Het berichtje moet zijn ingeslagen als een bom. ‘Vanaf nu kunt u (voorlopig) geen gebruik meer maken van deze diensten in verband met een grootschalig strafrechtelijk onderzoek naar criminele eindgebruikers van versleutelde informatie.’ Die tekst wordt — in het Engels, Spaans, Nederlands en Frans — op dinsdag 19 april 2016 verstuurd naar 19.000 klanten van cryptobedrijf Ennetcom.

Meteen daarna komen aan beide kanten van de Atlantische Oceaan opsporingsambtenaren in actie. In Nederland valt de recherche binnen op verschillende adressen van het Nijmeegse telecombedrijf; op hetzelfde moment maken Canadese politiemensen, onder het toeziend oog van hun Nederlandse collega’s, een kopie van de Blackberry Enterprise Server (BES) die Ennetcom in Toronto heeft staan.

De ‘beloning’ volgt een half jaar later. In oktober 2016 krijgt het openbaar ministerie op last van de Canadese rechter zeven terabyte aan versleutelde bestanden en ruim 3,6 miljoen berichten overhandigd — een digitale goudmijn. Vrijwel direct begint het Team High Tech Crime van de politie met het ontsleutelen van de gegevens.

De informatie die de politie zodoende weet te verkrijgen, is ‘van belang in zeker honderd strafzaken,’ aldus officier van justitie Martijn Egberts. ‘En ik hoop dat we er tien liquidaties mee kunnen oplossen.’ De cybercrime-officier blijft zakelijk terwijl hij de Canadese vangst toelicht, maar af en toe breekt er een lachje door op zijn gezicht. ‘Alles wat een normale beheerder zou moeten kunnen zien op die server, is inmiddels ontsleuteld.’

Bloedbad

De vondst in Canada is een ongekende doorbraak  voor de Nederlandse opsporingsinstanties en het succes werd eind vorig jaar breed uitgemeten in de media. Ook hackers toonden zich geïnteresseerd. Sindsdien is het naar verluid onrustig in het criminele milieu. ‘Het wordt een bloedbad,’ vermoedt een advocaat van een van de verdachten wiens berichten zijn ontcijferd. Of de raadsman het letterlijk of figuurlijk bedoelt, laat hij in het midden.

Bloederig was het natuurlijk al: er vielen de afgelopen vijf jaar veel slachtoffers, met name onder jonge criminelen van Marokkaanse afkomst. Van de uiterst brute afrekening in de Amsterdamse Staatsliedenbuurt in december 2012 tot aan het afgesneden hoofd van Nabil Amzieb dat in maart 2016 door voorbijgangers werd aangetroffen op de stoep voor het hoofdstedelijke waterpijpcafé Fayrouz. In die draaikolk van geweld waanden de daders zich tot vorig jaar veilig met hun Blackberries die communiceerden via onkraakbare Pretty Good Privacy (PGP)-encryptie. Ze spraken vrijuit, vaak zelfs pocherig over de modus operandi waarmee ze hun beoogde slachtoffers uit de weg wilden ruimen.

'Hahahaha lijpe snor. We hebben nu iets onder zn waggie. Hou het wel voor je’ 

Bijvoorbeeld op 31 januari 2015, toen ene Sua aan Rami het bericht stuurde: ‘Hahahaha lijpe snor. We hebben nu iets onder zn waggie. Hou het wel voor je. Als het nodig is laten we snor m lokken.’  Waarop Rami reageerde met: ‘Haha sgoed bro’. Diezelfde dag hadden hun handlangers Youssef en Zakaria het er over dat ‘morge of overmorge gaan we m vegen’.

Versluierd taalgebruik, waarbij ‘iets onder zn waggie’ wijst op een peilbaken en ‘vegen’ staat voor ‘vermoorden’. Het was informatie die het Nederlands Forensisch Instituut (NFI) na de gewelddadige aanhouding van de vier verdachten had weten los te peuteren uit in beslag genomen telefoons. Belastende berichtjes, vermoedelijk openbaar geworden omdat de gebruikers van de telefoons niet voorzichtig genoeg zijn geweest. Maar dat lukte lang niet bij alle crypto-toestellen die de NFI-techneuten in handen kregen.  

Metadata

Al snel werd duidelijk dat veel telefoons afkomstig waren van het Nijmeegse Ennetcom, waar ze te koop werden aangeboden voor bedragen tussen de 1400 en 2200 euro. Om daar een voet tussen de deur te krijgen, ging het OM op zoek naar aanwijzingen dat het telecombedrijf zich schuldig maakte aan witwassen.

Indicaties waren er genoeg, constateerden undercoveragenten die twee telefoons kochten. Bij Ennetcom werken ze niet met bonnetjes en gebruiken ze geldtelmachines. Verder betalen klanten cash en houdt het bedrijf er een ingewikkelde financiële structuur op na, schreef Martijn Egberts april 2016 in het rechtshulpverzoek aan Canada. ‘Als je je bedrijf zo inricht dat je elke link tussen jouw product en je klant weghoudt en niet registreert, is dat verdacht,’ zegt de officier van justitie anderhalf jaar later. ‘Dat is niet hoe KPN het doet. Om witwassen te kunnen bewijzen willen we aantonen dat tenminste een substantieel deel van het klantenbestand uit criminelen bestaat die die telefoons ook met crimineel geld betalen. We kunnen niet alle klanten individueel onderzoeken, dus hebben we gezocht naar de metadata: hoe en waar worden de telefoons gebruikt en wie gebruikt ze? Als je die informatie zou kunnen leggen naast het beeld dat we al hebben van crimineel Nederland, zou je die groepen ook veel beter kunnen plaatsen binnen strafbare feiten.’

Bij Ennetcom werken ze niet met bonnetjes en gebruiken ze geldtelmachines. Klanten betalen cash 

Het Team High Tech Crime ging vervolgens op zoek naar BES-server, waar naar vermoeden de versleutelde data was te vinden. En wie weet, als bonus ook nog de bijbehorende sleutels. Die zoektocht bracht de speurders uiteindelijk bij Bitflow Technologies aan Front Street West in Toronto.

Zeven kogels

Nu, anderhalf jaar verder, heeft het OM de communicatie én de sleutels in handen en zijn de eerste resultaten gevoegd in de strafzaken tegen moordverdachten. Een van hen is Naoufal ‘Noffel’ F., een vermeend kopstuk van de zogenaamde mocro-maffia. Mede op basis van ontsleutelde berichten ziet het openbaar ministerie hem als de opdrachtgever voor de mislukte aanslag op de Amsterdamse beroepscrimineel Pjotr R. Die laatste werd op 5 november 2015 door zeven kogels geraakt, maar wonderlijk genoeg overleefde hij de moordpoging. In de media is ‘Noffel’ sindsdien neergezet als een nietsontziende leidersfiguur, een voormalig straatschoffie dat nu een rol speelt in de internationale drugshandel.

Hij wordt bijgestaan door advocaat Inez Weski. De Rotterdamse advocaat kent het Ennetcom-dossier goed; ze verdedigt ook Danny M., de eigenaar van het Nijmeegse telecombedrijf. Weski heeft er dus alle belang bij om namens haar cliënten vraagtekens te stellen bij de trofee die de Nederlandse staat uit Canada heeft gehaald. In de strafzaak tegen Naoufal, die deze week verder gaat, betoogde ze eerder al dat de rechters de officier van justitie niet-ontvankelijk zou moeten verklaren. Simpelweg omdat volgens Weski de opsporingsinstanties in hun drang om te scoren zich weinig hebben aangetrokken van wetten en verdragen.

In de kern komt het hierop neer: kunnen politie en OM zomaar een server kopiëren om die vervolgens naar believen te doorzoeken?

De raadsvrouw onderbouwt haar verhaal met de nodige jurisprudentie en parlementaire documentatie, maar in essentie komt haar kritiek hierop neer: politie en OM kunnen niet zomaar een server van een openbaar telecommunicatienetwerk kopiëren waar tienduizenden mensen gebruik van maken, om die vervolgens naar believen te doorzoeken op mogelijk belastend feitenmateriaal. Weski: ‘In feite heeft het openbaar ministerie zich bevoegdheden en macht over data toegeëigend, die werden beschreven in het boek 1984 van George Orwell als angstbeeld van een samenleving.’

Big Brother dus. Een vergaande stelling, waarmee de advocate tot op heden nauwelijks gehoor heeft gevonden bij de rechters. En ze zal de publieke opinie vermoedelijk ook niet aan haar zijde vinden, nu het er op lijkt dat de politie dankzij de Canadese ‘schatkist’ meerdere huurmoorden kan oplossen. Toch, als je haar grieven hoort en leest, krijg je onwillekeurig het idee dat er meer speelt dan slechts de poging van de verdediging om deze zaak te ondermijnen. Iets overstijgends, namelijk de vraag: hoe ver vinden wij als burgers dat de politie mag gaan in haar jacht op criminelen?

Onschuldige burgers

Die vraag is terecht en heel actueel, vindt Ton Siedsma. De Amsterdamse jurist werkt als onderzoeker bij digitale burgerrechtenbeweging Bits of Freedom en volgt de Ennetcom-casus al een tijdje. ‘Van oudsher is de politie op het individu gericht. Nu zie je dat men aast op grotere databestanden. Bij die zoektocht naar de naald in de hooiberg stuit je als opsporingsinstanties onherroepelijk op gegevens van onschuldige burgers. Wat gebeurt er met die informatie? Kijkt een rechter daar naar? En wat als er geen rechtszaak komt? Waar blijft die data dan? Of wat gebeurt er als de politie die gegevens met buitenlandse collega’s deelt?’

De Canadese rechter waarschuwde de Nederlandse justitie voor een 'fishing expedition’

Dat het ook in de Ennetcom-zaak om gevoelige materie gaat waar de overheid prudent mee om dient te gaan, blijkt wel uit de conclusie van de Canadese rechter. Weliswaar gaf hij Nederland toestemming om een kopie van de server te gebruiken, maar judge Ian Nordheimer waarschuwde in zijn uitspraak tegelijkertijd voor een 'fishing expedition': ‘Wat mij zorgen baart is, indien al deze data naar Nederland worden gestuurd, er theoretisch niets is dat de Nederlandse autoriteiten ervan zou weerhouden om die informatie op bewijsmateriaal te doorzoeken naar criminele activiteiten van anderen die niets met de lopende onderzoeken te maken hebben.’

Om oneigenlijk gebruik te voorkomen, moet de Nederlandse rechter vooraf toetsen wat wel en niet mag, oordeelde de Canadese magistraat. Gaan we doen, beloofde het openbaar ministerie. ‘Maar dat mag naar mijn overtuiging helemaal niet volgens de wet en internationale dataverdragen!’ fulmineert Weski van achter haar bureau aan de Rotterdamse Westersingel. ‘In een een-tweetje met de rechter-commissaris heeft het OM de Canadezen een rad voor ogen gedraaid en bewust de verkeerde wetsartikelen gebruikt.’ Oftewel, detournement de pouvoir, misbruik van het recht, zoals de raadsvrouw het eerder formeel stelde in haar pleidooi. ‘Hier geldt dat door een correcte toepassing van de wet was voorkomen dat er grote hoeveelheden irrelevante berichten en gegevens van onschuldige derden doorzocht konden worden.’

Wassen neus

Verderop in dezelfde stad, op het kantoor van het landelijk parket, pareert officier van justitie Martijn Egberts de kritiek stoïcijns. ‘Je moet je realiseren dat op het moment dat wij aan Canada informatie vroegen, we dat niet hebben gevraagd omdat we dachten dat we de inhoudelijke informatie van een groot deel van crimineel Nederland zouden krijgen. Het was een soort bonus waar we op stuitten, maar die niet direct in de lijn der verwachting lag. Wat ons betreft heeft de Canadese rechter heel duidelijk gemaakt wat de minimumvereisten moeten zijn. Dat houdt in dat als informatie in andere zaken wordt toegevoegd, de rechter-commissaris eerst moet oordelen of dat terecht is.’

Die beperking van de toets door een rechter-commissaris is volgens de verdediging in de praktijk een wassen neus. Volgens Weski mag het OM zelfs zoeken op met heel algemene zoektermen. ‘Ze bevragen de hele server op de letter G. Dus door alle data. Een oceaan aan gegevens!’ Bij het landelijk parket zegt Egberts niet te weten welke verzoeken collega-officieren in andere strafzaken hebben gedaan. ‘Maar eerlijk gezegd kan ik me niet goed voorstellen dat de rechter-commissaris akkoord is gegaan met een zoekslag op basis van slechts één letter.’

'Ik snap het het openbaar ministerie wel. Ze willen die citroen natuurlijk zo lang mogelijk uitpersen’

Welles-nietes in een explosieve zaak vol juridische complicaties. Ook de academische wereld kijkt met belangstelling naar hoe de Ennetcom-casus zich ontvouwt. ‘Weski zet stevig in,’ zegt Bart Jacobs, hoogleraar Digital Security aan de Radboud Universiteit. ‘Maar in theorie heeft ze een punt. Als je voor de strafzaken die ten grondslag liggen aan het Canadese rechtshulpverzoek slechts enkele tientallen belastende feiten haalt uit een database van 3,6 miljoen berichten die wordt gebruikt door tienduizenden mensen, is dat niet in evenwicht. Maar ik snap het openbaar ministerie wel. Dat denkt: het zijn waarschijnlijk allemaal foute jongens, we willen iedereen. Ze willen die citroen natuurlijk zo lang mogelijk uitpersen.’

Het roept de vraag op of je gebruikers van Pretty Good Privacy sowieso als verdachte kan wegzetten. Een absurde stelling, vindt de verdediging. De Nederlandse overheid propageert volgens Weski nota bene zelf het gebruik van veilige communicatie. ‘Een bedrijf als KPN heeft een crypto-telefoon op de markt gebracht; de blackphone. Als in een strafrechtelijk onderzoek naar voren komt dat een of meerdere verdachten een KPN-abonnement blijken te hebben, haalt men het toch ook niet in zijn hoofd om bij KPN alle abonnees te achterhalen om te beoordelen of sprake is van legitiem gebruik?’

Dat het gebruik van encryptie an sich als verdacht wordt gezien, vindt ook hoogleraar Jacobs ‘belachelijk’. ‘Dan kan de politie hier op de universiteit ook haar slag slaan. In mijn omgeving gebruikt iedereen PGP. Dan dringt zich de analogie met de inlichtingendiensten op: die letten er op als iemand zijn communicatie geheim wil houden. Maar goed, als er al een verdenking ligt, is die encryptie natuurlijk wel een indicatie dat er meer valt te halen.’

Shit

Het waren vooral de aanwijzingen van witwassen die Ennetcom verdacht maakten, benadrukt Martijn Egberts. Nadat het bedrijf in beeld was gekomen als leverancier van telefoons voor moordverdachten, vermoedden de opsporingsdiensten al snel dat het gros van de clientèle tot het criminele milieu behoorde. ‘Die hypothese lijkt te kloppen. We komen niemand tegen die deze telefoon gebruikt voor legale dingen, geen partijen die best een legitieme reden hebben om communicatie af te schermen, bijvoorbeeld overheidsinstanties. Althans niet in de mate die Ennetcom suggereert.’

Hoe weet hij dat zo zeker? Het gaat om maar liefst 38.000 accounts – waarvan 19.000 van Ennetcom-gebruikers – en miljoenen berichten. Egberts: ‘Bij zo’n hoeveelheid kan je niet elk bericht lezen. Om te kunnen duiden of het in de communicatie over legale of illegale activiteiten gaat, begin je met een woordanalyse. Als mensen het vooral hebben over “containers”, “pakketten”en “shit”, vermoeden wij geen legale zaken. Dat onderzoek wordt steeds fijnmaziger en tot nu toe zien we geen legitieme gebruikers.’

Met wie deed Ennetcom zaken? 'Vele klanten, ook overheidsinstellingen en bedrijven'

Daarmee blijft de vraag in de lucht hangen: met wie deed Ennetcom zaken? Een oud-medewerker, die we via LinkedIn benaderen, zegt dat hij niets wist over de clientèle. ‘We leverden aan resellers, een netwerk door heel Europa en elders in de wereld heen. Wie vervolgens die telefoons kochten, weet ik niet. Dat is natuurlijk ook de essentie van de crypto-telefoons, dat je niet weet wie de gebruiker is. Ennetcom was voor mij een gewoon functionerend, normaal bedrijf.’

Eerder meldde Ennetcom in een persbericht dat ‘het bedrijf vele klanten, nationaal en internationaal — ook bij overheidsinstellingen en bedrijven’ had. Maar als FTM vraagt naar concreet bewijs van dergelijke klanten, laat eigenaar Danny M. via advocaat Weski weten op dit moment die informatie niet naar buiten te willen brengen.

Rechtsstaat

Crimineel of niet, een interessante onderliggende vraag is of de rechter uiteindelijk Ennetcom ziet als een openbaar telecommunicatienetwerk. ‘Als iedereen zo’n telefoon heeft kunnen kopen, is het feitelijk openbaar,’ zegt Ton Siedsma van Bits of Freedom. ‘Dan gelden er allerlei beperkingen voor de politie. Bijvoorbeeld dat de informatie slechts kan worden gebruikt waar het gaat om de verdenking tegen de specifieke verdachte die aanleiding heeft gegeven tot doorzoeking van de communicatie. Ik snap wel dat het OM er een belang bij heeft in andere zaken, maar rechtsstatelijk zou je toch eerst de discussie willen voeren wat wel en niet kan.’

Vanzelfsprekend heeft Inez Weski dit punt ook al vol onder de aandacht gebracht. In haar visie had een juiste toepassing van de Nederlandse wet grootschalige inbreuk op de privacy van tienduizenden gebruikers nooit mogelijk gemaakt. Ze noemde het eerder in haar pleidooi ‘de geboorte van het grote probleem waardoor nu door het openbaar ministerie [..] het ene juridische kunst- en vliegwerk na het andere uit de kast wordt getrokken’. (Voor de liefhebbers: het gaat hier met name om de interpretatie van de artikelen 125i, 126ng en177sv van het wetboek van strafvordering, waarbij de advocate meent dat het OM en de rechter-commissaris volledig uit de bocht zijn gevlogen.)

Officier van justitie Martijn Egberts, geconfronteerd met de vraag of de server van Ennetcom een openbaar telecommunicatienetwerk is, begint te lachen: ‘Ik weet waar dit heengaat. Dat is een juridische discussie die we uiteindelijk met de rechtbank en de advocaat moeten voeren. Ik heb gezien wat mevrouw Weski daarover heeft gezegd.’ Dan cryptisch: ‘Dat is een aspect dat we in overweging hebben genomen voor we het rechtshulpverzoek indienden.’

Hackerstools

De Ennetcom-zaak zit nog steeds in de onderzoeksfase. Voor de buitenwacht – en ook voor de verdediging – is het tot op heden een raadsel hoe de politie aan de encryptiesleutels is gekomen, waarmee de data is ontrafeld. Stonden die op de server in Canada? Of hadden opsporingsdiensten die eerder al gevonden in Nederland?

Als we Egberts vragen naar de jacht op de sleutels, wil hij er slechts dit over kwijt: ‘Daar hebben we in eerdere interviews geen antwoord op gegeven, dat doen we nu ook niet. Dat zijn dingen die uiteindelijk in de diverse strafzaken naar voren zullen komen. Daarin zullen we transparant zijn over hoe we de data hebben ontsleuteld.’

Uit de logboeken blijkt dat de opsporingsambtenaren van het Team High Tech Crime gebruik maakten van hackerstools

Uit documenten die FTM heeft ingezien, blijkt dat Team High Tech Crime, voorafgaand aan het Canadese rechtshulpverzoek, in ieder geval naarstig heeft gezocht naar de sleutels. Bij meerdere Nederlandse bedrijven waar Ennetcom-servers had draaien, zijn doorzoekingen gedaan. Uit de logboeken blijkt dat de opsporingsambtenaren gebruik maakten van hackerstools. In Haarlem doorzochten THTC-medewerkers begin april 2016, de week voor de actie in Canada, de computers van een internetservice-aanbieder. Daarbij vroegen ze bijvoorbeeld de mailadressen op van de database met de naam ‘BES-CBS’, om vervolgens te noteren: ‘Op het internet blijkt dat dit domein behoort aan het Centraal Bureau voor de Statistiek.’

In de notities staat verder te lezen dat de rechercheurs er voor waakten ontdekt te worden door andere gebruikers, dat ze bestanden hebben geopend met elders verkregen wachtwoorden, dat ze gebruik hebben gemaakt van de hacktool metaspoit en Remote Desktop Control-protocollen uitprobeerden. Daarbij informeerden de digitale speurders keer op keer bij de betrokken officier van justitie of die akkoord ging met hun acties. Bijvoorbeeld op 16 april om 19:05: ‘[we] hebben in verband met het afbreukrisico alsnog afgezien van het proberen te maken van screenshots.’

We leggen deze informatie voor aan een hacker, die werkt als consultant voor het bedrijfsleven en de overheid. Zijn reactie is helder: ‘Ze zijn op zoek naar de decryptiesleutels. En de politie is hier aan het hacken. Honderd procent.’

In een schriftelijke reactie bestrijdt het openbaar ministerie de conclusie dat er ‘gehackt’ zou zijn. Over de inzet van zogenaamde ‘bijzondere opsporingsbevoegdheden’ legt het OM naar eigen zeggen verantwoording af in het onderzoeksdossier.  

Digitale slagkracht

In essentie is de Ennetcom-casus geen cybercrime. Het gaat hier om een witwasverdenking, met telefoons als handelswaar. Onderliggend zijn de onderzoeken naar levensdelicten, moorden in de fysieke wereld, waarbij de vermeende daders ‘slechts’ gebruik hebben gemaakt van geavanceerde digitale middelen.

Maar de dossiers tonen wel aan dat technologische vooruitgang leidt tot dilemma’s bij de opsporing. Dat is waarom Bits of Freedom meekijkt, zegt Ton Siedsma. ‘We vragen ons af wat de implicaties zijn als de politie dit soort grote datasets doorzoekt. Wat kan en wat mag? We bepleiten een strenger toezicht op het handelen van opsporingsinstanties.’ Siedsma hoopt dat de politiek gehoor geeft aan die wens bij de op handen zijnde herziening van het wetboek van strafvordering.

Een andere wet die binnenkort van kracht wordt, is Computercriminaliteit III, waarin expliciet de digitale slagkracht van de opsporingsdiensten wordt benoemd. Het werd tijd, zegt cybercrime-officier Egberts. ‘Als ik dan kijk wat de mogelijkheden op dit moment zijn in het kader van digitaal onderzoek, dan kan ik slechts constateren dat de wetgeving in Nederland jaren achterloopt op de technologie. Nu is er teveel onduidelijkheid. Dat is niet goed. We moeten burgers vooral duidelijkheid geven over wat wel en niet mag.’

Voorziet hij een discussie over de politiebevoegdheden, zoals er nu een debat wordt gevoerd over de Wet op de Inlichtingen- en veiligheidsdiensten (Wiv)? Egberts: ‘Ik mag toch hopen van niet. Over Computercriminaliteit III is zeven jaar gediscussieerd. Ik verwacht dat het nu wel klaar is.’ Waarbij de digitale crimefighter aanvult dat ook de nieuwe wet wat hem betreft onvoldoende mogelijkheden biedt. ‘Het is niet wat politie en justitie nodig hebben om cybercriminaliteit adequaat te bestrijden.’

De OM-man mag dan passen voor een Wiv-debat, zijn tegenspeler Weski haalt de analogie graag aan. Zij wil een discussie, het liefst in de Ennetcom-zaak. Want: ‘Het sleepnet is dus al toegepast en niet door de inlichtingendiensten ten behoeve van terrorismebestrijding maar in regulier politieonderzoek.’ Dan zal Weski geduld moeten hebben; hoewel meerdere liquidatieverdachten zich al moeten verantwoorden voor de rechter, mede op basis van het Canadese bewijs, laat de behandeling van de Ennetcom-zaak op zich wachten. Wat bij de verdediging leidt tot een verzuchting. ‘Want ondertussen gaat de zoektocht door de data maar verder.’