Het Team High Tech Crime (THTC) van de landelijke eenheid van de politie in Driebergen heeft in april 2016 in het onderzoek naar de verkoper van pgp-telefoons Ennetcom een aantal internetproviders gehackt. Dat blijkt uit het dossier van 26DeVink waar Crimesite inzage in heeft gehad.
Door Wim van de Pol
Uit processen-verbaal blijkt hoe rechercheurs met instemming van een officier van justitie zich al hackend toegang verschaften tot reeksen servers. Op adressen van één grote provider in Noord-Holland is de politie binnengetreden voor een fysieke doorzoeking.
De bedrijven zijn door het Openbaar Ministerie niet op de hoogte gesteld van de actie. Overigens spreekt het OM niet van ‘hacken’ maar van ‘een doorzoeking’.
Niet duidelijk is waarom niet bij de bedrijven een vordering is gedaan om gegevens te kunnen opvragen.
BES-servers
Omdat er een onderzoek liep naar witwassen door Ennetcom en zijn eigenaar werden de systemen van Ennetcom door de politie afgeluisterd. Medewerkers van Ennetcom maakten tijdens hun werk verbindingen met IP-adressen van bedrijven in onder meer Gelderland en Noord-Holland, aldus de politie. Het THTC was op zoek naar zogeheten BlackBerry Enterprise Servers (BES-servers) waar Ennetcom gebruik van maakte.
Ook was er informatie van BlackBerry-pgp’s die in het onderzoek naar liquidatie-verdachten 26Koper. De hackers van het THTC probeerden uit te zoeken of die telefoons voorkwamen op servers van die internetproviders.
‘Afbreukrisico’
Tijdens de hacks, die meerdere dagen in beslag namen per bedrijf, werden bestanden van gebruikers die werkten voor Ennetcom en van Ennetcom gedownload. Daar waren bestanden met wachtwoorden bij. Middels remote desktop-apps nam de politie servers van de providers over om alle activiteiten waar te kunnen nemen.
Ook probeerden de rechercheurs ‘afbreukrisico’ (lees kans op ontdekking) te verkleinen door IP-adressen vanwaar de hacks werden uitgevoerd te maskeren. Steeds moesten de hackende agenten zich verbergen voor de medewerkers van de providers. Een voorbeeld uit het uitgebreide verslag:
08.10 Om te voorkomen dat we ontdekt worden vragen we een overzicht op van de ingelogde gebruikers.
Overigens blijkt uit de verslagen dat de hackers voor bepaalde acties in de systemen in real time toestemming vroegen aan een officier van justitie. Soms weigerde deze, in andere gevallen werd dit toegestaan, mits men zich richtte op ‘Ennetcom-gerelateerde’ bestanden. Maar de recherche had in principe toegang tot bestanden en informatie over alle gebruikers van de internetproviders.
Waarschijnlijk heeft de politie resultaten uit het onderzoek gebruikt om de invallen bij servers in Canada te kunnen doen, waar uiteindelijk miljoenen berichten van Ennetcom en van andere pgp-gebruikers zijn gekopieerd. Op de dag voor de inval van 19 april 2016 in Canada (en in panden van Ennetcom in Nederland) was er nog een hack gaande.
Zie ook:
Er tikt een tijdbom onder het Noffel-onderzoek (UPDATE)
Wie controleert straks de hackende politieagent? (COLUMN)
‘Geen relatie tussen Noffel en aanslag Peter R.’
Beveiligde telefoons voor advocaten
Nieuwe overwinning OM over pgp-berichten