Auteur jjoerlemans

Privacyverklaring – Noodzakelijke Cookies

jjoerlemans

Deze website gebruikt alleen cookies die strikt noodzakelijk zijn voor de werking en om berichten te plaatsen. Dit betekent dat er geen extra cookies ingezet worden voor marketing, tracking of analyse.

De noodzakelijke cookies worden automatisch geplaatst door WordPress.com en zorgen ervoor dat de website veilig, functioneel en toegankelijk blijft.

Op de website van het moederbedrijf Automatticc.com/cookies is meer te lezen over de cookies die automatisch worden geplaatst door websites die worden gehost door WordPress.com.

Overzicht cryptophone-operaties

jjoerlemans 1 reactie

7,5 jaar geleden, in maart 2017, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd) van Ennetcom met de titel ‘Versleutelde berichten: schat aan criminele informatie‘. Sindsdien zijn er negen cryptcommunicatiediensten ontmanteld en gegevens van deze telefoons (met name de berichten gekoppeld aan de verzenders en ontvangers) zijn veiliggesteld. De gegevens wordt geanalyseerd en gebruikt als bewijs in opsporingsonderzoeken.

Deze ‘cryptophone-operaties’ heb ik in de onderstaande tijdlijn gevat:

Hieronder volgt verder een overzicht van de cryptophone-operaties op basis van blogberichten.

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)
  6. ANOM (2021)
  7. Exclu (2022)
  8. Ghost (2024)
  9. MATRIX (2024)

Waarom een overzicht?

De cryptophone-operaties zijn bijzonder belangrijk voor de strafrechtpraktijk en toch is er net na de operaties relatief weinig bekend over het verloop daarvan. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen. Op 13 april 2023 maakte de Landelijke Eenheid ook bekend dat de politie inmiddels 1 miljard “criminele chats” in handen heeft. Duidelijk is wel dat dit om “bulkdata” gaat en dit de brandstof levert voor de nieuwe strategie van “datagedreven opsporing” van de politie en het Openbaar Ministerie.

Voor een presentatie heb ik in oktober 2024 de gepubliceerde uitspraken van rechtbanken (in eerste aanleg dus) op rechtspraak.nl waar in strafzaken een cryptotelefoon wordt genoemd op een rijtje gezet en in onderstaande tabel en diagram geplaatst.

Let op: dit is een indicatie van het aantal veroordelingen en verdeling tussen de cryptotelefoons. Uiteraard zijn er minder uitspraken van meer recente operaties en het komt vaak voor dat meerdere telefoons in één zaak genoemd worden. Neem de cijfers dus met een korreltje zout.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding dit overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak. Voor iedere operatie liggen de feiten en grondslagen waarop de gegevens zijn verzameld weer anders. In een enkele operatie zijn er serieuze overwegingen over de betrouwbaarheid van de gegevens meegeven. Het is daarom belangrijk steeds af te vragen en na te gaan met welke cryptophone-operatie we in casu te maken hebben.

Hieronder volgt een kort antwoord op deze vragen met links naar de desbetreffende blogs over de operaties.

Wat en wanneer?

  1. Ennetcom (2016)

Ennetcom was een Nederlandse dienstverlener voor versleutelde “PGP” communicatie. De app werd geïnstalleerd op een Blackberry telefoons. De oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,7 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.

PGP Safe was de merknaam voor een cryptotelefoon. De software werd geïnstalleerd op Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar werden gemaakt. Het OM richtte zich aanvankelijk op de leveranciers (‘resellers’) van PGP-cryptotelefoons (met wisselend succes). De operatie werd bekend gemaakt op 9 mei 2017.

IronChat was een app dat geïnstalleerd op Wileyfox-telefoons of Samsung-telefoons (Android). De telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Bij deze telefoons werd gebruik gemaakt van van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. Ook was het mogelijk chats of de gehele inhoud van de telefoon op commando te wissen. Het onderzoek richtte zich zowel op de leveranciers als gebruikers van de telefoons. Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.

EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Gebruikers kochten een telefoontoestel, zoals een Android telefoon, waarop de EncroChat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. Geschat wordt dat er wereldwijd destijds tussen de 55.000-60.000 EncroChat telefoons werden gebruikt, waarvan circa 12.000 Nederlandse gebruikers waren en circa 3000 Franse gebruikers. Tijdens de operatie zijn circa 115 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 2 juli 2020.

Sky ECC is de naam van het bedrijf dat een versleutelde berichtendienst aanbood. De telefoons werden aangeboden door het bedrijf ‘Sky Global’. Een Sky ECC-toestel is een mobiele telefoon die voorgeprogrammeerd is op iPhones, Google Pixels, Blackberry’s en Nokia’s en met een abonnement ter beschikking werd gesteld. Met de telefoon was het mogelijk versleuteld met elkaar te communiceren. In 2021 had het bedrijf wereldwijd 170.000 gebruikers. Tijdens de operatie zijn naar verluid 1 miljard berichten veiliggesteld, waarvan 500 miljoen ontsleuteld konden worden. De operatie werd bekend gemaakt op 9 maart 2021.

ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst door opsporingsautoriteiten. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie werd bekend gemaakt op 8 juni 2021.

Exclu is een type cryptotelefoon, die het mogelijk maakt berichten, foto’s, notities, gesproken memo’s, chatconversaties en video’s met andere Exclu-gebruikers uit te wisselen. Exclu had volgens naar schatting 3000 gebruikers, waarvan 750 Nederlandstaligen. De politie en het Openbaar Ministerie konden vijf maanden de berichten van Exclu-gebruikers meelezen. De operatie werd op vrijdag 3 februari 2023 bekend gemaakt.

De app Ghost bood de een keuze in drie versleutelstandaarden voor versleutelde communicatie en de optie om berichten op de telefoon te vernietigen als een code werd verstuurd. Slechts enkele duizenden personen maakten gebruik van de software, dat draaide op zijn eigen infrastructuur in verschillende landen. De operatie werd op 18 september 2024 bekend gemaakt.

MATRIX werd door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat. De cryptocommunicatiedienst bood een heel ecosysteem aan applicaties aan, waaronder de mogelijkheid om te (video)bellen, transacties bij te houden en geanonimiseerd te internetten. De dienst in een app aangeboden op met name Google Pixel telefoons. MATRIX had minstens 8000 gebruikers wereldwijd. Gedurende en aantal maanden zijn 2,3 miljoen berichten onderschept. Op 4 december 2024 is de operatie bekend gemaakt.

Hoe?


1.      Ennetcom (2016)
In totaal is 6 Terabyte aan gegevens veiliggesteld bij het Nijmeegse telecombedrijf Ennetcom op een server in Nederland en van een server in Toronto (Canada). Door de Canadese politie zijn de gegevens gekopieerd. Na analyse van de data bleken de kopieën 3,7 miljoen berichten en 193.000 notities te bevatten. Daarnaast bevatte de server de private sleutels van de gebruikers van de klanten van de verdachte. Een Canadese rechter stelde de dataset na een rechtshulpverzoek ter beschikking aan Nederland.
 
2.      PGP Safe (2017)
Na een rechtshulpverzoek is een doorzoeking uitgevoerd bij een datacentrum in Costa Rica. Tussen 9 mei 2017 te 18.00 uur en 11 mei 2017 te 09.00 uur zijn bestanden gekopieerd. De BlackBerry Enterprise Server (BES)-infrastructuur bevond zich in twee serverkasten waarvan er één sinds 2012 en één sinds 2016 aan PGP-safe was verhuurd. Het onderzoek is beperkt tot de serverkast die was verhuurd sinds 2012. In overleg met de Costa Ricaanse autoriteiten is bij het veiligstellen prioriteit gegeven aan de zich op die server bevindende virtuele machines met cryptografisch sleutelmateriaal en aan de virtuele machines met emailberichten. De datadragers, waarnaar de data zijn gekopieerd, zijn door de Costa Ricaanse autoriteiten verpakt en overgedragen aan de Nederlandse autoriteiten.
 
3.      Ironchat (2017)
Het betrokken Nederlandse bedrijf maakte gebruik van een telecomserver in het Verenigd Koninkrijk. Middels een Europees Onderzoeksbevel (EOB) kreeg het onderzoeksteam de beschikking over een kopie (een ‘image’) van de server van het Nederlandse bedrijf. In het Verenigd Koninkrijk werd zelfstandig onderzoek gedaan naar de versleutelde berichten die via deze server waren verzonden. Van 3 oktober 2018 tot 2 november 2018 werd overgegaan tot het ‘live intercepteren en decrypten van de server’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik van de dataset in opsporingsonderzoeken in Nederland en de gegevens overgedragen.
 
4.      EncroChat (2020)
Via JIT en EOB’s in een complex verhaal. Franse autoriteiten verzamelden gegevens met inzet hacking tool en door interceptie op de servers van 1 april 2020 tot 20 juni 2020. Ook zijn images van de servers beschikbaar gesteld door Frankrijk aan Nederland. Nederland zou betrokkenheid hebben gehad in de ontwikkeling van de tool en/of decryptie van de gegevens.
 
5.      Sky ECC (2020)
Via JIT en EOB’s in een complex verhaal. Nederlandse technici hebben binnen het JIT een techniek ontwikkeld om een kopie te maken van het werkgeheugen van één van de SkyECC-servers zonder dat die offline zou gaan. De interceptie en kopieën van gegevens hebben gefaseerd plaatsgevonden. Naar verwachting heeft het grootste deel van de interceptie plaatsgevonden vanaf de toestemming door een Franse rechter vanaf 18 december 2020 tot 9 maart 2021, de dag dat de operatie publiek werd.

6. ANOM (2021)

Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’ door de Verenigde Staten van Amerika aan Nederland. De operatie betrof een samenwerking tussen de Verenigde Staten en Australië.  Ook stemde een derde land – Litouwen – in met het aanvragen van een rechterlijke machtiging zoals daar vereist was om een iBot server voor de Anom-berichten aldaar te kopiëren en de FBI van de kopie te voorzien conform een rechtshulpverzoek. In oktober 2019 verkreeg het derde land een rechterlijke machtiging.

Vanaf 21 oktober 2019 begon de FBI de serverinhoud van het derde land te verkrijgen. Sinds dat moment heeft de FBI de inhoud van de iBotserver in het derde land op basis van het rechtshulpverzoek bekeken. Ze hebben de berichten indien nodig vertaald en meer dan 20 miljoen berichten van 11.800 toestellen van 90 landen wereldwijd gecatalogiseerd. De top vijf van landen waar de toestellen gebruikt worden betreft Duitsland, Nederland, Spanje, Australië en Servië. 

De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.

7. Exclu (2022)

In Duitsland stond een server bij Cyberbunker en die server is veilig gesteld. Tijdens de operatie is ook de hackbevoegdheid ingezet ten behoeve van een opsporingsonderzoek naar de betrokkenheid naar misdrijven die worden gepleegd in georganiseerd verband. Daardoor kon de politie gedurende vijf maanden de berichten van Exclu-gebruikers meelezen. Bij beschikking van 25 augustus 2022, daarna vijf keer verlengd, heeft de rechter-commissaris machtiging verleend voor het hacken van de server van Exclu in Duitsland. Deze beschikkingen en de verlengingen daarvan werden steeds gevolgd door Europese onderzoeksbevelen (EOB’s) gericht aan de bevoegde Duitse autoriteiten.

8. Ghost (2024)

Het platform is in Australië sinds 2022 in het vizier gekomen van de Australian Federal Police (AFP). Nadat internationale partners zich ook richten op Ghost gingen ze samenwerken in een Operational Taks Force (OTF) bij Europol. De Australische autoriteiten hebben de Ghost telefoons via een update hebben geïnfecteerd met software (dus gehackt) en daarmee toegang kregen tot gegevens op de telefoons. Verder is nog veel onduidelijk.

9. MATRIX (2024)

De politie meldt dat zij ruim 2,3 miljoen berichten wisten te onderscheppen en een aantal maanden lang konden meelezen. De infrastructuur bestond naar verluid uit meer dan 40 servers, verspreid over meerdere landen, met de belangrijkste servers in Frankrijk en Duitsland. De dienst werd vanuit Spanje aangestuurd door de hoofdverdachte met een Litouwse nationaliteit. De operationele details blijven vooralsnog onbekend. 

Cryptocommunicatiedienst MATRIX ontmanteld

jjoerlemans

Op 3 december 2024 hebben de Nederlandse en Franse autoriteiten de cryptocommunicatiedienst ‘MATRIX’ ontmanteld. Deze dienst wordt door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat.

 Geheel in de stijl van ‘The Matrix’ werden gebruikers van de dienst via de website ‘https://www.operation-passionflower.com’ geïnformeerd over de take down.

Werking Matrix

De cryptocommunicatiedienst bood een heel ecosysteem aan applicaties aan, waaronder de mogelijkheid om te (video)bellen, transacties bij te houden en geanonimiseerd te internetten. De dienst werd onder diverse namen aangeboden, waaronder ‘Mactrix’, ‘Totalsec’, ‘X-quantum’ en ‘Q-safe’.

De dienst in een app aangeboden op met name Google Pixel telefoons. Een toestel met abonnement van zes maanden kostte tussen de 1300 en 1600 euro. Nieuwe gebruikers konden alleen een toestel krijgen als ze werden uitgenodigd.

Bron: Afbeelding uit het persbericht op Politie.nl, ‘Opnieuw versleutelde communicatiedienst criminelen ontmanteld’, 3 december 2024.

Het tijdschrift Panorama bericht dat Matrix in Nederland vooral berucht werd door de rol die de cryptocommunicatiedienst had bij de aanslag op Peter R. de Vries. Kort na de aanslagen werden de twee uitvoerders opgepakt, in bezit van een speciale telefoon waarmee zij via Matrix communiceerden. Dit is een uitspraak waar naar de moord op Peter R. de Vries waarbij ook naar een Matrix-telefoon gerefereerd wordt: Rb. Amsterdam 12 juni 2024, ECLI:NL:RBAMS:2024:3272. Ook kwam de app volgend de website voor in de vermeende plannen van Ridouan Taghi om uit de Extra Beveiligde Inrichting (EBI) te ontsnappen. Dankzij tijdig ingrijpen wisten autoriteiten deze gewelddadige plannen te verijdelen.

Operation Passion Flower

De politie meldt dat zij ruim 2,3 miljoen berichten wisten te onderscheppen en (volgens Panorama drie maanden lang) mee te lezen. Deze gegevens kunnen vervolgens worden gebruikt in opsporingsonderzoeken in andere landen. Europol en Eurojust ondersteunden de internationale operatie. De politie werkte drie jaar lang samen met andere politieorganisaties.

In juni 2024 werd bij Europol een operationele taskforce (OTF) opgericht tussen Nederland, Frankrijk, Litouwen, Italië en Spanje. De OTF zal volgens Europol ook assistentie verlenen bij onafhankelijke vervolgonderzoeken op basis van inlichtingen die tijdens de live-fase van de operatie zijn verzameld. De Duitse autoriteiten ondersteunden de operatie met hun technische expertise. Ook de Spaanse autoriteiten zouden vanaf het begin van het onderzoek hebben samengewerkt met de Franse en Nederlandse autoriteiten.  

De operationele details blijven vooralsnog onbekend. De quote in de Telegraaf dat “Met behulp van specialistische kennis en expertise op het gebied van digitale technologie is het ons toch gelukt om de geavanceerde, zwaarbeveiligde berichtendienst te onderscheppen” zegt natuurlijk niets.

Deze infographic van Europol laat het internationale karakter van de operatie goed zien.

Bron: infographic ‘Take down of Matrix’ by Europol, 3 December 2024, europol.europa.eu

MATRIX had minstens 8000 gebruikers wereldwijd, maar de gebruikers bevonden zich grotendeels in Zuid-Europa. De infrastructuur bestond naar verluid uit meer dan 40 servers, verspreid over meerdere landen, met de belangrijkste servers in Frankrijk en Duitsland. De dienst werd vanuit Spanje aangestuurd door de hoofdverdachte met een Litouwse nationaliteit. Deze verdachte is aangehouden op verzoek van de Nederlandse autoriteiten in het Spaanse Marbella.

Geheimhouders

De politie vermeld op hun website:

Matrix had mogelijk ook gebruikers die zich kunnen beroepen op het wettelijk verschoningsrecht, zoals advocaten, notarissen, artsen of geestelijken. Zij kunnen dit melden door hun gebruikersgegevens te delen met de politie via geheimhouders@om.nl De politie zal dit controleren en indien gegrond, de gegevens verwijderen.

JJO: Dit bericht wordt geüpdated aan de hand van beschikbare nieuwsberichten en jurisprudentie over de operatie (meest recent op 19 december 2024).

Cybercrime jurisprudentieoverzicht november 2024

jjoerlemans Een reactie plaatsen

Bron: een met WordPress AI gegenereerde afbeelding

Veroordeling voor leiding geven aan een criminele organisatie met cryptocommunicatiedienst (IronChat)

Op 12 september 2024 heeft de rechtbank Gelderland een 52-jarige man veroordeeld (ECLI:NL:RBGEL:2024:6732) voor het leiding geven aan een criminele organisatie die onder andere tot oogmerk had het aanbieden van een cryptocommuncatiedienst aan andere criminele organisaties en het witwassen van het geld dat hiermee werd verdiend. Volgens dit bericht van Tweakers.net gaat het hier om ‘IronPhone’-cryptotelefoons en de bijbehorende ‘IronChat’-berichtendienst. De hoofdverdachte kreeg een gevangenisstraf van 4,5 jaar opgelegd.

Drie verdachten

De zaak draait om drie verdachten die allemaal een rol hadden in het bedrijf dat een applicatie verkocht waarmee mensen versleuteld met elkaar konden communiceren. De verdachte in de onderhavige uitspraak was de eigenaar van het bedrijf en “deed alles”: “de verkoop, inkoop, klanten en het programmeren”. Bovendien was verdachte de leidinggevende binnen het bedrijf. Medeverdachte 1 installeerde software op telefoons en laptops. Verder deed hij het accountbeheer, behandelde hij ‘support’ vragen, hielp hij klanten in de showroom, deed de verkoop en leverde hij telefoons en laptops af bij klanten. Later hield hij zich ook bezig met de financiële boekhouding. Medeverdachte 2 was in loondienst als operationeel security manager. Hij verrichtte verschillende werkzaamheden waaronder support en het ontwikkelen en installeren van software.

Werking IronPhone en IronChat

In de uitspraak staan in r.o. 2.1.4-2.1.6 interessante details over de cryptotelefoons. Om gebruik te maken van de communicatiemethode diende men een abonnement af te sluiten. Op een prijslijst die beschikbaar is uit de kopie van de server van het bedrijf staan de volgende kosten voor een abonnement:

  1. Telefoon (model Wileyfox Swift2) met als kosten voor een abonnement: per zes maanden € 800,- voor Europa en € 1000,- voor wereldwijd
  2. Telefoon (model Samsung S8) met als kosten voor een abonnement: per zes maanden € 1.500,- voor Europa en € 1.750,- voor wereldwijd;
  3. Laptop (model HP Folio 9470m) met als kosten voor een abonnement: € 2.250,- per jaar.

Bij een aantal telefoons die zijn onderzocht in het kader van andere strafrechtelijke onderzoeken is opgevallen dat de telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Een getuige heeft verklaard dat de camera’s en microfoons werden verwijderd uit de telefoons wanneer verdachte dat wilde. Volgens de bewijsstukken gebeurde ongeveer in de helft van de gevallen.

Encryptiemethode

In de gebruiksaanwijzing van ‘communicatiemethode 2’ (uit 2015), staat omschreven dat gebruik wordt gemaakt van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. In de gebruikersaanwijzing worden de volgende voordelen opgesomd van het gebruik van OTR ten opzichte van andere “veilige communicatie”:

  • [communicatiemethode 2] laat geen digitale handtekeningen achter in berichten waardoor het achteraf niet valt te bewijzen dat er communicatie heeft plaatsgevonden;
  • communicatiemethode 2] werkt alleen als beide contacten online zijn, er wordt niets van berichten op servers opgeslagen. (…);
  • Gesprekken via [communicatiemethode 2] vallen achteraf niet meer te ontsleutelen, ook niet als de datalijnen getapt worden. (…);
  • [communicatiemethode 2] beschikt over een wis & sluit functie waarbij alle berichten direct worden gewist en encryptiesleutels direct komen te vervallen;
  • [communicatiemethode 2] heeft een PANIC modus waarbij u met één druk op de knop uw gehele [communicatiemethode 3] wist en ontoegankelijk maakt.

Overige functionaliteiten

Daarnaast is het mogelijk om de inhoud van een chat op beide telefoons helemaal te verwijderen door een codewoord in te voeren en te versturen naar degene waarvan men wil dat de inhoud van die chat verdwijnt. Men voert dan in: “CRASHME!34”.

Ook staat in een proces-verbaal dat de communicatie-app voor de buitenwereld er uitziet als een medische app. Sommige landen verplichten bij de douane het wachtwoord van telefoons te verstrekken, maar medische gegevens mogen dan niet worden ingezien.

Oordeel rechtbank

De rechtbank stelt op basis van bovenstaande bewijsmiddelen vast dat de communicatiemethode en de applicatie waren ingericht met het doel om de via deze telefoon of applicatie gevoerde communicatie vertrouwelijk te houden. De rechtbank leidt dit met name af uit de voordelen die in de gebruiksaanwijzing worden genoemd, de panic button en de ‘crash me’-functie, waarmee met één druk op de knop de inhoud van de telefoon kon worden gewist.

Daarnaast leidt de rechtbank uit het bovenstaande af dat de anonimiteit van de gebruikers een belangrijk uitgangspunt was. Zo werden bij de verkoop van de telefoons, telefoonapplicaties met bijbehorende abonnementen en laptops geen namen of adresgegevens genoteerd, maar enkel een random naam. Verder is uit de bankgegevens gebleken dat ongeveer 90% van alle bijschrijvingen contante stortingen waren (met een totaalbedrag van bijschrijvingen aan contante stortingen (via een geldautomaat) voor een periode van bijna drie jaar € 2.668.260,00 bedraagt. Zelfs toen de bank meldde dat het doen van dergelijke ongebruikelijke transacties onacceptabel was en ertoe kon leiden dat de relatie tussen de bank en het bedrijf kon worden beëindigd, ging het bedrijf niet anders handelen.

Verloop opsporingsonderzoek

Over het opsporingsonderzoek met de naam ‘Goliath’ overweegt de rechtbank dat in de periode van 3 oktober 2018 tot en met 2 november 2018 de communicatieapplicatie is geïntercepteerd. Tijdens deze interceptiefase is 24/7 chatverkeer onderschept, gelezen, geduid, veredeld en geanalyseerd. Er is binnen onderzoek Goliath gewerkt met, onder andere, zoekwoorden (topics). Dit waren zoekwoorden die te relateren zijn aan diverse vormen van criminaliteit. Voorbeelden van dergelijke woorden zijn: ‘drugs’, ‘coke’, ‘slapen’, ‘pipa’s’, ‘AK’ of ‘wapens’. Deze topics waren beschikbaar in diverse talen. Als er in chatberichten woorden voorkwamen die op deze topiclijsten stonden, werden alle chatberichten van de conversatie zichtbaar in de chatmodule. Gedurende de interceptieperiode is niet vastgesteld dat anderen, waaronder politici, artiesten en de gewone man met bijvoorbeeld een geheime relatie, gebruik hebben gemaakt van de communicatiemethode, zoals de verdediging stelde.

Uit de bewijsmiddelen blijkt volgens de rechtbank gebleken dat de klantenkring van het bedrijf voor in ieder geval een zeer groot deel uit personen bestond die zich bezig hielden met strafbare feiten en dat verdachte en zijn medeverdachten hier wetenschap van hadden. De rechtbank onderbouwt dit uit tapgesprekken en chatgesprekken. De rechtbank is van oordeel dat sprake is van een nauwe en bewuste samenwerking tussen de verdachten met betrekking tot het wissen van accounts.

Sprake van begunstiging

Vervolgens beantwoord de rechtbank de vraag of sprake van het delict begunstiging en gaat daarvoor na of de verdachten voorwerpen waarop of waarmee een misdrijf is gepleegd hebben vernietigd, weggemaakt, verborgen of aan het onderzoek van de ambtenaren van justitie of politie hebben onttrokken, met het oogmerk om het te bedekken of de nasporing of vervolging te beletten of te bemoeilijken. Uit de voornoemde bewijsmiddelen blijkt volgens de rechtbank dat in ieder geval drie keer een verzoek is gedaan om een account te wissen, nadat de gebruiker was aangehouden.

Hieruit volgt naar het oordeel van de rechtbank dat de verzoeken zijn gedaan om te voorkomen dat de politie belastende informatie op de inbeslaggenomen telefoon zou aantreffen. Een van de verzoekers is later aangehouden en veroordeeld voor een Opiumwetfeit. Uit de aangehaalde chatberichten blijkt dat er bij het verzoek om een account te wissen altijd haast was gemoeid. Gelet op het voorgaande, de inhoud van de chatgesprekken, in onderlinge samenhang bezien met de onder paragraaf 2.2 genoemde feiten en omstandigheden, is de rechtbank van oordeel dat verdachte zich schuldig heeft gemaakt aan begunstiging.

Deelname aan een criminele organisatie

Ook stelt de rechtbank vast dat de verdachte schuldig is aan deelneming aan een criminele organisatie. De rechtbank stelt voorop dat van ‘deelneming’ aan een organisatie als bedoeld in artikel 140 Sr slechts dan sprake kan zijn, als de verdachte behoort tot het samenwerkingsverband en een aandeel heeft in gedragingen dan wel gedragingen ondersteunt die strekken tot of rechtstreeks verband houden met de verwezenlijking van het in dat artikel bedoelde oogmerk. Het is hierbij niet vereist dat de verdachte wetenschap heeft van één of meer concrete misdrijven die door de organisatie worden beoogd. Onder deelneming wordt mede begrepen het verlenen van geldelijke of andere stoffelijke steun ten behoeve van het samenwerkingsverband (art. 140 lid 4 Sr oud).

De rechtbank stelt allereerst vast dat enkele personen een criminele organisatie vormden met als oogmerk het uitvoeren van hard- en softdrugs en hennepteelt. Verder volgt uit de bovenstaande bewijsmiddelen dat verdachte veelvuldig contact had met de leider van deze organisatie. De rechtbank is van oordeel dat de verdachte heeft deelgenomen aan een organisatie door de leden van deze organisatie te voorzien van de applicatie en dat verdachte wist dat sprake was van een organisatie die als oogmerk had misdrijven te plegen.

Schuldig aan begunstiging, witwassen en valsheid in geschrifte

Daarnaast zag het oogmerk van de criminele organisatie op begunstiging, witwassen en valsheid in geschrifte. Zoals volgt uit paragraaf 2.3 beschikten de communicatiemethoden over de mogelijkheid om binnen een aantal klikken de inhoud van een telefoon of chats te verwijderen. Ook bood het bedrijf een dienst aan waarbij op verzoek accounts konden worden gewist. Uit het feit dat de organisatie deze dienst aanbood, en (vrijwel) het gehele klantbestand van het bedrijf bestond uit personen die zich bezighielden met criminele activiteiten, is voor de rechtbank gebleken dat het oogmerk van het samenwerkingsverband gericht was op begunstiging door chats, accounts of de gehele inhoud van een telefoon te verwijderen met als doel om de nasporing of vervolging te beletten of te bemoeilijken.

Oordeel rechtbank

Het oogmerk van de organisatie was daarnaast gericht op het gewoontewitwassen. Omdat (vrijwel) het gehele klantbestand van het bedrijf bestond uit personen die zich bezighielden met criminele activiteiten, kan het niet anders dan dat de inkomsten van het bedrijf in ieder geval gedeeltelijk afkomstig waren uit de criminele activiteiten van die criminele klanten en dus afkomstig uit misdrijf. Verdachte en zijn medeverdachten moeten dat hebben geweten. Door de vele transacties die plaatsvonden over een lange periode was sprake van gewoontewitwassen en had de organisatie daar dus het oogmerk op. Daarnaast hebben verdachte en zijn medeverdachten zich schuldig gemaakt aan eenvoudig witwassen, zijnde de opbrengsten van de verkoop van hun producten. In de periode van 1 januari 2017 tot en met 2 november 2018 heeft de verdachte meerdere geldbedragen van in totaal € 1.211.906,08 verworven en voorhanden heeft gehad, terwijl hij en zijn medeverdachten wisten dat deze geldbedragen – onmiddellijk – uit enig (eigen) misdrijf afkomstig waren. Daarmee komt de rechtbank tot een bewezenverklaring van eenvoudig witwassen in de zin van artikel 420bis.1 Sr.

Ten slotte zag het oogmerk van de organisatie op het plegen van valsheid in geschrifte (paragraaf 2.4). Om inkomsten te verklaren werden nadat bedragen op de bankrekening waren bijgeschreven facturen valselijk opgemaakt, waarmee de bedrijfsadministratie werd aangepast. De instructies die werden gegeven aan de medewerkers zorgden voor een bedrijfscultuur waarbinnen het normaal werd om valselijk stukken op te maken.

Gevangenisstraf voor bezit en verspreiden grote hoeveelheid persoonsgegevens

Op 26 september 2024 heeft de rechtbank Gelderland een verdachte veroordeeld (ECLI:NL:RBGEL:2024:6909) voor het verspreiden van een grote hoeveelheid persoonsgegevens (‘leads’) en witwassen van cryptogeld. Ook Arnoud Engelfriet besteedde in een blog aandacht voor de zaak. De zaak is alleen wel ernstiger dan daarin wordt voorgesteld. Het gaat namelijk niet over gegevens van 5000 personen, maar over gegevens van miljoenen personen.

De rechtbank legt in de bewijsoverwegingen uit dat een opsporingsambtenaar in het kader van een pseudokoop met de verdachte contact heeft gelegd via Telegram. Vervolgens kocht de verbalisant 5.000 ‘targetleads’ van voor een bedrag van € 50,- in bitcoins. Na de betaling ontving de verbalisant via Telegram een bestand met de leads. In dit bestand stonden persoonsgegevens die onder andere bestonden uit: telefoonnummer, mogelijk Facebook ID, voornaam, achternaam, geslacht, woonplaats, werkgever en relatiestatus. De Telegramgebruiker plaatste bovendien meerdere berichten over de verkoop van leads in de openbare Telegramgroep met de (weinig verhullende naam) ‘FraudeHandel’.

Indicatie aangetroffen persoonsgegevens

Na identificatie van de verdachte zijn enkele gegevensdragers in beslag genomen. Ter indicatie van de hoeveelheid aangetroffen persoonsgegevens volgt hieronder een opsomming van de aangetroffen bestanden:

  • een bestand met daarin een lijst van 667.816 credentials – e-mailadres en wachtwoord (plain text);
  • een bestand met daarin een lijst van 448.209 credentials – e-mailadres en wachtwoord (plain text);
  • een map ‘damipora.lt’, met daarin een Excel-bestand met profielgegevens. In dit bestand stond een lijst met 223.852 leads — voor- en achternaam, nationaliteit, geboortedatum, religie, opleiding, burgerlijke staat, uiterlijke kenmerken;
  • een map genaamd ‘Facebook Leak’. In deze map staan 105 items gerangschikt op land. Het lijkt hier te gaan om de Facebook datalek uit 2019, waarin de gegevens van 533 miljoen Facebookgebruikers aanwezig zijn. Gegevens bevatten o.a. telefoonnummer, naam, geslacht, woonplaats, e-mailadres, geboortedatum;
  • een map met een Excel-bestand, met daarin een lijst met 243.764 leads — geslacht, naam, adres, telefoonnummer, geboortedatum, bankrekeningnummer, e-mail;
  • een map met een txt-bestand met de naam ‘Dub_22’, met daarin een lijst met 22.075.941 credentials – e-mailadres en wachtwoord (plaintext);
  • een map met een txt-bestand met de naam ‘LuckyMillions BE fix’, met daarin een lijst met 243.766 leads — geslacht, naam, adres, telefoonnummer, e-mailadres;

Witwassen

Uit de bewijsmiddelen blijkt verder dat tussen 3 februari 2021 en 20 januari 2022 diverse coins zijn gestort op het Binance-account van de verdachte met een totale waarde van US$ 30.107,50 op het moment van de transacties. Ook hebben de verdachte en medeverdachte dagelijks contact over het verkopen van leads. Ten slotte is het interessant om te lezen dat:

“aan het Binance-account op naam van verdachte was een debitcard gekoppeld. In totaal zijn er 177 succesvolle transacties geweest met een totaalbedrag van € 14.387,58, waarvan € 8.070,00 contant is opgenomen. De overige betalingen zijn onder andere gedaan aan Apple, Coolblue, Louis Vuitton, Makro, Bijenkorf en Bol.com”.

De rechtbank overweegt dat de verdachte van 22 april 2021 tot en met 12 januari 2022 bitcoins van zijn Binance-rekening uitgegeven, dan wel contant opgenomen. Hiermee is sprake van een vermoeden van witwassen. Van de verdachte mag worden verlangd dat hij een verklaring geeft voor de herkomst van deze bitcoins, maar die beriep zich op zijn zwijgrecht. Er is geen enkel concreet aanknopingspunt dat de bitcoins (deels) afkomstig zijn van legale activiteiten. De rechtbank acht daarom bewezen dat de bitcoins afkomstig zijn uit een misdrijf en de verdachte heeft zich door het gebruikmaken en pinnen ervan schuldig gemaakt aan het witwassen van cryptovaluta (in totaal € 14.387,58).

Oordeel rechtbank

De rechtbank stelt verder vast de verdachte een enorme hoeveelheid leads op zijn harde schijf had staan. Het is een feit van algemene bekendheid dat persoonsgegevens veelal worden gebruikt bij oplichting en diefstal, zoals Whatsapp- of bankhelpdeskfraude. Daarbij blijkt onder feit 1 dat verdachte geld kreeg voor de verkoop van leads. Het kan dan ook niet anders dan dat verdachte wist dat de persoonsgegevens bestemd zijn voor het plegen van oplichtingen en diefstallen.

Het is daarom niet verassend dat de verdacht wordt veroordeeld voor het medeplegen van het verkopen, overdragen, verspreiden en voorhanden hebben waarvan hij weet dat deze bestemd voor het plegen van misdrijven zoals diefstal en oplichting (zie o.a. art. 234 en 326 Sr). Ook wordt de verdachte veroordeeld voor (gewoonte)witwassen. Het is overigens opvallend dat het delict ‘heling van gegevens’ (artikel 139g Sr) niet ten laste is gelegd.

Met betrekking tot de straf overweegt de rechtbank dat ‘blijkt uit het strafblad van verdachte dat hij op 18 januari 2021 al eerder is veroordeeld voor verschillende cyberfeiten’ en de verdachte ‘kansen heeft gehad en flink is gewaarschuwd, in de vorm van een forse voorwaardelijke gevangenisstraf in België’. Hij krijgt een gevangenisstraf van 12 maanden opgelegd.

Veroordeling voor afdreiging via internet

De rechtbank Noord-Holland heeft op 4 oktober 2024 een verdachte veroordeeld (ECLI:NL:RBNHO:2024:10395) voor het medeplegen van afdreiging van zeven slachtoffers. FD.nl besteedde ook aandacht aan de zaak in het achtergrondartikel: ‘Gokverslaafde Ali ging mannen afpersen met lawine aan appjes over bezoek aan sekssites’.

De uitspraak vind ik interessant vanwege de beschrijving van de modus operandi van de daders. Deze zijn als volgt beschreven:

Stap 1: het verwerven telefoonnummers van potentiële slachtoffers, onder meer door sekswerkers te betalen voor het verstrekken van contactgegevens van hun klanten en door nepprofielen en -advertenties op sekssites aan te maken. De verdachte heeft ter zitting erkend dat hij de advertentie op Kinky.nl op die manier heeft gebruikt. Eén van de aangevers is via deze site slachtoffer geworden van afdreiging.

Stap 2: het massaal versturen van een eerste, steeds nagenoeg identiek WhatsApp-bericht waarin staat dat het potentiële slachtoffer contact heeft gehad met één of meerdere sekswerkers die hun diensten aanbieden op de websites Kinky.nl en/of Sexjobs.nl.

Stap 3: als er contact is met een potentieel slachtoffer, worden steeds gelijkluidende vervolgberichten gestuurd, waarin wordt gedreigd met het openbaar maken van het gedrag van een slachtoffer tegenover mensen in zijn directe omgeving.

Stap 4: de slachtoffers worden onder druk gezet om, meestal via betaalverzoeken, geld over te maken naar bankrekeningen van derden.

De rechtbank acht, gelet op de verklaring van de verdachte, in samenhang bezien met de overige bewijsmiddelen (zoals opgenomen in de bijlage bij het vonnis), bewezen dat de verdachte zich schuldig heeft gemaakt aan het medeplegen van de onder 3 en 4 ten laste gelegde afdreigingen.

De rechtbank overweegt dat de personen die op dreigberichten zijn ingegaan geïntimideerd, beschaamd en in paniek raakten, bang voor openbaarmaking van hun gevoelige privéinformatie. De verdachte heeft, samen met zijn mededaders, de slachtoffers in deze zaak onder voornoemde dreiging bewogen tot het betalen van uiteenlopende geldbedragen, ter hoogte van in totaal ruim € 100.000,-.

De rechtbank overweegt verder dat naast de financiële schade die de verdachte en zijn mededaders door hun handelen hebben aangericht, zij de slachtoffers emotioneel zwaar hebben belast. Uit de aangiftes en de ingediende vorderingen tot schadevergoeding volgt dat bij veel slachtoffers sprake was van paniekgevoelens, stress, isolement en hulpeloosheid. De verdachte is eerder voor soortgelijke feiten onherroepelijk veroordeeld. Alles afwegende is de rechtbank van oordeel dat een gevangenisstraf voor de duur van 30 maanden moet worden opgelegd, met aftrek van voorarrest. Ook moet de verdachte verschillende schadevergoedingen betalen.

Cybersecuritybeeld Nederland 2024

jjoerlemans

Op 28 oktober 2024 is het nieuwe Cybersecuritybeeld Nederland gepubliceerd. Deze blogpost betreft een samenvatting van de dingen die ik opvallend en belangrijk genoeg vond om te noemen, vanuit mijn interesse in cybercrime, cybersecurity & nationale veiligheid en het snijvlak daartussen. Af en toe plaats ik daar een observatie bij.

Ook heb ik voor deze blog post gebruik gemaakt van Notebook LM en de verschenen cybersecuritybeelden van 2012-2024. De resultaten met betrekking tot ransomware en de rol van statelijke actoren als dreiging voor cybersecurity vond ik leuk om in deze blog op te nemen. Je kan ook deze automatisch gegenereerde podcast luisteren over dit bericht.

Cybercrime (ransomware)

Ransomware krijgt weer nadrukkelijk de aandacht in het Cybersecuritybeeld Nederland 2024. Ik kan daarbij natuurlijk een opsomming geven van incidenten en hoe de dreiging misschien wel nog ernstiger is dan voorgaande jaren. In plaats daarvan vind ik het leuk eerst een indruk van de ontwikkelingen tussen 2012 en 2024 te geven.

Zoals hierboven vermeld heb ik daarvoor gebruikt gemaakt van Notebook LM van Google. Daarbij heb ik de rapporten van 2012-2024 bevraagd met volgende prompts: “sinds welk rapport en hoe vaak ransomware wordt genoemd als een bedreiging tot cybercriminaliteit?” “Wat is de ontwikkeling van ransomware op basis van de CBSN-rapporten?” en “Noem 10 incidenten tussen de jaren 2015-2024 op basis van de CSBN-rapporten”. Een combinatie van de antwoorden (voorlopig nog in het Engels) levert het volgende interessante resultaat op:

Early Mentions and Growing Concern (2012-2015):

  • 2012 CSBN: Ransomware is mentioned as a relevant threat to both citizens and private organisations, particularly highlighting the use of malware that falsely claims to be from the police to extort money. A specific incident is where malware impersonated the Dutch National Police Corps (KLPD) and demanded a €100 ransom from users.
  • The 2013 CSBN reports a significant increase in ransomware incidents and its adoption of encryption to complicate investigations.
  • 2014 CSBN: The report dedicates a specific section to ransomware and cryptoware, acknowledging a “major rise” in ransomware in recent years. It describes ransomware as increasingly innovative and aggressive, using sophisticated methods to target users and employing advanced payment methods like voucher codes and cryptocurrencies. The report also notes the emergence of cryptoware, a particularly concerning form of ransomware that encrypts user files.
  • 2015 CSBN: Ransomware and cryptoware are identified as the “cybercriminal business model par excellence”. The report highlights their increasing use by criminals to achieve their goals, emphasizing the high average returns per target due to the willingness of individuals and organisations to pay the ransom. The report anticipates further growth in the use of ransomware, particularly cryptoware, in the coming years. It mentions that Cryptolocker, CryptoFortress, Cryptowall and CTB-Locker are the main ransomware variants that were responsible for a significant number of infections in the Netherlands in 2015.

Ransomware as a Common Threat (2016-2017):

  • 2016 CSBN: Ransomware is described as “commonplace” and affecting all sectors of society. This report sheds light on the evolution of attackers’ tactics, from untargeted infections to more sophisticated and targeted phishing emails aimed at installing ransomware. It also notes a shift towards encrypting backups and network drives, expanding the impact of attacks beyond individual users’ computers. Two individuals in the Netherlands were arrested for developing and distributing the Coinvault ransomware (JJO: en het resultaat daarvan is hier te lezen).
  • 2017 CSBN: The report highlights the expansion of ransomware attacks, moving beyond traditional email-based attacks on workstations to include exploiting servers and holding information in poorly secured online databases hostage. The report also mentions the emergence of ransomware-as-a-service, making it easier for criminals to launch attacks. The 2017 report further emphasizes the pervasiveness of ransomware, stating that DDoS attacks and ransomware infections have become “daily fare” for large organisations. In March 2017, the Dutch Parliament (Tweede Kamer) experienced a ransomware infection that spread via email to several members of parliament. It also mentions the WannaCry attack from 2017.

Shifting Trends and Continued Relevance (2018-2024):

  • 2018 CSBN: While acknowledging a potential shift towards cryptojacking, the report indicates that both ransomware and cryptojacking attacks have likely increased in this reporting period. It reports on NotPetya, initially thought to be ransomware and later identified as a wiper, which was designed to destroy data rather than hold it hostage. The report emphasizes the destructive impact of NotPetya, noting its widespread disruption to businesses and critical infrastructure.
  • 2019 CSBN: The report observes a decline in ransomware infections in the second half of 2017, potentially due to improved recovery practices and the decreasing value of cryptocurrencies. However, the report anticipates that ransomware will continue to cause problems in the future.
  • 2020 CSBN: Ransomware is identified as a threat to critical infrastructure, highlighting its potential to disrupt essential services and systems.
  • 2021 CSBN: The report describes ransomware as a risk to national security, emphasizing its evolution into a sophisticated threat with a solid business model.
  • 2022 CSBN: Despite a decrease in reported cybercrime cases, the report underscores the continued impact and damage caused by ransomware attacks.
  • 2024 CSBN: While the report focuses on other emerging threats, it still acknowledges the persistent threat of ransomware, particularly in the context of state-sponsored attacks. The report makes use of mandatory data breach notifications about ransomware, received by the Dutch Data Protection Authority (AP). It found that approximately 50% of the attacks reported and investigated (178) by the AP, data exfiltration occurred alongside encryption. The report also references the Melissa project, a public-private partnership that identified at least 147 ransomware attacks targeting larger organisations (over 100 employees) in the Netherlands in 2023.

Key Observations:

  • The sources demonstrate a clear and consistent recognition of ransomware as a significant cybersecurity threat to the Netherlands, dating back to at least 2012.
  • The perceived threat from ransomware appears to escalate over time, with the sources progressively highlighting its growing sophistication, expanding attack vectors, and potential to disrupt critical infrastructure and national security.
  • While the frequency of ransomware attacks might fluctuate, the sources suggest that it remains a persistent and evolving threat that requires ongoing attention and mitigation efforts.

JJO: Het bovenstaande resultaat is uiteraard niet perfect en volledig, maar het biedt denk ik een mooi (geautomatiseerd) overzicht van de ontwikkeling van ransomware in Nederland!

En wil je toch het overzicht van cyberincidenten in 2023 en 2024 lezen (en je een hoedje schrikken), zie dan deze tijdlijn (.pdf) op p. 17-19 van het rapport.

Bron: Tijdlijn cybersecurityincidenten in binnen en buitenland, CSBN 2024.

Over ransomware wordt in het Cybersecuritybeeld Nederland 2024 verder benadrukt dat het “opvallend” is dat sommige ransomware-actoren zich enkel focusten op het exfiltreren van data. In plaats van het versleutelen van data en slachtoffers daarmee afpersen, deden zij dit door te dreigen met publicatie. Illustratief in dat kader is bijvoorbeeld de grootschalige data-exfiltratie bij het MOVEit-incident in 2023. Bij deze aanval werd er door de ransomware-actoren geen gebruik gemaakt van versleuteling van bestanden, maar werd een grote hoeveelheid gegevens gestolen waarna organisaties werden afgeperst. Een aantal Nederlandse bedrijven werd hier ook het slachtoffer van. Ook wordt benadrukt dat aanvallen op toeleveranciers voor problemen zorgen. Zo zijn een aantal Nederlandse zorginstellingen direct geraakt door cyberaanvallen, maar volgens ‘Z-CERT’ vaker de toeleveranciers van zorginstellingen. In Nederland hebben deze voor zover bekend geen impact gehad op de te verlenen zorg. Wel werden organisaties afgeperst met gestolen gegevens en werden gegevens gelekt. Daarbij gaat het veelal om gevoelige persoonsinformatie. Interessant is nog om te noemen dat ‘van de 147 ransomware-aanvallen er 81 alleen bij de politie bekend waren en 40 alleen bij de getroffen bedrijven. 26 aanvallen waren zowel bekend bij de getroffen bedrijven als bij de politie. Hieruit blijkt dat 40 aanvallen niet zijn gemeld bij de politie. Hoewel dat niet verplicht is, is dat wel wenselijk’.

Dit keer wordt in het Cybersecuritybeeld íets concreter uitgelegd op welke wijze ransomware ook de nationale veiligheid kan raken (op p. 44). De inzet van ransomware vormt een risico voor de nationale veiligheid als het gaat om de continuïteit van vitale processen, het weglekken en/of publiceren van vertrouwelijke of gevoelige informatie en de aantasting van de integriteit van de digitale ruimte. De nationale veiligheid is in het geding wanneer het doelwit van zo’n aanval onderdeel is van de vitale infrastructuur (waaronder de Rijksoverheid en alle vastgestelde vitale processen) en de aanval de continuïteit van vitale processen verstoort, aldus de NCTV.

Overzicht internationale verstoringsacties

Ook het overzicht van internationale verstoringsacties is interessant om te lezen. Zo is te lezen dat in 2024 Europol en verschillende politiediensten met ‘Operatie Cronos’ de activiteiten van hackersgroep LockBit vestoorden. De Nederlandse politie speelde hierbij een belangrijke rol, zij haalde dertien belangrijke servers offline. Later dat jaar vond ‘Operation Endgame’ plaats, waarbij meer dan 100 computerservers offline gehaald en werden er meer dan 2.000 domeinnamen overgenomen. In Nederlandse datacentra heeft de politie tientallen servers in beslag genomen (JJO: dat zou een schat aan intelligence (en mogelijk bewijs?) moeten hebben opgeleverd). Verder werd met de door Europol gecoördineerde ‘Operation MORPHEUS’ crimineel gebruik van de legitieme tool Cobalt Strike aangepakt. Toen werden bijna 600 IP-adressen offline gehaald. Ook zijn een handvol personen naar aanleiding van deze operaties gearresteerd.

Voor het eerst, en op initiatief van Nederland, zijn cybercriminelen door de EU op de sanctielijst geplaatst. In totaal gaat het om zes hackers, waaronder twee cybercrime kopstukken. Zij zijn verantwoordelijk voor cyberoperaties die in de EU en in Oekraïne veel schade hebben veroorzaakt. Als gevolg van de sanctionering worden hun Europese tegoeden bevroren en ze mogen de EU niet meer in. Daarnaast mogen Europese burgers en organisaties deze mensen of groepen geen geld sturen of zaken met hen doen.

Volgens het Openbaar Ministerie, de Nationale Politie en Buitenlandse Zaken betekent dit dat partijen die digitale infrastructuur aanbieden dat niet meer kunnen en mogen aanbieden aan deze cybercriminelen en dat er ook een onderzoeksplicht geldt voor deze bedrijven. Daarmee wordt voorkomen dat deze cybercriminelen nog misbruik kunnen maken van digitale infrastructuur binnen de EU. De Verenigde Staten en het Verenigd Koninkrijk hebben vaker cybercriminelen op een sanctielijst geplaatst. De Verenigde Staten sanctioneerde in 2024 bijvoorbeeld vermeende leden van de LockBit-ransomwaregroep.

Ten slotte is het interessant te benoemen dat de Nederlandse inlichtingendiensten en Nationale Politie in 2024 samen met de VS een online beïnvloedingscampagne hebben verstoord. Samen met de Amerikaanse en Canadese autoriteiten, hebben de AIVD en MIVD de resultaten van het gezamenlijk onderzoek in de openbaarheid gebracht. De campagne was gericht op het beïnvloeden van het Amerikaanse publieke debat, er is geen indicatie dat deze ook is ingezet om het publieke debat in Nederland of Europa te beïnvloeden. De Nederlandse digitale infrastructuur werd misbruikt voor de campagne, zo stond een gebruikte server in Nederland. De AIVD en de MIVD achten het ‘zeer waarschijnlijk’ dat de Russische overheid betrokken is bij de ontwikkeling van de software die werd gebruikt in deze campagne (JJO: een fascinerende actie, wat mij betreft, waarbij het mij onduidelijk is op welke grondslag in welke wetgeving deze verstoring plaatsvond).

Statelijke actoren en cybersecurity

Net als voorgaande jaren identificeert het NCTV de dreiging van statelijke actoren en criminelen als de grootste bedreigingen op het gebied van cybercrime. Aan Notebook LM heb ik het volgende gevraagd: “vanaf wanneer worden statelijke actoren geïdentificeerd als bedreiging voor cybersecurity en vanaf wanneer als de grootste bedreiging?”

Daarop kreeg ik het volgende (wat mij betreft fascinerende) antwoord:

Early Recognition (2012-2014): The sources reveal an early awareness of state actors as a cybersecurity threat.

  • The 2012 CSBN already acknowledges state-sponsored espionage as a threat.
  • The 2013 CSBN explicitly states that the most significant threat in cyberspace to national security comes from state actors, particularly foreign intelligence services. This report emphasises that digital attacks have become a viable alternative to traditional espionage methods due to their low cost, limited risk of exposure, and high returns in terms of information gathering.
  • The 2014 CSBN describes state actors as the primary threat to Dutch interests, highlighting the growth in digital espionage activities, their increasing complexity, and impact. The report stresses that nearly every foreign intelligence service has invested in digital capabilities, making digital espionage accessible to more than just large and sophisticated agencies.

State Actors as a Dominant Threat (2016 onwards): From 2016 onwards, the sources consistently portray state actors as the most significant cybersecurity threat to the Netherlands.

  • The 2016 CSBN states that the greatest threat in the digital domain to national security comes from state actors, particularly foreign intelligence services. This assessment is repeated in subsequent reports, solidifying the view of state actors as the primary source of cyber threats to Dutch interests.
  • The 2018 CSBN declares that “states form the greatest digital threat” underscoring the growing concern regarding state-sponsored cyber activity. This report expands on the motives of state actors, indicating that their attacks aim at espionage, influence, disruption, and sabotage.
  • The 2019 CSBN reiterates the increasing threat posed by state actors, highlighting that countries like China, Iran, and Russia have offensive cyber programmes targeting the Netherlands. These countries use digital means to achieve geopolitical and economic objectives at the expense of Dutch interests.
  • The 2020 CSBN maintains that the most significant risk to national security stems from espionage and potential sabotage by state actors, along with the risk of large-scale outages in digital services.
  • The 2021 CSBN further emphasises the sophisticated capabilities of state actors, stating that “virtually every country with basic capabilities and the intention to digitally penetrate will be able to do so successfully at various organisations in the Netherlands“.
  • The 2022 CSBN asserts that cyberattacks by state actors have become the “new normal“, highlighting their routine use to gain geopolitical advantage.
  • The 2024 CSBN acknowledges the significant impact of state-sponsored cyber operations, particularly in the context of geopolitical tensions. The report notes that state actors are leveraging a broader “toolbox”, combining cyberattacks with other means to achieve their objectives.

Key Observations:

  • The sources demonstrate a clear and consistent recognition of state actors as a major cybersecurity threat to the Netherlands, starting as early as 2012.
  • The perceived threat from state actors appears to escalate over time, with the sources progressively highlighting their growing capabilities, evolving tactics, and the potential for significant disruption and damage.
  • While cybercriminals remain a persistent threat, the sources suggest that state actors have become the dominant cybersecurity concern, particularly due to their potential to threaten national security.
  • Note: It’s important to consider that these reports provide a Dutch perspective on the cyber threat landscape. Other countries or organisations might have different assessments or priorities regarding the relative threat posed by state actors and cybercriminals.

Over statelijke actoren wordt in het Cybersecuritybeeld Nederland 2024 wordt verder nog het volgende vermeld.

Meerdere statelijke actoren, zoals Rusland en China, intensiveren hun cyberactiviteiten. Voor een aantal landen is ook sprake van verbreding van de capaciteiten: ze voegen nieuwe methoden toe aan hun bestaande arsenaal of gebruiken andere, ook niet-digitale, middelen. Bovenop het gebruik van andere middelen uit een bredere gereedschapskist, is de inzet of betrokkenheid van niet-statelijke actoren onderdeel van die verbreding. Zo werd in 2023 een groter deel van de Russische digitale spionage-, sabotage- en beïnvloedingsactiviteiten uitgevoerd door ‘hacktivistische’ collectieven. Soms waren dit zogenoemde cover-operaties, soms waren het daadwerkelijk hacktivistische groeperingen die handelden in het verlengde van de Russische staat.

Een deel van de cybersecurityincidenten kunnen worden geplaatst in de context van geopolitieke spanningen. Het gaat dan vooral om de oorlog tegen Oekraïne, de strijd tussen Israël en Hamas en de spanningen tussen het westen en China. Wereldwijd ondervonden aanbieders van vitale processen hinder van cyberaanvallen. Als voorbeeld van digitale sabotage worden de voorbereidingshandelingen genoemd van de Chinese APT ‘Volt Typhoon’ in tegen de militaire en civiele infrastructuur van de VS.

De Chinese cyberdreiging bestond tot nu toe vooral uit mogelijke spionage, maar opvallend aan de campagne van Volt Typhoon is dat Chinese hackers mogelijk ook voorbereidingen troffen voor sabotage, en niet (enkel) voor spioneren. Vooralsnog zijn geen activiteiten uit dit programma tegen Europa bekend. De Chinese capaciteit op dit gebied groeit echter hard en zou binnen betrekkelijk korte tijd overal ter wereld ingezet kunnen worden. Dit maakt het Chinese cybersabotageprogramma de komende jaren in potentie een dreiging voor onder andere Nederland. Het Chinese offensieve cyberprogramma is mede gestoeld op samenwerking tussen bedrijfsleven, universiteiten en Chinese inlichtingendiensten. De scheidslijnen tussen organisaties zijn daarbij onduidelijk: personen vervullen soms zowel een wetenschappelijke rol als een rol in het Chinese veiligheidsapparaat en werken daarbij samen met Chinese (staats)bedrijven.

Datahandel en nationale veiligheid

Opvallend vind ik verder nog de opmerking in CSBN 2024 dat de ‘mondiale datahandel’ en het mogelijk misbruik daarvan de nationale veiligheid kan raken. Daarbij wordt onder andere gewezen naar databedrijven maken gebruik van geavanceerde advertentietechnologie, ook bekend onder de term real-time bidding (RTB). Onderdeel van RTB is dat sites en apps geautomatiseerd advertentieruimte aanbieden. Adverteerders kunnen op hun beurt advertenties inkopen voor heel specifieke profielen van gebruikers. Ook worden Meta en Google genoemd over grootschalige datahandel. De precisie van de opgebouwde profielen stelt, volgens de NCTV, groepen of individuen bloot aan een verhoogd risico op digitale spionage of online of fysieke intimidatie en dit kan de nationale veiligheid schaden. Het kan gaan om politici of andere mensen op gevoelige (overheids-)functies, maar ook om bedreigde personen of leden van diaspora-gemeenschappen afkomstig uit autoritaire regimes. Ook wordt hierbij verwezen naar de Amerikaanse discussie hierover (JJO: en dit beschrijf ik zelf ook in de recente publicatie: Balancing National Security and Privacy: Examining the Use of Commercially Available Information in OSINT Practices).

Interessanter nog vond ik de overweging dat slimme apparaten en moderne auto’s veel persoonsgevoelige data vergaren en delen met fabrikanten, die dat op hun beurt ook weer kunnen delen met andere partijen. De vorige minister van Infrastructuur en Waterstaat stelde nog in een Kamerbrief in januari 2024 dat automobilisten zeggenschap moeten hebben over hun voertuigdata en dat die alleen na toestemming met derde partijen mag worden gedeeld (zie ook Security.nl). Voertuigdata is data die door het voertuig zelf wordt gegenereerd door sensoren, camera’s of software in het voertuig. Het gaat dan bijvoorbeeld om de laadcapaciteit van batterijen, data die wordt gegenereerd door de regensensor, CO2-uitstoot, werking van veiligheidssystemen of de kilometerstand. Deze data kan worden uitgelezen op fysieke wijze of online via internet. In de brief wees hij op de risico’s van spionage van fabrikanten uit landen met een offensieve cyberstrategie tegen Nederland. Security.nl zegt daarbij terecht dat het hierbij om China gaat, omdat landen als Rusland, Iran en Noord-Korea geen auto’s op de Nederlandse markt brengen.

Quantum computing

Ook wordt de ‘toekomstige krachtige quantumcomputer’ als een risico voor de nationale veiligheid genoemd. Een quantumcomputer die over voldoende rekenkracht beschikt is namelijk in staat om veelgebruikte encryptiemethodes te verzwakken of te breken. Cryptografie speelt een sleutelrol als het gaat om het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van digitale processen en data. Voorbeelden hiervan zijn het aansturen van verkeerslichten en bruggen, communicatie in de vorm van e-mail of appberichten en het beschermen van identiteitsgegevens. Daarnaast wordt cryptografie gebruikt om vertrouwelijke, bedrijfsgeheime en staatsgeheime informatie te versleutelen.

De ontwikkeling van een krachtige quantumcomputer is de laatste jaren in een stroomversnelling geraakt, aldus het rapport. Hoewel het onwaarschijnlijk is dat er op dit moment quantumcomputers bestaan die de huidige cryptografie effectief kunnen breken, moet er wel nu al rekening gehouden worden met de mogelijke risico’s als gevolg van de komst van een krachtige quantumcomputer. Versleutelde data die nu onderschept en opgeslagen wordt, kan dan namelijk op een later moment ontsleuteld worden. Dit wordt ook wel store now, decrypt later genoemd, en vormt volgens de AIVD en het NCSC op dit moment de meest urgente dreiging voor organisaties in relatie tot de komst van een krachtige quantumcomputer. Daarom heeft de AIVD samen met andere partijen in 2023 een handboek gepubliceerd over postquantumveilige cryptografie.

JJO: op maandag 4 november 2024 spreek ik overigens voor Studium Generale (samen met anderen) over quantum computing in Tivoli (Utrecht)!

Reflectie voorgestelde aanpassingen Wet op de inlichtingen- en veiligheidsdiensten

jjoerlemans

De Vaste commissie voor Binnenlandse Zaken van de Tweede Kamer houdt zich momenteel bezig met de beoordeling van de voorgenomen wijzigingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). De voorgenomen wijzigingen staan in de hoofdlijnennotitie zijn hoofdzakelijk gebaseerd op de aanbevelingen van de Commissie Jones-Bos, die in 2020 haar – wat premature – evaluatie uitvoerde en in 2021 publiceerde.

Op verzoek van deze commissie hebben wij een zogenoemde factsheet (.pdf) geschreven voor het samenwerkingsverband ‘Parlement & Wetenschap’. In september 2024 hebben wij deze factsheet toegelicht aan de rapporteurs van de commissie: Barbara Kathmann (GroenLinks-PvdA) en Jesse Six Dijkstra (NSC). Deze blog geeft onze factsheet in verkorte vorm weer.

1.     Problematiek uitvoering van bulkinterceptie en de hackbevoegdheid

Onze hoofdboodschap is dat de Tijdelijke cyberwet reeds enkele urgente knelpunten in de uitvoering van bijzondere bevoegdheden beoogt op te lossen, maar deze oplossingen niet altijd voldoende duidelijk regelt. Dit is met name zo met betrekking tot de reikwijdte van de rechtmatigheidstoets van de Toetsingscommissie Inzet Bevoegdheden (TIB). De problematiek bij bulkinterceptie op de kabel en de uitvoering van de hackbevoegdheid wordt gekenmerkt door een verschil in interpretatie over de reikwijdte van de toetsing door de TIB bij de inzet van deze bevoegdheden. De Tijdelijke cyberwet verlegt onder meer de voorafgaande toets te naar meer dynamisch toezicht tijdens de uitvoering van deze bevoegdheden. Eerder hebben wij afzonderlijk van elkaar ook betoogd dat dit een goede balans kan opleveren tussen voldoende slagkracht voor de diensten en voldoende waarborgen voor de bescherming van fundamentele rechten.

Het is volgens ons de vraag of de Tijdelijke cyberwet de eerder gesignaleerde knelpunten geheel kan wegnemen. Er bestaat nog steeds onduidelijkheid over het criterium van ‘zo gericht mogelijk’ bij bulkinterceptie, evenals over de reikwijdte van de toetsing door de TIB bij – bijvoorbeeld – de toetsing van technische risico’s bij de inzet van de hackbevoegdheid. Ook blijft onduidelijk of de TIB in het kader van de toets geclausuleerde toestemming mag geven met voorwaarden die zien op de verdere gegevensverwerking, zoals bewaartermijnen voor bulkdatasets of het delen van gegevens met buitenlandse inlichtingen- en veiligheidsdiensten.

Wij zijn ons ervan bewust dat het gebrek aan een effectieve inzet van kabelinterceptie voor een deel is te verklaren door tekorten in IT-capaciteit en achterstanden of uitvoeringsproblemen bij de diensten zelf. Voldoende huisvesting en capaciteit voor de toezichthouders zijn ook cruciaal. Wij realiseren ons terdege dat met wetgeving niet alle problemen kunnen worden opgelost, en dat organisatorische knelpunten ook een rol spelen. Desondanks is voldoende duidelijkheid over taakstellingen van alle betrokken partijen vereist. De voortdurende discussies over kwesties als het gerichtheidsvereiste, klaarblijkelijk ook tussen de TIB en de CTIVD onderling, moeten ophouden. Daarbij is meer afstemming en samenwerking vereist, onder een gedeelde verantwoordelijkheid (zie ook paragraaf 3 onder Toezicht).

2.     Bulkdatasets

In de hoofdlijnennotitie worden prima uitgangspunten benoemd voor de omgang met bulkdatasets. Daarbij geldt het devies: ‘bulk is bulk’, ongeacht hoe de data zijn verworven, en is het voornemen om een uniforme regeling voor bulkdatasets te creëren. Daarnaast wordt een stap aan het toestemmingsproces toegevoegd, waarbij de bulkbehoefte voorafgaand aan het toestemmingsverzoek wordt voorgelegd aan de minister.

De hoofdlijnennotitie voorziet desondanks in een differentiatie voor bepaalde bulkdatasets die via de informantenbevoegdheid geraadpleegd kunnen worden. Zoals eerder is betoogd, is het noodzakelijk de informantenbevoegdheid te herzien en een duidelijke en voorzienbare regeling te creëren voor (al dan niet geautomatiseerde) toegang van de AIVD en de MIVD tot gegevens van andere (overheids)instanties. De regeling in de Tijdelijke cyberwet is onvoldoende, omdat bulkdatasets óók kunnen worden verzameld met algemene bevoegdheden, zoals de informantenbevoegdheid, en uit OSINT. Daarnaast kunnen bulkdatasets worden verkregen van buitenlandse inlichtingen- en veiligheidsdiensten in het kader van internationale samenwerking. De Tijdelijke cyberwet is hierop niet van toepassing. Het is goed dat de diensten een eigen tussentijdse regeling aanhouden, maar dit zou bij wet geregeld moeten worden.

3.     Toezicht

De hoofdlijnennotitie biedt verschillende scenario’s met betrekking tot het toezichtstelsel. Gezien de discussies en ontwikkelingen in aanloop naar de Tijdelijke cyberwet lijken deze scenario’s al enigszins achterhaald. Met de Tijdelijke cyberwet heeft de wetgever duidelijk gekozen voor meer dynamisch toezicht, met name om de knelpunten van de statische voorafgaande toets tegen te gaan (zie paragraaf 2). Duidelijk is ook dat voor bepaalde bevoegdheden, zoals bulkinterceptie en de hackbevoegdheid, voorafgaande onafhankelijke toetsing noodzakelijk is. De verdere gegevensverwerking en de naleving van andere artikelen in de Wiv 2017 moeten door een onafhankelijk orgaan getoetst worden. Betrokkenen moeten de mogelijkheid hebben een klacht in te dienen, die vervolgens door een onafhankelijk orgaan dient te worden behandeld, en waar bindende beslissingen op kunnen volgen.

Volgens ons wijzen alle pijlen naar het creëren van één toezichthouder die – in aparte kamers – zowel een voorafgaande toets uitvoert, als achteraf toezicht houdt (scenario 3 uit de hoofdlijnennotitie). De Tijdelijke wet laat zien dat de uitvoering van toezicht met end-to-end safeguards ook afstemming vereist tussen de TIB en de CTIVD. De beide toezichthouders hebben zelf in jaarverslagen te kennen gegeven op te willen gaan in één ‘Autoriteit Nationale Veiligheid’. Het moet daarbij mogelijk zijn dat zij staatsgeheime informatie met elkaar delen. In een systeem van checks & balances is de beroepsmogelijkheid op beslissingen van de TIB en bindende oordelen van de CTIVD bij de afdeling bestuursrechtspraak van de Raad van State een welkome aanvulling. Het is echter te vroeg om een appreciatie van dit nieuwe systeem in het kader van de Tijdelijke wet te geven, aangezien er nog geen jurisprudentie ligt.

Uit bovenstaande paragrafen volgt onze aanbeveling dat de ervaringen met de Tijdelijke cyberwet via een volgende evaluatie mee te nemen in een nieuw wetgevingsproces.

4.     Grijsgebieden

Ten slotte is het dreigingsbeeld in de afgelopen jaren sterk veranderd. Nieuwe cyberdreigingen – wij noemen in onze factsheet desinformatie en cyberspionage – en ondermijnende criminaliteit worden nu door de AIVD opgepakt. Het is echter maar de vraag in hoeverre al deze dreigingen in gelijke mate de nationale veiligheid raken, en daarmee tot het taakgebied van de diensten zijn te rekenen. Het terugkerende punt is dat veel onduidelijkheid bestaat over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen.

Het is ons bijvoorbeeld onvoldoende duidelijk in hoeverre de AIVD, het Nationaal Cyber Security Centrum en andere onderdelen van het ministerie van Justitie en Veiligheid gegevens met elkaar mogen uitwisselen over de (cyber)dreigingen die de nationale veiligheid raken. Afgelopen zomer hebben de AIVD en de MIVD in samenwerking met de Nationale Politie bijvoorbeeld een ‘Russische offensieve cybercampagne verstoord’. Maar dat roept vragen op, zoals: welke bevoegdheden zijn daarvoor ingezet, welke gegevensuitwisseling heeft plaatsgevonden, is dat volgens de regels gegaan, wie is daar verantwoordelijk voor, en hoe wordt daar onafhankelijk en effectief toezicht op gehouden? Dit zijn vragen die niet tot een noemenswaardig parlementair debat hebben geleid, en volgens ons opheldering verdienen.

Wij signaleren soortgelijke grijsgebieden waar het gaat om criminaliteit die de democratische rechtsorde ondermijnt. Dit wordt wel als taakgebied op de website van de AIVD vermeld, maar is niet terug te vinden in de toelichting op de openbare versie van de Geïntegreerde Aanwijzing van 2023-2026. Het begrip ‘ondermijnende criminaliteit’ is op zichzelf al problematisch, omdat uit onderzoek blijkt dat niet duidelijk is wat met het begrip wordt bedoeld.

Kortom, meer duidelijkheid over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen is noodzakelijk. Daarbij moet ook antwoord komen op de vraag of de diensten actief gegevens verzamelen over deze dreigingen door de inzet van bijzondere bevoegdheden, om ook niet-traditionele afnemers, zoals bedrijven, handelingsperspectief te bieden. Mogelijk leidt een debat – en nopen de antwoorden op deze vragen – tot verdere aanpassingen van een nieuwe Wet op de inlichtingen- en veiligheidsdiensten.

Jan-Jaap Oerlemans & Sophie Harleman

Cryptocommunicatiedienst ‘Ghost’ ontmanteld

jjoerlemans

Bron: AFP, ‘Operation Kraken’, YouTube, 18 september 2024

Op 18 september 2024 hebben buitenlandse politieorganisaties de cryptocommunicatiedienst ‘Ghost’ ontmanteld.

Cryptocommunicatiedienst Ghost

Ghost stond volgens Europol vooral bekend vanwege zijn ‘geavanceerde’ beveiligingsmaatregelen. Gebruikers konden de tool aanschaffen zonder persoonsgegevens af te geven. De tool bood een keuze in drie versleutelstandaarden en de optie om berichten op de telefoon te vernietigen als een code werd verstuurd.

Overigens wordt de geavanceerde staat van het product in het artikel ‘Ghost, Encrypted Phone for Criminals, Was an ‘Absolute Mess’ van Joseph Cox op 404media.co tegengesproken.

Slechts enkele duizenden personen maakten gebruik van de software, dat draaide op zijn eigen infrastructuur in verschillende landen. De servers bevonden zich in Frankrijk en IJsland (en in Zweden volgens de persconferentie), de eigenaren in Australië (deze zijn daar ook opgepakt) en de financiële ‘assets’ in de Verenigde Staten.

In september 2024 waren 51 verdachten gearresteerd, waarvan 38 in Australië en 11 in Ierland. De Australian Federal Police (AFP) meldt dat 50 ‘threaths to life’-incidenten voorkomen, een aantal drugslabs zijn ontmanteld en ongeveer 1 miljoen in cash is in beslag genomen. In Australië maakten volgens de AFP ‘outlaw motercycle gangs’, ‘middle eastern organised crime groups’, ‘Italian organised crimes’ en ‘Korean organised crime’ gebruik van de dienst voor drugshandel en moordopdrachten. Zij verdenken honderden verdachten, waaronder zeer bekenden bij de politie. In Italië is ook een bekende verdachte van de mafia opgepakt.

Internationale politieoperatie en resultaten

Negen politieorganisaties, hebben in samenwerking met Europol de dienst opgerold en gegevens verzameld. Europol benadrukt haar rol met de wat onduidelijke zin: “Due to the complexity of this data-driven investigation, a number of teams at Europol were involved with specialised technical skills, including cyber-related.”

In maart 2022 werd bij Europol een Operationele Taskforce (OTF) opgericht met instanties uit Australië, Canada, Frankrijk, Ierland, Italië, Nederland, Zweden en de Verenigde Staten. Deze taskforce heeft de wereldwijde technische infrastructuur in kaart gebracht, de belangrijkste leveranciers en gebruikers van het platform geïdentificeerd, het criminele gebruik ervan gemonitord en de gecoördineerde acties uitgevoerd om het platform te sluiten. In januari 2024 is ook een JIT opgezet tussen Franse en Amerikaanse autoriteiten.

Verloop Operation Kraken en hack

Het is vooralsnog onduidelijk hoe de operatie is verlopen, die in Australië ‘Operation Kraken’ werd genoemd. In het persbericht van de AFP en bovenstaande YouTube video over de persconferentie wordt enige duidelijkheid gegeven.

Ghost is al ongeveer negen jaar (dus in 2015) ontwikkeld. In Australië waren 376 telefoons actief. Het platform is in Australië sinds 2022 in het vizier gekomen van de Australian Federal Police (AFP). Nadat internationale partners zich ook richten op Ghost gingen ze samenwerken in het OTF.

Interessant is dat de Australische autoriteiten de Ghost telefoons via een update hebben geïnfecteerd met software (dus gehackt) en daarmee toegang kregen tot gegevens op de telefoons. In het AFP bericht staat daarover het volgende:

“While the AFP worked within the taskforce, it also established Operation Kraken after developing a covert solution to infiltrate Ghost.

The administrator regularly pushed out software updates, just like the ones needed for normal mobile phones.

But the AFP was able to modify those updates, which basically infected the devices, enabling the AFP to access the content on devices in Australia.”

Versplintering van de markt

Europol legt zelf op hun website uit dat het landschap van versleutelde communicatie is steeds gefragmenteerder geworden, als gevolg van recente acties met betrekking tot cryptocommunicatienetwerken (zie ook mijn pagina Overzicht cryptophone operaties).

Criminele actoren wenden zich nu tot verschillende minder gevestigde of op maat gemaakte communicatiemiddelen die verschillende gradaties van veiligheid en anonimiteit bieden.  Zo zoeken ze naar nieuwe technische oplossingen en maken ze ook gebruik van populaire communicatietoepassingen om hun methoden te diversifiëren. Deze strategie helpt deze actoren te voorkomen dat hun volledige criminele operaties en netwerken op één enkel platform worden blootgesteld, waardoor het risico op onderschepping wordt verkleind.

Het landschap van versleutelde communicatie blijft dus zeer dynamisch en gesegmenteerd, hetgeen de rechtshandhaving volgens Europol voor voortdurende uitdagingen stelt. Bijna ironisch – gezien de meer dan een miljard verzamelde versleutelde berichten en meer dan 6500 arrestaties uit voorgaande cryptophone operaties – wordt door Europol in het persbericht daarom (wederom) een oproep gedaan tot toegang tot versleutelde berichten bij communicatiediensten.

New article about Commercially Available Information and OSINT

jjoerlemans

Our article “Balancing National Security and Privacy: Examining the Use of Commercially Available Information in OSINT Practices”, co-authored by myself and Sander Langenhuijzen, is now published in open access in the International Journal of Intelligence and CounterIntelligence! Of course, a .pdf is also available. You can also listen to the automatically generated podcast below, which I created with Google’s Notebook LM.

Summary

In our article, we critically examine how intelligence and security services utilize commercially available information from OSINT tools and consider its impact on data protection rights. Our analysis builds on the work of the Dutch oversight committee on intelligence and security services and the U.S. Office of the Director of National Intelligence.

It was fascinating to discover that while this OSINT practice is seen as a national security threat in the United States, it is perceived more as a privacy threat in continental Europe (particularly in the Netherlands). Despite these differing perspectives, the recommendations from oversight authorities and existing legal provisions on lawful information processing are remarkably similar.

We propose the following four steps to ensure necessary safeguards are in place to prevent the abuse of personal information in modern OSINT practices:

  1. Prior to using OSINT tools or acquiring commercially available information, intelligence and security services must be aware: (a) how data are processed, (b) what data are processed, and (c) why the data are processed, in order to identify risks of abuse of these data. In other words, intelligence and security services should first assess their impact in a data protection impact assessment and take measures to mitigate risks.
  2. The intelligence community should set up standards and procedures and implement safeguards, such as identifying the need for and value of the use of these data (while balancing this with the impact on fundamental rights), analyze the vendor and data quality, apply acquisition mechanics (such as procurement procedures), and periodically evaluate these standards. Then, intelligence and security services should implement safeguards when processing commercially available information, such as data minimization approaches and techniques, as well as limits on retention, access, querying, other use, and the dissemination of commercially available information.
  3. OSINT practitioners must be appropriately educated and brought up to speed with the “do’s and don’ts” with OSINT tools. Intelligence and security services should periodically evaluate their policy and guidelines and review their practices.
  4. An independent and effective oversight authority should scrutinize whether legislation and internal policies are respected.

Finally, we suggest that the use of commercially available data in other contexts, especially in the cybersecurity and the financial sector, warrants further research.

La Quadrature du Net e.a. II: Meer ruimte voor bewaarplicht van identificerende gegevens

jjoerlemans Een reactie plaatsen

La Quadrature du Net e.a. II (HvJ EU 30 april 2024, C-470/21, ECLI:EU:C:2024:370) gaat over de toegang tot identificerende gegevens en de verwerking daarvan door een Franse toezichthouder (Hadopi) die schendingen van auteursrechten op internet tegengaat. De Franse privacyvoorvechter en non-profit organisatie La Quadrature du Net heeft met een aantal andere belangenorganisaties een zaak tegen de Franse staat aangespannen, omdat zij van mening zijn dat een bewaarplicht voor dit doeleinde een disproportionele inbreuk maakt op de fundamentele rechten van personen. Eerder boekte de belangenorganisatie La Quadrature du Net succes met een soortgelijke procedure. Wij schreven hierover eerder de overzichtsannotatie ‘De dataretentie-uitspraken: is er licht aan het einde van de tunnel?’.

Het Hof van Justitie van de Europese Unie acht nu een algemene bewaarplicht van identificerende gegevens van internetgebruikers om auteursrechtinbreuken tegen te gaan onder voorwaarden toelaatbaar. Het gaat daarbij met name om een duidelijke regeling met waarborgen tegen misbruik, voorwaarden voor de verwerking van de gegevens, het toezicht daarop en de rechten van een betrokkene als het tot een procedure komt. In onze annotatie bespreken we het arrest en de voorwaarden die het HvJ EU stelt uitvoerig.  

Onze annotatie is in open acces gepubliceerd in EHRC-Updates.nl. Lees daar bijvoorbeeld ook de interessante annotatie van Dave van Toor en Celine Taylor Parkins-Ozephius over de Grensoverschrijdende aspecten van de EncroChat-operatie.

Jan-Jaap Oerlemans & Mireille Hagens

Citeerwijze: HvJ EU 30 april 2024, C-470/21, ECLI:EU:C:2024:370 (La Quadrature du Net e.a. II), EHRC-Updates.nl, m.nt. J.J. Oerlemans & M. Hagens

New article about non-consensual sexual deepfakes

jjoerlemans

Our new article ‘An empirical and legal analysis of sexual deepfakes in the EU, Belgium and the Netherlands‘ (.pdf), written by Sofie Royer, myself and Rolf van Wegberg, is now available in open access! I also created an automatically generated podcast about our article with Google’s Notebook LM. You can check it out below. Enjoy listening!

Research question

In our article we aim to answer the question: ‘How do sexual deepfakes proliferate online, to what extent is the non-consensual production, distribution, possession of, and/or access to sexual deepfakes of adults currently criminalised, and to what extent should it be criminalised in the future?’, with a combined empirical and legal approach.

 To that end, we conducted an explorative analysis of the online market for sexual deepfakes. The empirical research was focused on Telegram groups, in particular Dutch-language groups. This is combined with a legal analysis of the legal frameworks on sexual deepfakes in Belgium and the Netherlands.

Results

The research shows that sexual deepfakes proliferate on the clear web and in public Telegram groups. Subsequently, we have examined to what extent the non-consensual production, distribution, possession of, and/or access to sexual deepfakes are already criminalised and to what extent they should be criminalised.

From the legal analysis we conclude that – if there is any positive obligation to criminalise sexual deepfakes of adults at all – it is limited to the production and subsequent distribution of sexual deepfakes of existing people. We also find that the Digital Services Act could be particularly important in enforcing take downs and content moderation of deepfake contents.

Please cite as:

Royer, S., Oerlemans J.J., van Wegberg, R.S. (2024). An empirical and legal analysis of sexual deepfakes in the EU, Belgium and the Netherlands, pp. 459-482. In: Vermeulen, G. Peršak, N., & De Coensel, S. (ed.) (2024). Researching the boundaries of sexual integrity, gender violence and image-based abuse, Revue internationale de droit pénal, 95(2), Maklu.