij alleen de financier of speelde hij een grotere rol? Dat blijft vooralsnog onduidelijk, want al in 2017 verloor de Duitse politie ieder spoor van de Ier. Hij is dan ook geen verdachte in de CyberBunker-zaak. Daarmee kwam de focus volledig op X. en de overige medewerkers te liggen. En dat kwam hen duur te staan.
Maandag veroordeelde het arrondissementsrechtbank van Trier X. tot vijf jaar en negen maanden gevangenisstraf wegens het vormen van en deelnemen aan een criminele organisatie waar hij aan het hoofd stond. Hij had vrijspraak gepleit. Zes verdachten kregen gevangenisstraffen van tussen de twee jaar en vier maanden en vier jaar en drie maanden, De achtste verdachte kreeg alleen voorwaardelijke straf opgelegd, van een jaar. Enige lichtpunt voor de verdachten was dat de rechtbank oordeelde dat ze zich niet schuldig hadden gemaakt aan medeplichtigheid aan de strafbare feiten die zijn gepleegd op de illegale marktplaatsen die op de servers in de bunker werden gehost. Hiervoor was te weinig bewijs. Het onderzoek duurde uiteindelijk meer dan vijf jaar, de communicatie van de CyberBunker werd afgeluisterd en er werden zelfs infiltranten ingezet, zoals een tuinman.
Onderzoek naar vergelijkbare hostingpraktijken wordt in Duitsland echter een stuk makkelijker. Inmiddels is volgens Der Spiegel een nieuw strafbaar feit aan het Duitse wetboek van strafrecht toegevoegd, die gaat over 'strafrechtelijke aansprakelijkheid voor het exploiteren van criminele handelsplatforms op internet'. Het is een strafbaar feit om 'een handelsplatform op internet te exploiteren dat tot doel heeft het plegen van illegale handelingen mogelijk te maken of te bevorderen'. In Nederland richt het ministerie van Justitie zich sinds vorig jaar nadrukkelijk op foute hostingbedrijven die nalatig zijn om de verspreiding van kinderporno te voorkomen. Duitsland gaat dus al een stuk verder. De kans dat X. nog eens in een Nederlandse of Duitse bunker een bulletproof hoster begint, lijkt uitgesloten. Dat soort hostingbedrijven verplaatsen zich steeds meer naar landen waar ze in de luwte kunnen opereren.
/i/2007255194.png?f=fpa)
/i/2004675756.png?f=fpa)
:strip_exif()/i/1288866314.jpeg?f=fpa)
/i/1321107719.png?f=fpa)
:strip_icc():strip_exif()/u/242056/hellno%2520-%2520Copy.jpg?f=community){kind=small}
/u/212961/Alfred%2520Max%2520Headroom.png?f=community){kind=small}
/u/217510/crop660db19c1cf7b_cropped.png?f=community){kind=small}
) van TAP2003: Techno-Anarchistische Partij 2003. De partij waarin o.a. Cb3rob en Xennt mee wilden doen met de Nederlandse verkiezingen. Ik vraag me af wat ze tegenwoordig zouden stemmen 
(IRC over SSL had je toen nog niet, en bovendien gebruikten die vaak self-signed certs welke destijds geen enkele client verifieerde):strip_icc():strip_exif()/u/80211/crop625154a54bd09_cropped.jpg?f=community){kind=small}
:strip_exif()/u/284473/crop598caffe294d9.gif?f=community){kind=small}
/u/1006081/crop5a2704340349c_cropped.png?f=community){kind=small}
/u/294592/Appel%2520copy.png?f=community){kind=small}
:strip_icc():strip_exif()/u/63255/crop62861790abf81_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/102432/bash.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/345834/crop659102bd4439a_cropped.jpg?f=community){kind=small}
/u/1219196/crop6324b2e35d04c_cropped.png?f=community){kind=small}
/u/433185/crop6403a776d503d_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/299339/anonpict.jpg?f=community){kind=small}
/u/170550/2cfed33.png?f=community){kind=small}
/u/1604542/crop60e609f22be27.png?f=community){kind=small}
/u/23440/c.png?f=community){kind=small}
:strip_icc():strip_exif()/u/5677/crop60a67856c31dd_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/125859/crop5f21ef3dcba6f.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/61531/crop58e6052f12571.jpeg?f=community){kind=small}
/u/270752/bunny_avatar60.png?f=community){kind=avatar}
/u/936323/crop5ffc2b0f4f99f_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/82549/crop64401053a760e_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/54748/crop62515421a0d05_cropped.jpg?f=community){kind=small}
