Hoe het pgp-sleepnet wel (en niet) werkt (#1)

Hoe het pgp-sleepnet wel (en niet) werkt (#1)

Het Team High Tech Crime (THTC) van de landelijke recherche denkt van 500 pgp e-mailadresssen uit de pgp-dataset van het bedrijf Ennetcom de identiteit van achterliggende criminelen te weten. Justitie gebruikt nu in zeker 25 lopende onderzoeken naar georganiseerde misdaad ontsleutelde pgp-berichten uit Canada.

Door Wim van de Pol

Eén en ander blijkt uit stukken van onderzoeksdossier 26DeVink naar Ennetcom.

Op 20 december 2017 maakten rechercheurs 461 en 498 een overzichtsverbaal van de zoekmethode voor de Canadese pgp-data die op de Ennetcom-servers daar in beslag zijn genomen. Het is een verhelderend en tegelijk – volgens een dataspecialist van de Universiteit van Amsterdam – ontluisterend beeld. De methode zal voor de Nederlandse strafrechtspleging in de komende jaren van groot belang zijn. In tientallen onderzoeken krijgen rechters de vraag op hun bord of hiermee mensen tot (soms) levenslange straffen kunnen worden veroordeeld.

Een reconstructie van de zoekmethode.

Breekijzer

Nijmegenaar Danny M. (38) is met zijn Ennetcom verdacht van aannemen van grote contante geldbedragen van criminelen voor pgp-telefoons: witwassen. Zijn zaak was het breekijzer voor het Openbaar Ministerie om servers in Canada te kopiëren en mee naar Nederland te nemen.

Hoe precies die data zijn gekraakt is nog een groot geheim. Volgens de politie arriveerden de data op 12 oktober 2016 in ons land en was er al in november 2016 een beeld van een deel van de inhoud van de data.

1.582.614 berichten

De leesbare data zijn in de periode 13 oktober 2016 tot 12 juli 2017 geupload in een forensisch zoeksysteem waar het Nederlands Forensisch Instituut over beschikt: Hansken. Het proces-verbaal van 20 december 2017 spreekt over: ontsleutelde berichten, foto’s, notities, contactenlijsten en telecomdata. In totaal waren er 3.730.930 berichten en notities van ongeveer 35.000 unieke e-mailadressen. Om een dataset te maken waarin gezocht kon worden schrapte het Team High Tech Crime (THTC) lege of onleesbare berichten, maar ook berichten die minder dan drie woorden bevatten (berichten met bijvoorbeeld alleen ‘ok’ gingen eruit).

Er bleven toen 1.582.614 notities en berichten over.

Crimineel jargon

Met een tool van Google werden vervolgens in het Nederlands geschreven berichten geselecteerd. Hoe betrouwbaar die tool is weet alleen Google, zeker is dat er fouten worden gemaakt omdat de vraag is in hoeverre Google op de hoogte is van crimineel jargon of straattaal. Het THTC zegt dat van 500.522 files met een betrouwbaarheid van 90% te zeggen valt dat het Nederlandse berichten zijn. En dat er 239.924 in het Engels zijn (en overigens ook honderdduizenden in andere talen).

Sleepnet

De politie gebruikt de bak met 1.582.614 files (in verschillende talen) om in te zoeken. En dat gaat met een soort sleepnet. Ten eerste zijn de berichten niet allemaal van criminelen omdat Ennetcom-telefoons ook aan bedrijven en zelfs overheden telefoons heeft verkocht. Om de criminelen en hun “criminele” berichten eruit te vissen zijn er lange lijsten met ‘topics’, honderden zoekwoorden, in de zoekmachine ingevoerd. Het zijn woorden die te maken hebben met moorden, drugs of wapens. Voorbeelden zijn voor de hand liggend: Glock, polm, coke, flake, Satudarah, pres, eastside. Verder vele straattaalwoorden als doekoe, pipa of doezoe, of bijnamen van criminelen. Andere woorden zijn minder voor de hand liggend en niet strikt als crimineel te interpreteren: Colombia, container, doorvoerhaven. Andere nog minder: vloer, fruit, ingevroren, koud zetten of slapen.

De politie concludeert op basis van die ‘topics’ dat er in de data 5503 adressen (gebruikers van de 10.817 “Nederlands-talige” Ennetcom-adressen) scoren op “criminele woorden”. Van al deze mensen zijn er nog eens 4282 adressen die weliswaar zelf niet scoren maar wel voorkomen in het adresboek van de 5503.

500 e-mailadressen

Verder schrijft de politie van ongeveer 500 e-mailadressen de achterliggende gebruikers te hebben geïdentificeerd. Dat zijn vrijwel allemaal bekenden van de politie als personen die actief zijn in de zware misdaad. Het THTC voegt wel de kanttekening toe dat die identificatie niet in alle gevallen zo sterk is dat het in een rechtszaak als bewijs kan worden gebruikt. In het geval van de lopende rechtszaak tegen Naoufal F. is dat bijvoorbeeld al wel gedaan. Inmiddels is aan 25 lopende politieonderzoeken naar zware misdaad in Nederland informatie uit de database toegevoegd, aldus het proces-verbaal.

Maar hoe betrouwbaar en wetenschappelijk is deze zoekmethode?

(wordt vervolgd)

Zie ook:

Politie hackte internetproviders in pgp-onderzoek (UPDATE)

Er tikt een tijdbom onder het Noffel-onderzoek (UPDATE)

Wie controleert straks de hackende politieagent? (COLUMN)

‘Geen relatie tussen Noffel en aanslag Peter R.’

Beveiligde telefoons voor advocaten

Nieuwe overwinning OM over pgp-berichten