Bij ontsleuteling cryptotelefoons zijn samenwerking en snelheid cruciaal
Verhalen uit de praktijk
Het kraken van cryptotelefoons vormt een essentieel onderdeel van de aanpak van georganiseerde misdaad. Opsporingsdiensten en digitaal forensisch specialisten proberen criminelen telkens een stap voor te zijn. Mede dankzij een Europees project en samenwerking met het bedrijfsleven, lukt dat de afgelopen jaren steeds beter. “Uit honderden telefoons hebben we belastende informatie kunnen verkrijgen.”
Bij het onderscheppen van berichten tussen criminelen maakte de politie lang vooral gebruik van telefoontaps. Tot ongeveer 10 jaar geleden, toen communicatiedienst Ennetcom werd ontmanteld. Criminelen bleken massaal gebruik te maken van extra beveiligde BlackBerry-smartphones van dit bedrijf, waarmee zij versleutelde berichten naar elkaar verstuurden via servers in Nederland en Canada. “Bij deze zogeheten cryptotelefoons worden aan de standaard beveiliging van een telefoon extra lagen toegevoegd”, vertelt Erwin van Eijk, hoofd van de divisie Digitale en Biometrische Sporen van het Nederlands Forensisch Instituut (NFI). “Je krijgt dan als het ware een bankkluis in een bankkluis.”
Cryptotelefoons zijn op zichzelf niet verboden. Ze worden bijvoorbeeld ook gebruikt door journalisten die in vertrouwen met elkaar willen communiceren. Of door accountantskantoren die werken met bedrijfsgevoelige informatie. De opkomst van cryptotelefoons heeft een hele nieuwe markt doen ontstaan. “Gespecialiseerde bedrijven verkopen forensische tools waarmee de politie het merendeel van de beschikbare mobiele telefoons voor consumenten kan uitlezen. Bij het NFI houden we ons bezig met complexe uitdagingen, waar bedrijven geen ondersteuning voor bieden. Methoden en kennis over ontsleuteling delen we vervolgens zo snel mogelijk met de opsporingsdiensten.”
Combinatie van hardware en software
Die complexe uitdagingen waar het NFI zich mee bezighoudt, worden alleen nog maar complexer. Een technische medewerker van het NFI: “Vroeger was ons doel vooral om fysiek toegang te krijgen tot de chip van een cryptotelefoon. Daar konden we dan direct informatie uithalen. Toen verschoof de aandacht naar de software en probeerden we met een USB-kabel als het ware te ‘praten’ met een telefoon, om zo de informatie te kunnen uitlezen. Nu gaat het om een combinatie van hardware en software: beveiligingssleutels voor een chip worden opgeslagen in weer andere chips, en gecombineerd met door gebruikers gekozen wachtwoorden.”
Het achterhalen van een pincode of wachtwoord van een cryptotelefoon is vaak dus niet voldoende. “Wat we willen is een volledige kopie van alle data die op de telefoon staat en ermee verzonden is. Daarvoor is niet alleen cryptografische kennis nodig, om efficiënt naar wachtwoorden te kunnen zoeken, maar gebruiken we ook apparatuur en technologie om fysiek in de chip te komen. Met röntgenapparaten bepalen we bijvoorbeeld hoe een printplaat eruitziet en waar de chip zich bevindt. En als we die eenmaal hebben kunnen isoleren, gebruiken we een elektronenmicroscoop om zicht te krijgen op de beveiligingsmethode.”
Om uit te leggen hoe een telefoon vervolgens kan worden gekraakt, maakt de medewerker een vergelijking met het zoeken naar wietplantages. “Wanneer het gesneeuwd heeft en er blijft één dak helemaal sneeuwvrij, kan dat een indicatie zijn voor de aanwezigheid van groeilampen. Ook bij het ontsleutelen van cryptotelefoons maken we gebruik van de omgeving: het magnetisch veld rondom de chip. Door daar met een antenne naar te ‘luisteren’, krijgen we informatie over de manier van versleutelen.”
Soms lukt het zelfs om de chip van buitenaf te beïnvloeden, vertelt de medewerker. “We geven dan een magnetische impuls op het moment dat de chip een pincode goed of fout keurt. Het is alsof je heel hard ‘boe’ roept - en hoopt dat het systeem daarmee ‘schrikt’ en een fout maakt.”
Onderzoek naar methoden
Binnen het NFI zijn er meer dan 50 medewerkers bezig met dit soort werk. Deels gaat het om ‘zaakonderzoek’: onderzoek dat opsporingsdiensten direct kunnen gebruiken bij bijvoorbeeld inbeslaggenomen telefoons. Research & Development (R&D) is een belangrijk onderdeel van het werk, want onderzoek naar nieuwe methoden is cruciaal om criminelen een stap vóór te blijven. “Daarbij zoeken we al jaren internationale samenwerking”, zegt Van Eijk. “Want criminele netwerken opereren over grenzen heen. Het is zonde als we ons dan allemaal op dezelfde methoden richten. In de plaats daarvan bundelen we onze krachten en kunnen forensisch specialisten uit verschillende landen hun eigen specialisme inbrengen.”
Omdat die internationale samenwerking zo goed werkt, groeide de behoefte om hier meer capaciteit voor te maken. Van Eijk: “Zo ontstond het door de EU gesubsidieerde project EXFILES. Forensisch specialisten, opsporingsdiensten én bedrijven uit zeven verschillende landen combineren daarin hun kennis om toegang te krijgen tot de nieuwste modellen cryptotelefoons. Dit project zorgde niet alleen voor extra handjes, maar ook voor een stok achter de deur om samen te werken. Want in de praktijk worden we toch vaak geregeerd door de waan van de dag, terwijl het juist zo belangrijk is vooruit te kijken.”
Betrokkenheid van bedrijven
Om in te spelen op de toekomst kijken onderzoekers onder meer naar verkoopcijfers en de nieuwe modellen die er aan komen. Maar ook naar trends bij verdachte of criminele groeperingen. “Daardoor zijn de methoden die toegang geven tot cryptotelefoons meestal al in een vergevorderd stadium op het moment dat de politie ze in beslag neemt.” Belangrijk daarbij is ook de betrokkenheid van bedrijven, vertelt de technische medewerker. “Voor commerciële partijen is het natuurlijk risicovol om onderzoek te doen naar methoden waarvan het nut nog niet vastligt. In dit project kunnen we bedrijven inschakelen om niet alleen hun tools te delen, maar ook de achterliggende methoden. En bijvoorbeeld de gebruikte broncode. Zo komen we sneller tot doorbraken.”
Bij een publiek-private samenwerking als in EXFILES moeten goede afspraken worden gemaakt, bijvoorbeeld over intellectueel eigendom. Het gezamenlijke onderzoek levert immers kennis op die ook commercieel interessant kan zijn. Van Eijk: “Bedrijven willen de opgedane kennis natuurlijk het liefst ook in hun eigen producten toepassen. Maar we willen niet dat informatie over ontsleuteling in verkeerde handen komt. Dus hebben we goed vastgelegd wat wel en niet gedeeld kan worden.”
Bewijsvoering voor strafzaken
EXFILES startte in juli 2020 en loopt nu ten einde. In die periode kon de opgedane kennis al worden toegepast in verschillende strafzaken. Dat zegt Martijn Egberts, landelijk officier van justitie Digitale Opsporing. “In veel onderzoeken naar georganiseerde criminaliteit spelen berichten op cryptotelefoons een grote rol. Informatie van in beslaggenomen cryptotelefoons kunnen we na ontcijfering gebruiken voor bewijsvoering. Een groot deel van die berichten is afkomstig van cryptotelefoons die het NFI wist te kraken. Vaak gaat het daarbij om bewijs dat justitie niet op een andere manier kon verzamelen.”
EXFILES droeg eraan bij dat opsporingsdiensten en het OM toegang kregen tot honderden telefoons. Maar in de praktijk is het effect nog veel groter. In Europees verband gaat het om een veelvoud van het aantal telefoons. Bovendien is er sprake van een vliegwieleffect, weet de medewerker. “Een gekraakte telefoon levert soms niet alleen opsporingsinformatie op, maar ook weer inzicht in door criminelen gebruikte methoden. Die dragen vervolgens weer bij aan onze brede kennis en een sneller resultaat bij andere toestellen.”
Zoals vaak in de strijd tegen georganiseerde misdaad, is er ook bij de ontsleuteling van cryptotelefoons sprake van een kat- en muisspel. Want ook criminelen verbeteren hun methoden en technieken. En maken steeds vaker ook gebruik van zogeheten anti forensics, speciaal gericht op het dwarsbomen van onderzoekers. “Ze stellen bijvoorbeeld nep-wachtwoorden in, die ervoor zorgen dat alle berichten op een telefoon verwijderd worden als wij dat wachtwoord invoeren. Daar proberen we op voor te sorteren. Door in het hoofd van een crimineel te kruipen en te bedenken welke trucs je zou kunnen toepassen.”
Foto’s van cocaïne
Het NFI doet er alles aan om van criminelen in beslag genomen cryptotelefoons te kraken. Het is vervolgens aan de politie om op zoek te gaan naar belastend materiaal. Tijdens de werkzaamheden van medewerkers van het NFI komt het wel voor dat hun oog op heel expliciete berichten valt. “Vroeger was het na een kraak soms nog zoeken naar een speld in een hooiberg. Nu gebruiken criminelen hun cryptotelefoons vaak alléén voor criminele informatie: van berichten over liquidaties tot foto’s van blokken cocaïne. We vallen er soms middenin. Maar wij bemoeien ons niet met de interpretatie hiervan, dat is recherchewerk. Het laat wel zien dat ons werk ertoe doet.”