Auteur jjoerlemans

Europol iOCTA report 2017

jjoerlemans Een reactie plaatsen

Posted on 06/10/2017 op Oerlemansblog

Europol brengt elk jaar het ‘internet organised threat assessment’ (iocta) rapport uit. Het rapport komt tot stand aan de hand van vragenlijsten aan politieorganisaties binnen de EU en door input van bedrijven. Het biedt een interessant en gedetailleerde inzicht in de actuele stand van cybercrime. Ook dit jaar sprak het rapport mij aan en daarom heb ik een samenvatting gemaakt van de belangrijkste bevindingen. Deze samenvatting wil ik de geïnteresseerde lezer natuurlijk niet onthouden.

Ransomware

Ransomware vormt volgens Europol de belangrijkste malware dreiging, gelet op de slachtoffers en de schade die het met zich meebrengt. Met ransomware wordt relatief eenvoudig geld verdiend. Door het gebruik van cryptocurrencies, zoals Bitcoin, zijn de verdiensten bovendien relatief eenvoudig wit te wassen. Naast Bitcoin worden ook Monero, Etherium en ZCash in toenemende mate door cybercriminelen gebruikt. ‘Kirk’ is de eerste ransomware, waarbij Monero werd gebruikt voor het losgeld (in plaats van Bitcoin).

Niet alleen individuen worden door cybercriminelen met ransomware aangevallen, maar ook ziekenhuizen, de politie en overheidsinstellingen. MKB-bedrijven worden steeds vaker aangevallen, mede vanwege hun beperkte budget om voldoende beveiligingsmaatregelen te nemen. Europol spreekt van een “explosie van ransomware” dat op de markt komt, waarbij sommige rapporten spreken van een toename van 750% in 2016 ten opzichte van 2015.

Information stealers

Information stealers’ vormen de op een na grootste bedreiging met betrekking tot malware. Het kost cybercriminelen aanzienlijk meer moeite de benodigde informatie te stelen (zoals financiële gegevens) en het is voor criminelen lastiger met deze malware geld te verdienen vergeleken met ransomware. In het rapport wordt terecht opgemerkt dat Europol een vertekend beeld krijgt van de malwaredreiging, omdat mensen vaak de gevolgen van het gebruik van malware rapporteren. De IT beveiligingsindustrie geeft daarom noodzakelijke input voor het rapport. Binnen deze industrie bestaat een meer volledig beeld van de dreiging.

Slechte beveiliging IoT-apparaten

Europol signaleert ook de dat zwakke beveiliging van Internet of Things-apparaten cyberaanvallen in de hand werkt. Het Mirai-botnet, dat werd gevormd door lekke en misbruikte IoT-apparaten, heeft in 2016 met een zeer sterke (d)DoS-aanval de Amerikaanse DNS-provider Dyn platgelegd, waardoor populaire diensten als Twitter, SoundCloud, Spotify, Netflix, Reddit en PayPal ongeveer 2 uur onbereikbaar waren. Denail-of-service aanvallen zijn eenvoudig uit te voeren. Een botnet die in staat is een denial-of-service aanval van 5 minuten op een webshop uit te voeren, kan slechts voor 5 dollar op websites worden gehuurd.

Kinderpornografie op internet

Kinderpornografie op internet blijft een groot probleem. Het aanbod, de verspreiding en vervaardiging van het materiaal lijkt niet af te nemen. Daarnaast worden enorme hoeveelheden kinderporno in beslag genomen. Volgens Europol zijn hoeveelheden 1-3 Terabyte niet ongebruikelijk met 1 tot 10 miljoen afbeeldingen met kinderpornografie. Peer-to-peer programma’s, zoals GigaTribe, worden nog steeds door kinderpornogebruikers misbruikt voor de verspreiding en het binnenhalen van kinderporno. Europol signaleert dat ook populaire apps en sociale mediadiensten in toenemende mate worden misbruikt.

Het is ook helder dat websites op het darkweb worden gebruikt voor toegang en verspreiding tot kinderporno. Het rapport haalt aan hoe de hack op het hosting bedrijf ‘Freedom Hosting II’ 10.000 darknet websites blootlegde, waarvan 50% kinderpornografische afbeeldingen bevatte. Deze websites zijn overigens vaak gespecialiseerd in kinderporno, omdat online marktplaatsen geen kinderporno accepteren. Zowel op het ‘Surface web’ als op het ‘dark web’ zijn er pay-per-view-diensten beschikbaar waarop kinderpornografische materiaal wordt aangeboden. Volgens Europol maken veel Westelingen gebruik van de diensten, waarbij vooral minderjarigen uit de Zuidoost-Azië en Afrika worden misbruikt. De opsporing van deze misdrijven wordt bemoeilijkt door het gebruik van gratis WiFi-diensten die bijvoorbeeld in de Filipijnen aan arme wijken worden aangeboden. Het is daardoor lastig op basis van het IP-adres de slachtoffers te identificeren.

Fraude met betaalkaarten

Het gebruik chipbetaalkaarten met de EMV-standaard is nog niet alle staten gemeengoed geworden. Betaalkaarten en betaalautomaten die niet van standaard gebruik maken, worden op grote schaal misbruik om fraude en andere delicten zoals de aankoop van drugs mee te plegen. In het rapport worden spectaculaire hacks beschreven waarbij pinautomaten of het systeem dat de pinbetalingen faciliteert worden gehackt, waarna de pinautomaten automatisch geld uitspuwen of geld tot een veel hoger bedrag (tot 200.000 euro) kan worden opgenomen. Verwezen worden naar de ‘Carnabak’-groep die in 2014-2015 op deze manier 1 miljard dollar buit heef gemaakt. Meer recent is volgens Europol de ‘Cobalt’-groep actief geweest met het infecteren van pinautomaten met malware om frauduleuze pinopnamen te doen binnen de Europese Unie, waaronder Nederland.

Groei darknet markets

In het rapport wordt veel aandacht besteed aan de groei van ‘darknet markets’. De online handelsplatformen op het darkweb zijn toegankelijk via Tor, I2P en Freenet, waarbij de illegale activiteiten zich nog voornamelijk via Tor afspelen. In juni 2017 had het Tor netwerk 2.2 miljoen actieve gebruikers en bevatte het bijna 60.000 unieke .onion domeinnamen. De gebruikmaking van deze diensten zijn nog niet de standaard geworden voor de distributie van illegale goederen. Maar de darknet markets groeien snel met een eigen klantenkring in de gebieden van illegale drugshandel, wapenhandel en kinderporno. Daarnaast worden ook veel persoonsgegevens, in het bijzondere gegevens over betaalkaarten en login gegevens voor online bankieren, op het dark web aangeboden. Volgens Europol maken de volgende drie factoren het gebruik van Tor voor criminelen aantrekkelijk: (1) een bepaalde mate van anonimiteit, (2) een diverse markt aan kopers die minder lijflijk risico lopen en kunnen betalen met cryptocurrencies en (3) een goede kwaliteit van producten die worden verkocht door aanbieders die worden beoordeeld op basis van reviews.

Encryptie en dataretentie belemmering de opsporing

Voor het tweede jaar achtereen geeft Europol in het rapport ook de boodschap af encryptie de opsporing voor cybercrime belemmert. Het maakt het aftappen van telecommunicatieverkeer minder effectief en belemmert digitaal forensisch onderzoek. Daarnaast is helder dat de onrechtmatig verklaring van de dataretentierichtlijn op 8 april 2014 door het Hof van Justitie van de EU een ‘aanzienlijke negatieve invloed’ heeft op de mogelijkheden van opsporingsautoriteiten om bewijsmateriaal veilig te stellen. In sommige lidstaten is nog steeds dataretentieregelgeving voor telecommunicatiedienstverleners (waaronder ISP’s) van kracht, maar veel andere EU lidstaten niet. Deze fragmentatie belemmert de internationale opsporing van cybercrime. Europol doet geen voorstellen tot maatregelen op dit gebied, wellicht omdat het te politiek gevoelig is, maar benadrukt de problematiek die het met zich meebrengt.

Kabinetsreactie uitbraak Not-Petya

jjoerlemans Een reactie plaatsen

Op 20 september heeft de staatssecretaris van Veiligheid en Justitie een brief gestuurd naar de Tweede Kamer over de “cyberaanvallen” met de cryptoware ‘Not-Petya’ en ‘Wannacry’. In de brief wordt beschreven hoe op dinsdag 27 juni 2017 wereldwijd organisaties werden getroffen door cryptoware. De initiële besmetting lijkt plaats te hebben gevonden via een update van de boekhoudsoftware van een Oekraïens softwarebedrijf en verspreiding via een Oekraïense nieuwswebsite.

Geen maatschappelijke ontwrichting

Naar aanleiding van de aanval is de Nederlands APM Terminals op de Tweede Maasvlakte enkele dagen gesloten. Toch wordt in de brief opgemerkt dat ‘hoewel er in de media veel aandacht was voor de aanval, dit niet heeft geresulteerd in concrete maatschappelijke ontwrichting binnen Nederland’. Wel heeft het een ‘serieuze impact’ gehad en waren volgens het NCSC vier Nederlandse bedrijven besmet. Volgens de staatssecretaris heeft het NCSC adequaat gewaarschuwd en geadviseerd over te treffen maatregelen naar aanleiding van de malware.

In de nader gewijzigde motie van de leden Hijink (SP) en Tellegen (VVD) van 13 juni jl. (Kamerstukken II 2016/17, 26643, nr. 474) is de regering reeds verzocht om in overleg te treden met maatschappelijke organisaties over de oprichting en vormgeving van een ‘Digital Trust Centre’ teneinde bedrijven en maatschappelijke organisaties te informeren, adviseren en concrete hulp en ondersteuning te bieden voor het verbeteren van cybersecurity. Dit centrum wordt vormgegeven. Door het kabinet wordt voor 2018 een budget van 26 miljoen euro vrijgemaakt. Het geld wordt besteed aan de oprichting van het Digital Trust Centre en aan de ‘verdere verhoging van de digitale weerbaarheid’ in Nederland.

Veroordeling bankingmalware (NjRAT)

jjoerlemans Een reactie plaatsen

Op 5 september 2017 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2017:2519) voor het gebruik van banking malware. In de informatieve uitspraak wordt de werking van de malware uitgebreid omschreven.

De verdachte heeft samen met zijn mededader(s) een paar maanden in 2015 via een aantal spamruns onschuldig ogende e-mails verstuurd naar duizenden ontvangers, waarbij de verdachte en zijn mededader(s) het hadden voorzien op bedrijven. Deze e-mails bevatten een bijlage in de vorm van een gemanipuleerd Word-bestand. Zodra een ontvanger dit Word-bestand opende, werd automatisch malware op de computer van de betreffende ontvanger geïnstalleerd. De malware, njRAT genaamd, is een ‘Remote Access/Administration Tool’, waarmee op afstand toegang tot computers kan worden verkregen.

Eenmaal geïnfecteerd meldden de besmette computers zich aan op het beheerderspaneel dat op de computer van de verdachte geïnstalleerd was. Op dat moment was het voor de verdachte of zijn mededader(s) mogelijk om mee te kijken op het computerscherm van het slachtoffer en kon de verdachte of zijn mededader(s) ook de controle over de muis en het toetsenbord overnemen. Ook hield de RAT bij welke toetsaanslagen er allemaal op het toetsenbord van de besmette computer werden gemaakt. Op deze wijze verkregen de verdachte en zijn mededader(s) wachtwoorden en andere inloggegevens waarmee zij konden inloggen op de [bank]-internetbankieromgevingen van bedrijven.

Witwassen

Vervolgens veranderden de verdachte en zijn mededader(s) de bankrekeningnummers met betrekking tot betaalopdrachten in het kader van o.a. loonuitbetalingen, die in de [bank]-internetbankieromgeving klaarstonden om te worden verwerkt. Door het veranderen van de bankrekeningnummers zorgden zij ervoor dat de gelden niet op de bankrekeningen van de rechthebbenden terechtkwamen, maar op de bankrekeningen van money mules, die door de verdachte en zijn mededader(s) waren geworven. Daarna werd geld door de verdachte en zijn mededader(s) vanaf die bankrekeningen opgenomen en gecasht.

De verdachte vervulde in dit geheel vooral een technische rol. Hij zorgde onder meer voor de benodigde malware, het infecteren van de computers en hield de besmette computers door middel van het beheerderspaneel in de gaten. De medeverdachte [medeverdachte] veranderde de gegevens in de [bank]-internetbankieromgeving en zorgde ervoor dat het geld werd gecasht.

Bewijsoverwegingen

Na zijn arrestatie heeft de verdachte uitgebreide bekennende verklaringen afgelegd, waarin hij in detail de configuratie van de computer heeft beschreven waarop het beheerderspaneel stond en die op het moment van zijn aanhouding in verbinding stond met een van de besmette computers. De verdachte zat op dat moment ook achter die computer. Deze verklaringen van de verdachte vinden volgens het Hof Den Haag bevestiging in objectieve onderzoeksgegevens, zoals het onderzoek aan de in de woning van de verdachte in beslag genomen computer en in afgeluisterde telefoongesprekken die de verdachte met anderen heeft gevoerd. Het hof ging dan ook niet mee met het argument van de raadsman dat de verklaringen onbetrouwbaar waren. Ook de verdediging dat er sprake zou zijn van een alternatief scenario moet volgens het Hof Den Haag vanwege als het bewijs als ‘ronduit ongeloofwaardig’ moet worden geacht.

Veroordeling

De verdachte wordt veroordeeld voor computervredebreuk, witwassen en valsheid in geschrifte. De verdachte moet ongeveer 36.000 euro aan schadevergoeding betalen en kreeg een onvoorwaardelijke gevangenisstraf van 30 maanden opgelegd. Bij het opleggen van de straf is rekening gehouden dat de bewezenverklaarde feiten in een relatief korte periode zijn gepleegd en dat er – in vergelijking met andere banking malware-zaken – geen sprake is geweest van ‘een voor de betrouwbaarheid en continuïteit van het digitale betalingsverkeer in bredere zin zeer bedreigende werkwijze’.

Belangrijke bewijsrol voor PGP-telefoons

jjoerlemans Een reactie plaatsen

Op 20 juli 2017 heeft de Rechtbank Amsterdam veroordeeld (ECLI:NL:RBAMS:2017:5130) voor poging tot moord in opdracht op klaarlichte dag in een woonwijk. De verdachte was één van de schutters. Op het slachtoffer werden 34 kogels afgevuurd, waarbij het slachtoffer is geraakt in zijn buik en rug. De Rechtbank spreekt dan ook van een ‘wonder dat het slachtoffer de aanslag heeft overleefd’.  Verder is de verdachte vooroordeeld voor het voorhanden hebben van (semi-)automatische wapens en twee kilo springstof, heling van gestolen voortuigen en witwassen. De verdachte kreeg een opvallend hoge onvoorwaardelijke gevangenisstraf opgelegd van 20 jaar en een schadevergoeding van € 17.980,01 aan materiële schade en € 25.000,- aan immateriële schade. De rechtbank merkte op dat met de uitspraak hopelijk een preventief effect uitgaat, omdat de liquadatiegolf in Amsterdam maar doorgaat en daarmee mensenlevens verwoest. Daarnaast worden de inwoners van Amsterdam met vuurwapengeweld in hun woonomgeving geconfronteerd.

De uitspraak is voor deze rubriek interessant, omdat bijzonder uitgebreid wordt ingegaan op het gebruik van locatiegegevens uit de telecommunicatie van verdachten en bewijs dat wordt verkregen uit uit PGP-telefoons. Voor het ‘uitpeilen’  van de locatie van de verdachte werd gebruik gemaakt van de zogenaamde ‘IMSI-catcher’. Met de IMSI-catcher is een IMEI-nummer (een identificerend gegeven van een mobiele telefoon) geïdentifcierend dat toebehoorde aan bepaald type Blackberry, waarvan de verdachte gebruik van heeft gemaakt. Dit heeft in de bewijsconstructie bijgedragen.

PGP-telefoons zijn geprepareerde mobiele telefoon, waarmee op een meer gebruikersvriendelijke wijze gebruik kan worden gemaakt van het programma ‘Pretty Good Privacy’ (PGP). Met het programma kan op versleutelde wijze worden gecommuniceerd met anderen die daarvan gebruik maken. In dit geval heeft het NFI de wachtwoorden achterhaalt van PGP-telefoons, en daarmee de communicatie tussen de verdachten over de ten laste gelegde feiten. Het is onduidelijk of het een relatie heeft met de politieactie van het Team High Tech Crime in 2016, waarbij de servers inbeslag zijn genomen van een van witwassen verdacht bedrijf dat zich specialiseerde in het aanleveren van geprepareerde PGP-telefoons. Daarbij werd in totaal 7 Terabyte aan data gevonden met 3,6 miljoen versleutelde berichten die zijn verstuurd via zo’n 40.000 smartphones die op het Ennetcom-netwerk geregistreerd stonden. Naar aanleiding van deze inbeslagname worden naar verluidt netwerken tussen criminelen in kaart gebracht en communiatie tussen verdachten worden geanalyseerd.

De verdachte maakte ook gebruik van een Blackberry-telefon met het PGP-programma. Bij het moederbedrijf van Blackberry, RIM, zijn gegevens gevorderd over verschillende verdachten op basis van hun IMEI-nummers (een identifcicerend gegeven van een mobiele telefoon). Dit leverde een e-mailadres op die gekoppeld kan worden aan andere e-mailadressen in combinatie met bijnamen in de contactlijst van de telefoon. Ten slotte kon uit onderzoek naar de historische telecomgegevens van de PGP-telefoon en observaties worden nagegaan dat deze vaak zendmasten heeft aangestraald in de directe omgeving van het verblijfadressen van medeverdachten. Deze gegevens droegen bij aan het koppelen van de verdachten aan de apparaten, waarop belastende gegevens zijn gevonden.

Uiteindelijk is de rechtbank aan de hand van de historische telecomgegevens van de (PGP-)telefoons, de peilbakengegevens van zowel de auto’s , historische wegverkeersgegevens, observaties, camerabeelden, gesprekken die zijn opgenomen door middel van een microfoon in een auto en e-mailberichten uit de PGP-telefoons, nagegaan waar de verdachten zich bevonden in de periode voorafgaand aan de schietpartij en op de dag van de schietpartij zelf. Dit heeft geleid tot de overtuiging van schuld op basis van het bewijs en de uiteindelijke veroordeling van de verdachte.

Veroordeling voor ‘uitreizen’ naar Syrië en de rol digitaal bewijs

jjoerlemans Een reactie plaatsen

Op 27 juli 2017 veroordeelde (ECLI:NL:GHAMS:2017:3041) het Hof Amsterdam een 23-jarige Syriëganger voor het uitreizen en het voorbereiden/bevorderen van terroristische misdrijven en poging tot deelneming aan een terroristische organisatie (IS). Het hof acht bewezen dat de verdachte wilde deelnemen aan de gewapende strijd van IS in Syrië.

Het hof legt een hogere straf op dan de rechtbank (drie jaar), maar met een aanzienlijk voorwaardelijk deel (twee jaar), met bijzondere voorwaarden, waaronder contactverboden. Het Hof komt tot de hogere straf ‘op de stuitende aard van de misdrijven waaraan IS zich structureel bezondigt en heeft bezondigd’, gelet op de strafrechtelijke doelen van vergelding en afschrikking. De zaak is voor deze rubriek interessante vanwege de belangrijke bewijsrol van Facebook en Whatsapp.

Op de inbeslaggnomen gegevensdragers van de verdachte (een laptop en smartphone) is belastend materiaal gevonden, namelijk afbeeldingen/videobestanden van onthoofdingen, preken over jihadstrijders, jihadistische strijdliederen, IS-propaganda voor de gewapende strijd, gedode en (ernstig) gewonde personen en een profielfoto van de verdachte op Facebook, gekleed als een in het zwart geklede strijder met de IS-vlag.

Daarnaast heeft hij via Twitter  uitlatingen gedaan, zoals “Revenge is a promise (28 augustus 2014)”, “Beste om/aivd/politie, jullie gaan allemaal dood (6 december 2014)”, “Jullie zijn kuffaar (ongelovigen) en kuffaar gaan naar de hel (6 december 2014)”, en “Alle jihad-gerelateerde artikelen, tijdschriften, lezingen, filmpjes en films die ik heb doorgespit: research purposes … ik wens nl, naast voetbalexpert, de titel terrorisme-expert in mijn CV te kunnen zetten (6 december 2014)” .

Ten slotte speelde zijn zelfgekozen WhatsApp-naam “Lone Wolf” en de inhoud van zijn contacten met – en over – Nederlandse uitreizigers die zich bij de gewapende strijd hadden aangesloten een rol in zijn veroordeling. In de uitspraak wordt (geanonimiseerd) verwezen naar het gebruik beveiligde communicatiediensten en netwerken, waar de jihadstrijder gebruik van maakte.

Digitaal bewijs speelde grote rol in ‘Quote 500’-zaak

jjoerlemans Een reactie plaatsen

Op 29 juni 2017 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2017:1901) voor 54 maanden gevangenisstraf. De verdachte werd veroordeel voor een gekwalificeerde vorm van diefstal, witwassen en deelname aan een criminele organisatie (de ‘Quote 500’-bende). De criminele organisatie werd zo genoemd, omdat zij hun misdrijven specifiek richten op zeer vermogende Nederlanders die zijn opnenomen in de Quote 500-lijst. De zaak is voor deze rubriek interessant, omdat de digitale sporen zeer belangrijk zijn geweest voor bewijsvoering.

Op een inbeslaggenomen laptop naar aanleiding van een doorzoeking in een woning, bleek dat via de laptop gericht was gezocht naar meerdere adressen van woningen waar later bleek te zijn ingebroken. Deze woningen stonden bijna allemaal vermeld op de Quote-500 lijst. Geconstateerd werd dat op de laptop veelvuldig gebruik was gemaakt van Google Maps, waarmee tot op straatniveau was ingezoomd op woningen van kapitaalkrachtige personen. Ook droegen andere zoektermen bij aan de bewijsovertuiging van de rechters zoals: “huurauto”, “autoverhuur” en “auto huren den haag zonder creditcard”. 

Daarnaast bleek kon de politie kennelijk door middel van een internettap in 2012 nagaan welke internetsites werden bezocht vanaf het IP-adres van de woning van de verdachten. Hieruit bleek dat men dagelijks internetsites bezocht van juweliers die goud opkopen en sites waarop de goudkoers wordt vermeld. Tevens bleek dat via Google Maps plattegronden werden bekeken van diverse gemeenten waarin relatief veel kapitale woningen staan. Ook werden diverse zoekslagen gedaan op personen die op de lijst ‘Quote 500’ voorkomen, waarbij werd gezocht op hun adressen en artikelen waarin zij werden genoemd en waarbij via Google Maps of huizenverkoopsite Funda hun woningen werden bekeken.

Cyber Security Beeld Nederland 2017

jjoerlemans Een reactie plaatsen

Het cybersecuritybeeld biedt inzicht in de belangen, dreigingen, weerbaarheid en ontwikkelingen op het gebied van cybersecurity in de periode van mei 2016 tot en met april 2017.

Beroepscriminelen en statelijke actoren

Net als voorgaande jaren wordt in het beeld benadrukt dat beroepscriminelen en statelijke actoren de grootste bedreigingen vormen voor cybersecurity. Beroepscriminelen richten zich in toenemende mate op grote bedrijven voor financieel gewin. Ook is de trend zichtbaar dat steeds meer bedrijven en instellingen het slachtoffer worden van ransomware, waarbij het losgeld vaak in Bitcoin wordt geëist. De aanvallen door de WannaCry en Petya ransomware hebben in juni nog tot miljoenen euro’s aan schade geleid door de stillegging van de Tweede Maasvlakte. Daar is de gehele logistiek geautomatiseerd en deze apparaten raakten geïnfecteerd met de malware. Jihadisten zijn overigens binnnen de rapportageperiode nog niet in staat gebleken tot het uitvoeren van geavanceerde digitale aanvallen. Wel is de intentie daartoe aanwezig en worden hackers gezocht die zich bij het kalifaat willen aansluiten.

Cyberspionage

In het beeld wordt aangegeven dat bedrijven binnen de sectoren ICT, maritieme technologie, biotechnologie en lucht- en ruimtevaart, het slachtoffer zijn geweest van economische spionage. Deze activiteiten varieerden van enkel voorbereidingshandelingen tot het daadwerkelijk exfiltreren van vertrouwelijke bedrijfsgegevens. Naast digitale economische en politieke spionage en sabotage, zetten staten digitale middelen in voor de beïnvloeding van democratische processen. Daarbij kan gedachten worden aan de digitale aanvallen op de Amerikaanse Democratische Partij en tijdens de campagne van de Franse president Macron. Ook wordt zichtbaar dat veel organisaties afhankelijk zijn van een beperkt aantal aanbieders van digitale infrastructuurdiensten waardoor de maatschappelijk impact bij verstoring groot kan zijn. Datalekken zijn in de onderzoekersperiode toegenomen qua omvang en frequentie. Bovendien hebben kwetsbare apparten in het ‘internet der dingen’ geleid tot verstorende aanvallen die de noodzaak tot het versterken van de digitale weerbaarheid onderschrijven. Daarbij kan gedacht worden aan het ‘Mirai-botnet’, waarmee zeer krachtige denial-of-service aanvallen zijn uitgevoerd die tot uitval leiden van diensten als Twitter en Netflix.

De staatssecretaris van Veiligheid en Justitie waarschuwt dat ‘de digitale weerbaarheid van individuen en organisaties achter blijft bij de dreiging’. In zijn reactie op het rapport geeft hij aan dat hij de Cyber Security Raad heeft gevraagd advies te geven met betrekking tot de kansen en dreigingen van het Internet of Things. Hiermee kan worden verkend welke nationale en internationale mogelijkheden er bestaan om in gezamenlijkheid verder te werken aan de digitale veiligheid van producten en diensten. Ook vraagt hij de Cyber Security Raad, in het licht van de motie Hijink-Tellegen, advies te geven over de informatie-uitwisseling met betrekking tot cybersecurity en cybercrime. In het bijzonder vraagt hij in te gaan hoe gekomen kan worden tot een landelijk dekkend stelsel van informatieknooppunten, het bevorderen van informatie-uitwisseling en het delen van advies.

Gebruik van policeware in de Aydin C.-zaak

jjoerlemans Een reactie plaatsen

Posted on 17/07/2017 on Oerlemansblog

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.

Veroordeling voor ontwikkelen van banking malware

jjoerlemans Een reactie plaatsen

Op 7 april 2017 heeft de Rechtbank Rotterdam een interessant vonnis (ECLI:NL:RBROT:2017:2815) gewezen over banking malware. Veroordelingen voor het ontwikkeling van malware komen in Nederland niet veel voor en daarom is de uitspraak nieuwswaardig. Het bewijs werd in casu vooral geleverd uit de inhoud van chatgesprekken via de app Telegram. Telegram versleutelt  berichtenverkeer en verhinderd daarmee het lezen van inhoudelijk verkeer bij een tap. Door inbeslagname van een smartphone, is het echter mogelijk gebleken de berichten uit te lezen en gedragingen van de verdachte  te koppelen aan strafbare feiten.

De verdachte is naast het ontwikkelen van malware veroordeeld voor het medeplegen van computervredebreuk en diefstal met een valse sleutel, omdat uit de bewijsmiddelen een nauwe en bewuste samenwerking van de verdachte met een medeverdachte is gebleken. De rechtbank merkt op dat via de app onder meer berichten zijn uitgewisseld over het testen van malware, teksten voor de bij de fraude te gebruiken teksten, werd gecommuniceerd over het gebruik van ontvangstadressen voor bankpassen en/of bestellingen, werden persoonlijke (inlog)gegevens van diverse derden gedeeld en werd ten slotte informatie over het leeghalen van (bank)rekeningen en het ‘arriveren’ van gelden op rekeningen van zogenaamde katvangers gedeeld.

De verdachte is vrijgesproken van gewoontewitwassen ‘nu er “slechts” één keer is gecasht en daarmee geen sprake kan zijn van een herhaling van feiten, zoals een bewezenverklaring van gewoontewitwassen vereist’, aldus de rechtbank. Ook voor het gewone delict witwassen ontbrak volgens de rechtbank de vereiste verhullingshandeling.

De verdachte is veroordeelt voor drie jaar gevangenisstraf.

Veroordeling voor beheerder kinderpornoforum

jjoerlemans Een reactie plaatsen

Op 31 maart 2017 heeft de Rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2017:2445) tot 4 jaar en 7 maanden gevangenisstraf voor het grootschalige bezit en de verspreiding van kinderporno. De rechtbank achtte het bewezen dat de verdachte meer dan 200.000 (!) kinderpornografische afbeeldingen of video’s in bezit heeft gehad. Onder de aangetroffen kinderpornografische afbeeldingen bevonden zich veel afbeeldingen van meisjes jonger dan twaalf jaar, waaronder baby’s en peuters. Daarnaast is de verdachte één van de beheerders geweest van een kinderpornoforum. De zaak is benoemingswaardig, vanwege de enorme hoeveelheid kinderpornografie en verweer van de verdachte.

De advocaat betoogde in deze zaak dat bewijs moest worden uitgesloten vanwege een onrechtmatige doorzoeking en inbeslagname van de computer en het afgeleide bewijsmateriaal naar aanleiding van de doorzoeking. In casu heeft de moeder van de verdachte echter opsporingsambtenaren in huis binnen gelaten, waardoor er van een doorzoeking geen sprake was. De inbeslagname van een computerkast in 2010 wordt door de rechtbank wel onrechtmatig geacht. Op de inbeslaggenomen computer werden nicknames van de verdachte gevonden. Tijdens een ander onderzoek in 2012 naar een online kinderpornoforum kwamen de rechercheurs de nicknames van de verdachte tegen. Op het forum werden links naar afbeeldingen en video’s met kinderpornografie geplaatst en werden tips voor kindermisbruik uitgewisseld.

De gevonden nicknames konden worden gerelateerd aan de verdachte en dit leidde in 2014 tot een nieuwe verdenking tot de verspreiding van kinderpornografie via het internetforum. De verdachte had een belangrijke actieve en regulerende rol als één van de beheerders van het forum. De verdachte faciliteerde een versleutelde gegevensuitwisseling via het internet, waardoor de inhoud van het internetforum onzichtbaar bleef en slechts met wachtwoorden kon worden ontsloten. Ook gaf hij tips en trucs over hoe uit handen van de politie te blijven. Verder was de verdachte op nog vier andere kinderpornografische chatfora actief. In 2015 vond een nieuwe doorzoeking in zijn woning plaats, waarbij het noodzakelijke bewijs voor de veroordeling van de verdachte van zijn computers en gegevensdragers is verzameld.

De verdachte is niet veroordeeld voor het bezit van dierenporno, omdat deze slechts waren te vinden in de ‘unallocated clusters’ op de harde schijf. Dat betekent dat de bestanden op enig moment op de harde schijf van de computer van de verdachte te vinden waren, maar dat het opzet op het bezit op basis van dit feit alleen niet bewezen is.