Auteur jjoerlemans

Veroordeling bankingmalware (NjRAT)

jjoerlemans Een reactie plaatsen

Op 5 september 2017 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2017:2519) voor het gebruik van banking malware. In de informatieve uitspraak wordt de werking van de malware uitgebreid omschreven.

De verdachte heeft samen met zijn mededader(s) een paar maanden in 2015 via een aantal spamruns onschuldig ogende e-mails verstuurd naar duizenden ontvangers, waarbij de verdachte en zijn mededader(s) het hadden voorzien op bedrijven. Deze e-mails bevatten een bijlage in de vorm van een gemanipuleerd Word-bestand. Zodra een ontvanger dit Word-bestand opende, werd automatisch malware op de computer van de betreffende ontvanger geïnstalleerd. De malware, njRAT genaamd, is een ‘Remote Access/Administration Tool’, waarmee op afstand toegang tot computers kan worden verkregen.

Eenmaal geïnfecteerd meldden de besmette computers zich aan op het beheerderspaneel dat op de computer van de verdachte geïnstalleerd was. Op dat moment was het voor de verdachte of zijn mededader(s) mogelijk om mee te kijken op het computerscherm van het slachtoffer en kon de verdachte of zijn mededader(s) ook de controle over de muis en het toetsenbord overnemen. Ook hield de RAT bij welke toetsaanslagen er allemaal op het toetsenbord van de besmette computer werden gemaakt. Op deze wijze verkregen de verdachte en zijn mededader(s) wachtwoorden en andere inloggegevens waarmee zij konden inloggen op de [bank]-internetbankieromgevingen van bedrijven.

Witwassen

Vervolgens veranderden de verdachte en zijn mededader(s) de bankrekeningnummers met betrekking tot betaalopdrachten in het kader van o.a. loonuitbetalingen, die in de [bank]-internetbankieromgeving klaarstonden om te worden verwerkt. Door het veranderen van de bankrekeningnummers zorgden zij ervoor dat de gelden niet op de bankrekeningen van de rechthebbenden terechtkwamen, maar op de bankrekeningen van money mules, die door de verdachte en zijn mededader(s) waren geworven. Daarna werd geld door de verdachte en zijn mededader(s) vanaf die bankrekeningen opgenomen en gecasht.

De verdachte vervulde in dit geheel vooral een technische rol. Hij zorgde onder meer voor de benodigde malware, het infecteren van de computers en hield de besmette computers door middel van het beheerderspaneel in de gaten. De medeverdachte [medeverdachte] veranderde de gegevens in de [bank]-internetbankieromgeving en zorgde ervoor dat het geld werd gecasht.

Bewijsoverwegingen

Na zijn arrestatie heeft de verdachte uitgebreide bekennende verklaringen afgelegd, waarin hij in detail de configuratie van de computer heeft beschreven waarop het beheerderspaneel stond en die op het moment van zijn aanhouding in verbinding stond met een van de besmette computers. De verdachte zat op dat moment ook achter die computer. Deze verklaringen van de verdachte vinden volgens het Hof Den Haag bevestiging in objectieve onderzoeksgegevens, zoals het onderzoek aan de in de woning van de verdachte in beslag genomen computer en in afgeluisterde telefoongesprekken die de verdachte met anderen heeft gevoerd. Het hof ging dan ook niet mee met het argument van de raadsman dat de verklaringen onbetrouwbaar waren. Ook de verdediging dat er sprake zou zijn van een alternatief scenario moet volgens het Hof Den Haag vanwege als het bewijs als ‘ronduit ongeloofwaardig’ moet worden geacht.

Veroordeling

De verdachte wordt veroordeeld voor computervredebreuk, witwassen en valsheid in geschrifte. De verdachte moet ongeveer 36.000 euro aan schadevergoeding betalen en kreeg een onvoorwaardelijke gevangenisstraf van 30 maanden opgelegd. Bij het opleggen van de straf is rekening gehouden dat de bewezenverklaarde feiten in een relatief korte periode zijn gepleegd en dat er – in vergelijking met andere banking malware-zaken – geen sprake is geweest van ‘een voor de betrouwbaarheid en continuïteit van het digitale betalingsverkeer in bredere zin zeer bedreigende werkwijze’.

Belangrijke bewijsrol voor PGP-telefoons

jjoerlemans Een reactie plaatsen

Op 20 juli 2017 heeft de Rechtbank Amsterdam veroordeeld (ECLI:NL:RBAMS:2017:5130) voor poging tot moord in opdracht op klaarlichte dag in een woonwijk. De verdachte was één van de schutters. Op het slachtoffer werden 34 kogels afgevuurd, waarbij het slachtoffer is geraakt in zijn buik en rug. De Rechtbank spreekt dan ook van een ‘wonder dat het slachtoffer de aanslag heeft overleefd’.  Verder is de verdachte vooroordeeld voor het voorhanden hebben van (semi-)automatische wapens en twee kilo springstof, heling van gestolen voortuigen en witwassen. De verdachte kreeg een opvallend hoge onvoorwaardelijke gevangenisstraf opgelegd van 20 jaar en een schadevergoeding van € 17.980,01 aan materiële schade en € 25.000,- aan immateriële schade. De rechtbank merkte op dat met de uitspraak hopelijk een preventief effect uitgaat, omdat de liquadatiegolf in Amsterdam maar doorgaat en daarmee mensenlevens verwoest. Daarnaast worden de inwoners van Amsterdam met vuurwapengeweld in hun woonomgeving geconfronteerd.

De uitspraak is voor deze rubriek interessant, omdat bijzonder uitgebreid wordt ingegaan op het gebruik van locatiegegevens uit de telecommunicatie van verdachten en bewijs dat wordt verkregen uit uit PGP-telefoons. Voor het ‘uitpeilen’  van de locatie van de verdachte werd gebruik gemaakt van de zogenaamde ‘IMSI-catcher’. Met de IMSI-catcher is een IMEI-nummer (een identificerend gegeven van een mobiele telefoon) geïdentifcierend dat toebehoorde aan bepaald type Blackberry, waarvan de verdachte gebruik van heeft gemaakt. Dit heeft in de bewijsconstructie bijgedragen.

PGP-telefoons zijn geprepareerde mobiele telefoon, waarmee op een meer gebruikersvriendelijke wijze gebruik kan worden gemaakt van het programma ‘Pretty Good Privacy’ (PGP). Met het programma kan op versleutelde wijze worden gecommuniceerd met anderen die daarvan gebruik maken. In dit geval heeft het NFI de wachtwoorden achterhaalt van PGP-telefoons, en daarmee de communicatie tussen de verdachten over de ten laste gelegde feiten. Het is onduidelijk of het een relatie heeft met de politieactie van het Team High Tech Crime in 2016, waarbij de servers inbeslag zijn genomen van een van witwassen verdacht bedrijf dat zich specialiseerde in het aanleveren van geprepareerde PGP-telefoons. Daarbij werd in totaal 7 Terabyte aan data gevonden met 3,6 miljoen versleutelde berichten die zijn verstuurd via zo’n 40.000 smartphones die op het Ennetcom-netwerk geregistreerd stonden. Naar aanleiding van deze inbeslagname worden naar verluidt netwerken tussen criminelen in kaart gebracht en communiatie tussen verdachten worden geanalyseerd.

De verdachte maakte ook gebruik van een Blackberry-telefon met het PGP-programma. Bij het moederbedrijf van Blackberry, RIM, zijn gegevens gevorderd over verschillende verdachten op basis van hun IMEI-nummers (een identifcicerend gegeven van een mobiele telefoon). Dit leverde een e-mailadres op die gekoppeld kan worden aan andere e-mailadressen in combinatie met bijnamen in de contactlijst van de telefoon. Ten slotte kon uit onderzoek naar de historische telecomgegevens van de PGP-telefoon en observaties worden nagegaan dat deze vaak zendmasten heeft aangestraald in de directe omgeving van het verblijfadressen van medeverdachten. Deze gegevens droegen bij aan het koppelen van de verdachten aan de apparaten, waarop belastende gegevens zijn gevonden.

Uiteindelijk is de rechtbank aan de hand van de historische telecomgegevens van de (PGP-)telefoons, de peilbakengegevens van zowel de auto’s , historische wegverkeersgegevens, observaties, camerabeelden, gesprekken die zijn opgenomen door middel van een microfoon in een auto en e-mailberichten uit de PGP-telefoons, nagegaan waar de verdachten zich bevonden in de periode voorafgaand aan de schietpartij en op de dag van de schietpartij zelf. Dit heeft geleid tot de overtuiging van schuld op basis van het bewijs en de uiteindelijke veroordeling van de verdachte.

Veroordeling voor ‘uitreizen’ naar Syrië en de rol digitaal bewijs

jjoerlemans Een reactie plaatsen

Op 27 juli 2017 veroordeelde (ECLI:NL:GHAMS:2017:3041) het Hof Amsterdam een 23-jarige Syriëganger voor het uitreizen en het voorbereiden/bevorderen van terroristische misdrijven en poging tot deelneming aan een terroristische organisatie (IS). Het hof acht bewezen dat de verdachte wilde deelnemen aan de gewapende strijd van IS in Syrië.

Het hof legt een hogere straf op dan de rechtbank (drie jaar), maar met een aanzienlijk voorwaardelijk deel (twee jaar), met bijzondere voorwaarden, waaronder contactverboden. Het Hof komt tot de hogere straf ‘op de stuitende aard van de misdrijven waaraan IS zich structureel bezondigt en heeft bezondigd’, gelet op de strafrechtelijke doelen van vergelding en afschrikking. De zaak is voor deze rubriek interessante vanwege de belangrijke bewijsrol van Facebook en Whatsapp.

Op de inbeslaggnomen gegevensdragers van de verdachte (een laptop en smartphone) is belastend materiaal gevonden, namelijk afbeeldingen/videobestanden van onthoofdingen, preken over jihadstrijders, jihadistische strijdliederen, IS-propaganda voor de gewapende strijd, gedode en (ernstig) gewonde personen en een profielfoto van de verdachte op Facebook, gekleed als een in het zwart geklede strijder met de IS-vlag.

Daarnaast heeft hij via Twitter  uitlatingen gedaan, zoals “Revenge is a promise (28 augustus 2014)”, “Beste om/aivd/politie, jullie gaan allemaal dood (6 december 2014)”, “Jullie zijn kuffaar (ongelovigen) en kuffaar gaan naar de hel (6 december 2014)”, en “Alle jihad-gerelateerde artikelen, tijdschriften, lezingen, filmpjes en films die ik heb doorgespit: research purposes … ik wens nl, naast voetbalexpert, de titel terrorisme-expert in mijn CV te kunnen zetten (6 december 2014)” .

Ten slotte speelde zijn zelfgekozen WhatsApp-naam “Lone Wolf” en de inhoud van zijn contacten met – en over – Nederlandse uitreizigers die zich bij de gewapende strijd hadden aangesloten een rol in zijn veroordeling. In de uitspraak wordt (geanonimiseerd) verwezen naar het gebruik beveiligde communicatiediensten en netwerken, waar de jihadstrijder gebruik van maakte.

Digitaal bewijs speelde grote rol in ‘Quote 500’-zaak

jjoerlemans Een reactie plaatsen

Op 29 juni 2017 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2017:1901) voor 54 maanden gevangenisstraf. De verdachte werd veroordeel voor een gekwalificeerde vorm van diefstal, witwassen en deelname aan een criminele organisatie (de ‘Quote 500’-bende). De criminele organisatie werd zo genoemd, omdat zij hun misdrijven specifiek richten op zeer vermogende Nederlanders die zijn opnenomen in de Quote 500-lijst. De zaak is voor deze rubriek interessant, omdat de digitale sporen zeer belangrijk zijn geweest voor bewijsvoering.

Op een inbeslaggenomen laptop naar aanleiding van een doorzoeking in een woning, bleek dat via de laptop gericht was gezocht naar meerdere adressen van woningen waar later bleek te zijn ingebroken. Deze woningen stonden bijna allemaal vermeld op de Quote-500 lijst. Geconstateerd werd dat op de laptop veelvuldig gebruik was gemaakt van Google Maps, waarmee tot op straatniveau was ingezoomd op woningen van kapitaalkrachtige personen. Ook droegen andere zoektermen bij aan de bewijsovertuiging van de rechters zoals: “huurauto”, “autoverhuur” en “auto huren den haag zonder creditcard”. 

Daarnaast bleek kon de politie kennelijk door middel van een internettap in 2012 nagaan welke internetsites werden bezocht vanaf het IP-adres van de woning van de verdachten. Hieruit bleek dat men dagelijks internetsites bezocht van juweliers die goud opkopen en sites waarop de goudkoers wordt vermeld. Tevens bleek dat via Google Maps plattegronden werden bekeken van diverse gemeenten waarin relatief veel kapitale woningen staan. Ook werden diverse zoekslagen gedaan op personen die op de lijst ‘Quote 500’ voorkomen, waarbij werd gezocht op hun adressen en artikelen waarin zij werden genoemd en waarbij via Google Maps of huizenverkoopsite Funda hun woningen werden bekeken.

Cyber Security Beeld Nederland 2017

jjoerlemans Een reactie plaatsen

Het cybersecuritybeeld biedt inzicht in de belangen, dreigingen, weerbaarheid en ontwikkelingen op het gebied van cybersecurity in de periode van mei 2016 tot en met april 2017.

Beroepscriminelen en statelijke actoren

Net als voorgaande jaren wordt in het beeld benadrukt dat beroepscriminelen en statelijke actoren de grootste bedreigingen vormen voor cybersecurity. Beroepscriminelen richten zich in toenemende mate op grote bedrijven voor financieel gewin. Ook is de trend zichtbaar dat steeds meer bedrijven en instellingen het slachtoffer worden van ransomware, waarbij het losgeld vaak in Bitcoin wordt geëist. De aanvallen door de WannaCry en Petya ransomware hebben in juni nog tot miljoenen euro’s aan schade geleid door de stillegging van de Tweede Maasvlakte. Daar is de gehele logistiek geautomatiseerd en deze apparaten raakten geïnfecteerd met de malware. Jihadisten zijn overigens binnnen de rapportageperiode nog niet in staat gebleken tot het uitvoeren van geavanceerde digitale aanvallen. Wel is de intentie daartoe aanwezig en worden hackers gezocht die zich bij het kalifaat willen aansluiten.

Cyberspionage

In het beeld wordt aangegeven dat bedrijven binnen de sectoren ICT, maritieme technologie, biotechnologie en lucht- en ruimtevaart, het slachtoffer zijn geweest van economische spionage. Deze activiteiten varieerden van enkel voorbereidingshandelingen tot het daadwerkelijk exfiltreren van vertrouwelijke bedrijfsgegevens. Naast digitale economische en politieke spionage en sabotage, zetten staten digitale middelen in voor de beïnvloeding van democratische processen. Daarbij kan gedachten worden aan de digitale aanvallen op de Amerikaanse Democratische Partij en tijdens de campagne van de Franse president Macron. Ook wordt zichtbaar dat veel organisaties afhankelijk zijn van een beperkt aantal aanbieders van digitale infrastructuurdiensten waardoor de maatschappelijk impact bij verstoring groot kan zijn. Datalekken zijn in de onderzoekersperiode toegenomen qua omvang en frequentie. Bovendien hebben kwetsbare apparten in het ‘internet der dingen’ geleid tot verstorende aanvallen die de noodzaak tot het versterken van de digitale weerbaarheid onderschrijven. Daarbij kan gedacht worden aan het ‘Mirai-botnet’, waarmee zeer krachtige denial-of-service aanvallen zijn uitgevoerd die tot uitval leiden van diensten als Twitter en Netflix.

De staatssecretaris van Veiligheid en Justitie waarschuwt dat ‘de digitale weerbaarheid van individuen en organisaties achter blijft bij de dreiging’. In zijn reactie op het rapport geeft hij aan dat hij de Cyber Security Raad heeft gevraagd advies te geven met betrekking tot de kansen en dreigingen van het Internet of Things. Hiermee kan worden verkend welke nationale en internationale mogelijkheden er bestaan om in gezamenlijkheid verder te werken aan de digitale veiligheid van producten en diensten. Ook vraagt hij de Cyber Security Raad, in het licht van de motie Hijink-Tellegen, advies te geven over de informatie-uitwisseling met betrekking tot cybersecurity en cybercrime. In het bijzonder vraagt hij in te gaan hoe gekomen kan worden tot een landelijk dekkend stelsel van informatieknooppunten, het bevorderen van informatie-uitwisseling en het delen van advies.

Gebruik van policeware in de Aydin C.-zaak

jjoerlemans Een reactie plaatsen

Posted on 17/07/2017 on Oerlemansblog

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.

Veroordeling voor ontwikkelen van banking malware

jjoerlemans Een reactie plaatsen

Op 7 april 2017 heeft de Rechtbank Rotterdam een interessant vonnis (ECLI:NL:RBROT:2017:2815) gewezen over banking malware. Veroordelingen voor het ontwikkeling van malware komen in Nederland niet veel voor en daarom is de uitspraak nieuwswaardig. Het bewijs werd in casu vooral geleverd uit de inhoud van chatgesprekken via de app Telegram. Telegram versleutelt  berichtenverkeer en verhinderd daarmee het lezen van inhoudelijk verkeer bij een tap. Door inbeslagname van een smartphone, is het echter mogelijk gebleken de berichten uit te lezen en gedragingen van de verdachte  te koppelen aan strafbare feiten.

De verdachte is naast het ontwikkelen van malware veroordeeld voor het medeplegen van computervredebreuk en diefstal met een valse sleutel, omdat uit de bewijsmiddelen een nauwe en bewuste samenwerking van de verdachte met een medeverdachte is gebleken. De rechtbank merkt op dat via de app onder meer berichten zijn uitgewisseld over het testen van malware, teksten voor de bij de fraude te gebruiken teksten, werd gecommuniceerd over het gebruik van ontvangstadressen voor bankpassen en/of bestellingen, werden persoonlijke (inlog)gegevens van diverse derden gedeeld en werd ten slotte informatie over het leeghalen van (bank)rekeningen en het ‘arriveren’ van gelden op rekeningen van zogenaamde katvangers gedeeld.

De verdachte is vrijgesproken van gewoontewitwassen ‘nu er “slechts” één keer is gecasht en daarmee geen sprake kan zijn van een herhaling van feiten, zoals een bewezenverklaring van gewoontewitwassen vereist’, aldus de rechtbank. Ook voor het gewone delict witwassen ontbrak volgens de rechtbank de vereiste verhullingshandeling.

De verdachte is veroordeelt voor drie jaar gevangenisstraf.

Veroordeling voor beheerder kinderpornoforum

jjoerlemans Een reactie plaatsen

Op 31 maart 2017 heeft de Rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2017:2445) tot 4 jaar en 7 maanden gevangenisstraf voor het grootschalige bezit en de verspreiding van kinderporno. De rechtbank achtte het bewezen dat de verdachte meer dan 200.000 (!) kinderpornografische afbeeldingen of video’s in bezit heeft gehad. Onder de aangetroffen kinderpornografische afbeeldingen bevonden zich veel afbeeldingen van meisjes jonger dan twaalf jaar, waaronder baby’s en peuters. Daarnaast is de verdachte één van de beheerders geweest van een kinderpornoforum. De zaak is benoemingswaardig, vanwege de enorme hoeveelheid kinderpornografie en verweer van de verdachte.

De advocaat betoogde in deze zaak dat bewijs moest worden uitgesloten vanwege een onrechtmatige doorzoeking en inbeslagname van de computer en het afgeleide bewijsmateriaal naar aanleiding van de doorzoeking. In casu heeft de moeder van de verdachte echter opsporingsambtenaren in huis binnen gelaten, waardoor er van een doorzoeking geen sprake was. De inbeslagname van een computerkast in 2010 wordt door de rechtbank wel onrechtmatig geacht. Op de inbeslaggenomen computer werden nicknames van de verdachte gevonden. Tijdens een ander onderzoek in 2012 naar een online kinderpornoforum kwamen de rechercheurs de nicknames van de verdachte tegen. Op het forum werden links naar afbeeldingen en video’s met kinderpornografie geplaatst en werden tips voor kindermisbruik uitgewisseld.

De gevonden nicknames konden worden gerelateerd aan de verdachte en dit leidde in 2014 tot een nieuwe verdenking tot de verspreiding van kinderpornografie via het internetforum. De verdachte had een belangrijke actieve en regulerende rol als één van de beheerders van het forum. De verdachte faciliteerde een versleutelde gegevensuitwisseling via het internet, waardoor de inhoud van het internetforum onzichtbaar bleef en slechts met wachtwoorden kon worden ontsloten. Ook gaf hij tips en trucs over hoe uit handen van de politie te blijven. Verder was de verdachte op nog vier andere kinderpornografische chatfora actief. In 2015 vond een nieuwe doorzoeking in zijn woning plaats, waarbij het noodzakelijke bewijs voor de veroordeling van de verdachte van zijn computers en gegevensdragers is verzameld.

De verdachte is niet veroordeeld voor het bezit van dierenporno, omdat deze slechts waren te vinden in de ‘unallocated clusters’ op de harde schijf. Dat betekent dat de bestanden op enig moment op de harde schijf van de computer van de verdachte te vinden waren, maar dat het opzet op het bezit op basis van dit feit alleen niet bewezen is.

Veroordeling voor banking malware op mobiele telefoons (perkele) en witwassen

jjoerlemans Een reactie plaatsen

Op 24 januari 2017 heeft het Hof Den Haag zijn enkele verdachten veroordeeld (ECLI:NL:GHDHA:2017:81) voor het gebruik van banking malware op computers en mobiele telefoons van rekeninghouders.

Na besmetting met de malware werden bankklanten tijdens het internetbankieren door een nepscherm, mogelijk gemaakt met de zogenaamde ‘webinject’-techniek, ertoe bewogen een transactie uit te voeren. Met behulp van kwaadaardige software van het type ‘Perkele’ werden vervolgens de benodigde TAN-codes van Android telefoons van ING klanten afgevangen. TAN-codes worden gebruikt als dubbele authenticatiemethode en zijn noodzakelijk om de transactie uit te voeren.

Vervolgens werden de bedragen vanaf de betreffende bankrekeningen overgeboekt naar de bankrekeningen van money mules, die daar een bepaalde vergoeding voor kregen. Het geld werd daarna zeer snel gepind of omgezet in andere betaalmiddelen, goederen, of direct of indirect overgemaakt naar het buitenland. In totaal is ongeveer €13.000,- euro aan bitcoins gekocht met geld dat was overgemaakt met de frauduleuze betalingen. Een verdachte maakte gebruik van een gehackt computernetwerk van een garagebedrijf om op deze manier zijn sporen zoveel mogelijk te verhullen.

De verdachten zijn veroordeeld voor computervredebreuk, diefstal met valse sleutel vanaf bankrekeningen, gewoontewitwassen, oplichting en valsheid in geschrifte. De verdachten hebben de stevige onvoorwaardelijke gevangenisstraf van 4,5 jaar opgelegd gekregen. De schadevergoeding aan de betrokken bank heeft echter geen stand gehouden.

Vorderen van gegevens in de cloud

jjoerlemans Een reactie plaatsen

Citeertitel: Rb. Overijssel, 1 februari 2017, ECLI:NL:RBOVE:2017:417, Computerrecht 2017/52, m.nt. J.J. Oerlemans

Noot

Deze zaak betreft een klaagschrift over het vorderen van gegevens van een Nederlandse clouddienstverlener. De zaak is interessant, omdat het de eerste gepubliceerde zaak is op strafrechtelijk gebied over het vorderen van gegevens bij clouddienstverleners. De zaak biedt meer duidelijkheid over de vraag op basis van welke juridische grondslag opgeslagen documenten bij een clouddienstverlener kunnen worden gevorderd. In deze noot wordt niet ingegaan op mogelijke jurisdictievraagstukken. Het betreft hier een Nederlandse opsporingsonderzoek naar een Nederlandse verdachte, waarbij relevante stukken worden gevorderd bij een Nederlandse clouddienstverlener.

De feiten

In casu ontwikkelde de klaagster software ter ondersteuning van fiscale aangifte- en advieswerkzaamheden voor accountants en administratiekantoren. Vervolgens vorderde de FIOD gegevens bij klaagster in het kader van een strafrechtelijk onderzoek. Het ging om gegevens over de belastingaangiften en onderliggende aantekeningen met betrekking tot het indienen van de aangiften van een klant van de klaagster over een periode van meer dan vijf jaar.

Deze gegevens staan opgeslagen op een server van Amazon in Ierland, waar de klaagster een deel van de server voor haar klanten huurt. De klaagster stelt zich op het standpunt dat voor de vordering geen juridische basis bestaat en de vordering niet proportioneel en subsidiair is.

Oordeel rechtbank

Met betrekking tot de vraag welke juridische basis van toepassing is, geeft de rechtbank aan dat de klaagster een provider van een communicatiedienst is in de zin van art. 126la sub a Sv. De reden is dat zij voor haar klanten de faciliteit biedt om toegang te krijgen tot de opgeslagen gegevens op een door haar gehuurde server bij Amazon in Ierland. Zij fungeert daarmee als ‘toegangspoort tot de cloud’, hetgeen een vorm van telecommunicatie is.

Met betrekking tot de vraag of de vordering proportioneel en subsidiair is, geeft de rechtbank aan dat dit het geval is. De rechtbank vindt het daarbij kennelijk niet bezwaarlijk dat meer dan vijf (!) jaar aan documentatie van belastingaangiften en onderliggende aantekeningen van een verdachte wordt opgevraagd. Hoewel de rechtbank het niet expliciet maakt, is het waarschijnlijk van grote betekenis dat het om de gegevens van één verdachte gaat en de gegevens binnen een specifieke periode worden gevorderd.

Welke wettelijke grondslag?

Lange tijd hadden Nederlandse opsporingsinstanties geen ervaring met het vorderen van opgeslagen documenten bij clouddienstverleners. Daardoor bestond onduidelijkheid over de vragen welke juridische grondslag van toepassing is voor het vorderen van gegevens bij deze dienstverleners. (zie onder andere Zie E.J. Koops, R.E. Leenes, P.J.A. de Hert, & S. Olislaegers, ‘Misdaad en opsporing in de wolken: Knelpunten en kansen van cloud computing voor de Nederlandse opsporing’, WODC, Den Haag/Tilburg 2012).

Daar is nu verandering in gekomen. De Rechtbank Overijssel maakt duidelijk dat een clouddienstverlener die toegang verschaft tot documenten op afstand een elektronische communicatieprovider is en voor het vorderen van deze gegevens een machtiging van een rechter-commissaris is vereist.

Wel rekt de rechtbank Overijssel door de uitspraak het begrip ‘aanbieder van een elektronische communicatiedienst’ enigszins op. Een tekstuele uitleg op basis van artikel 126la Sv zou met zich meebrengen dat de dienstverlening gekoppeld moet zijn aan een communicatiedienst.

Artikel 126la sub a Sv luidt als volgt: “aanbieder van een communicatiedienst: de natuurlijke persoon of rechtspersoon die in de uitoefening van een beroep of bedrijf aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst” (onderstreping toegevoegd).

 Dat “een vorm van telecommunicatie plaatsvindt” is niet voldoende. Het lijkt wel alsof de rechtbank is uitgegaan van het oude begrip ‘aanbieder van een openbare telecommunicatiedienst- of netwerk’ in het Wetboek van Strafvordering. Deze term is afkomstig uit hoofdstuk 13 van de Telecommunicatiewet, maar verschilt met de huidige term aanbieder van een elektronische communicatiedienst in het Wetboek van Strafvordering. Bij aannemen van de Wet computercriminaliteit II is het huidige begrip in art. 126la Sv geïntroduceerd. Daarbij is de nadruk meer komen te liggen op het verlenen van een elektronische communicatiedienst zelf en minder op het routeren van signalen over een telecommunicatienetwerk. Webmailproviders, elektronische communicatieaanbieders die gebruik maken van apps voor hun dienstverlening en sociale mediadiensten worden bijvoorbeeld aangemerkt als een aanbieder van een elektronische communicatiedienst, maar zijn geen aanbieder van een openbare telecommunicatiedienst- of netwerk. (Zie G. Odinot, D. de Jong, R.J. de Bokhorst & C.J. de Poot, ‘De Wet bewaarplicht telecommunicatiegegevens’, WODC, Den Haag: Boom Lemma Uitgevers 2013. Zie ook Kamerstukken II 2003/04, 29441, nr. 3, p. 14, Kamerstukken II 2007/08, 31145, nr. 9, p. 6, Kamerstukken I 2008/09, 31145, nr. F, p. 4 en Kamerstukken II 2015/16, 34537, nr. 3, p. 43. Zie ook Opinie 02/2013 over apps op intelligente apparaten van de art. 29 Werkgroep, 00461/13/NL WP 202, p. 25, noot 46)

De wijziging vindt haar achtergrond in de implementatie van het Cybercrimeverdrag als onderdeel van de Wet computercriminaliteit II. Helaas is het Cybercrimeverdrag ook dubbelzinnig over de betekenis van het begrip. In paragraaf 27 van de toelichting op het verdrag staat dat diensten die een verbinding tot een netwerk bewerkstelligen onder het begrip vallen. Daarmee wordt het begrip breed geïnterpreteerd. Een zin later wordt het echter weer versmald door te stellen dat de dienstverlening gekoppeld moet zijn aan een communicatie- of verwerkingsdienst. In casu gaat het echter om een platform dat op afstand toegang verschaft tot documenten die opgeslagen liggen op een server elders. Deze dienstverlening is vergelijkbaar met een online opslagdienst. Het is de vraag of het benodigde communicatieaspect in art. 126la Sv daarbij van toepassing is.

Conclusie

Toch heb ik veel sympathie voor de beslissing van de rechtbank. Het Cybercrimeverdrag biedt aanknopingspunten voor de interpretatie dat clouddienstverleners als een aanbieder van een elektronische communicatiedienst moeten worden aangemerkt. Bovendien is voor het vorderen van opgeslagen gegevens bij een elektronische communicatiedienstverlener art. 126ng lid 2 Sv van toepassing. Op basis van artikel 126ng lid 2 Sv moet een rechter-commissaris een machtiging geven aan de officier van justitie om deze gegevens te mogen vorderen. Deze strenge waarborgen zijn wenselijk gezien de serieuze privacy-inmenging dat het vorderen van opgeslagen documenten met zich meebrengt. Het alternatief zou zijn dat de gegevens op basis van art. 126nd Sv kunnen worden gevorderd, waarvoor minder waarborgen gelden. Voor toepassing van deze bevoegdheid is namelijk slechts een bevel van een officier van justitie  vereist. Vanuit privacyperspectief is de ruime interpretatie van het begrip elektronische communicatieaanbieder daarom zo gek nog niet.

Deze annotatie is in vergelijkbare vorm verschenen in Computerrecht.

noot-computerrecht-j.j.-oerlemans-vorderen-van-gegevens-in-de-cloud-20-februari-2017Download