Dit is waarom criminelen PGP-Blackberries vertrouwden – Deel 1

Vrijwel iedere week verschijnen er nieuwsberichten over gekraakte PGP-Blackberries en over de miljoenen door justitie leesbaar gemaakte PGP-berichten afkomstig uit de Canadese server van Ennetcom. Dat er in de media vrijwel wekelijks over Ennetcom wordt geschreven is logisch. Er lopen namelijk veel grote strafzaken waarin justitie PGP-bewijs van Ennetcom aanvoert en daar doen journalisten verslag van.

Ook is de discussie over het wel of niet rechtmatig verkregen van de PGP-data nog in volle gang. Dat het publiek daarom keer op keer wordt geïnformeerd over de ontwikkelingen rondom PGP-bewijs in strafzaken is daarom logisch.

Hoe vaker het publiek wordt geïnformeerd over PGP-bewijs, des te meer het publiek zich afvraagt hoe het mogelijk is geweest dat veelal zware criminelen zoveel vertrouwen hadden in de PGP-Blackberries. Vooral omdat er zo openlijk over zware misdrijven werd gesproken. Na vrijwel elk nieuwsbericht over PGP-berichten, reageert het publiek met teksten als: “Dachten ze nou echt dat die nooit te kraken zijn?” “Hoe stom ben je dat je de verkoper blind vertrouwt?” “Ze hadden beter Whatsapp kunnen gebruiken!”

De vraag luidt daarom: Hoe is het mogelijk dat criminelen volle vertrouwen hadden in PGP-Blackberries? Om deze vraag te beantwoorden moeten wij terug naar het jaar 2012. Tot slot heeft Primecrime een aantal veelgestelde vragen en beweringen aan experts voorgelegd. Deze zijn onderin te lezen.

2012
Hoewel versleutelde toestellen al langer bestonden, werd door criminelen vooral vanaf 2012 gebruik gemaakt van de zogenaamde aangepaste PGP-Blackberry. Met zo een toestel kon men alleen PGP-berichten versturen. Bellen en sms’en was onmogelijk. De microfoon werd zelfs door meerdere aanbieders verwijderd.

Aanbieders boden deze toestellen aan en gaven de garantie dat de berichten nooit gekraakt konden worden. En zo werd er vanaf 2012 steeds meer gebruik gemaakt van de PGP-Blackberry, hoewel veel criminelen in deze periode nog wel sceptisch waren en nog niet openlijk durfden te spreken.

Volgens bronnen werd er in 2012 nauwelijks openlijk gesproken, ondanks dat aanbieders de garantie gaven dat hun toestellen niet te kraken zijn.

Gwenette Martha’s versleutelde telefoon
In 2013 verschijnt er een opmerkelijk nieuwsbericht in de media waar in het criminele milieu nog lang over werd nagesproken. Het NFI kon een versleutelde telefoon van topcrimineel Gwenette Martha niet kraken. Het toestel werd daarom naar de Verenigde Staten verstuurd in de hoop dat het toestel daar wel gekraakt kon worden. En ook daar kon het toestel niet gekraakt worden.

Hoewel er voordat dit bericht over Martha’s telefoon verscheen, ook al criminelen met een versleutelde PGP-Blackberry werden vrijgelaten omdat hun toestel niet gekraakt kon worden, kwam het bericht over Martha’s versleutelde telefoon voor het eerst bij het grote publiek binnen. Veel criminelen zagen dit als het bewijs dat een PGP-Blackberry inderdaad niet te kraken is.

2013 – Steeds meer PGP gebruikers
2013 was het jaar dat veel criminelen overgingen op PGP-toestellen en steeds openlijker begonnen te praten. Vooral omdat er na Martha’s niet te kraken toestel meerdere nieuwe soortgelijke gevallen bekend werden. Het kwam geregeld voor dat criminelen vanwege gebrek aan bewijs moesten worden vrijgelaten omdat hun Blackberry-toestel niet gekraakt kon worden.

Ook de angst dat de toestellen later alsnog gekraakt konden worden werd door de aanbieders weggenomen. Aanbieders gaven aan dat zelfs als een toestel gekraakt is, justitie daar weinig mee kan omdat alle berichten dan inmiddels al gewist zouden zijn. Ook deze bewering werd bevestigd. Er zouden enkele gevallen zijn dat een gebruiker het standaard wachtwoord had gelaten (dat standaard op een nieuw toestel zit), waardoor het NFI incidenteel hier en daar een toestel kon openen. De bewering dat alle berichten dan al gewist zouden zijn werd bevestigd, omdat het NFI geen of nauwelijks berichten op deze gekraakte toestellen aantrof.

PGP-Blackberries niet te kraken
Er werden steeds meer nieuwe gevallen bekend dat een zware crimineel moest worden vrijgelaten, omdat zijn toestel niet gekraakt kon worden. En de bewering dat alle oude berichten niet meer terug te halen zijn, werd ook bevestigd in een aantal gevallen waarin het NFI het toestel wel kon openen vanwege een standaard of zwak wachtwoord. In het milieu werd de conclusie getrokken dat PGP-Blackberries, mits een goed wachtwoord, inderdaad niet zijn te kraken.

De angst dat justitie ooit belastende berichten in handen krijgt werd steeds kleiner. Criminelen waren justitie een stap voor werd gedacht. Het is inmiddels bewezen dachten criminelen.

Dit werd verder gevoed door diverse persberichten van de politie. Ook die maakten zich ernstig zorgen dat criminelen niet meer zoals voorheen getapt konden worden, nu zij gebruik maken van versleutelde PGP-blackberries. In het criminele milieu werd ook dit als bevestiging gezien dat er inderdaad openlijk kon worden gesproken op een PGP-Blackberry.

Nieuwe strategie van justitie
Justitie was niet in staat om het berichtenverkeer van criminelen te lezen en moest vaak genoodzaakt pas na een gepleegde feit in actie komen. De ene na de andere liquidatie volgde. Justitie stond onder druk en moest een manier vinden om alsnog bij de belastende berichten te komen. De drang van justitie om PGP-berichten te kraken werd steeds groter. Mede omdat het algemeen bekend was dat criminelen openlijk spraken met hun PGP-Blackberries.

Mocht het justitie daarom lukken om in handen te komen van leesbaar gemaakte PGP-berichten, dan zal er weinig ruimte overblijven om over de inhoud van deze berichten te discussiëren. Criminelen spraken in die fase zo openlijk dat het kraken van deze berichten gelijk stond aan het oplossen van vele zaken. Omdat het kraken van PGP-encryptie zo goed als onmogelijk was, koos justitie voor een nieuwe strategie. Niet meer proberen om PGP-encryptie te kraken, maar uitzoeken of er een andere manier was om de berichten leesbaar te maken.

Experts van het NFI bestudeerden de enkele gekraakte Blackberry-toestellen om zwakke plekken te vinden in de implementatie. Tot hun grote verassing merkten zij op dat het genereren van de encryptiesleutels niet op het toestel zelf gebeurt zoals dat normaal hoort te gebeuren. Dit houdt in dat het genereren van de encryptiesleutels op de server zelf gebeurt in plaats van op het toestel. Dat kan alleen mogelijk zijn als de privé-sleutels ook op de server aanwezig zijn.



Dit was een doorbraak voor justitie. Justitie wist dat mocht er beslag gelegd worden op de server, de kans groot is dat de privé-sleutels op dezelfde server worden aangetroffen. Met de privé-sleutels kon justitie de eerder in beslag genomen Ennetcom-toestellen openen die nog niet gekraakt konden worden. Het in beslag nemen van de server kreeg daarom een hoge prioriteit.

Ennetcom
In april 2016 werd ln het kader van een strafrechtelijk onderzoek naar het bedrijf Ennetcom beslag gelegd op de Canadese server van Ennetcom. Een kopie van alle aangetroffen data werd gemaakt. Niet alleen van de harde schijf, maar ook van het RAM-geheugen, omdat daar de belangrijke privé-sleutels konden zijn die nog live in gebruik waren bij het encrypten en decrypten van berichten.

Justitie trof 3,6 miljoen berichten aan. Waarschijnlijk een grote verassing, omdat vermoedelijk ook justitie ervan uit ging dat alle berichten al na 48 uur al gewist zouden zijn. Een dubbele vangst voor justitie. Zowel de privé-sleutels waarmee de eerder in beslag genomen toestellen konden worden geopend, als een bonus aan grote hoeveelheden PGP-berichten die eigenlijk al gewist moesten zijn. Omdat de privé-sleutels aanwezig waren op de server, moest het NFI nog alleen wat relatief eenvoudig rekenwerk verrichten om alle berichten leesbaar te kunnen maken. Kraken is daarbij niet het juiste woord volgens experts.

Justitie beschikt nu over miljoenen inmiddels leesbaar gemaakte berichten van Ennetcom, zowel afkomstig van de Canadese server als van de in beslag genomen toestellen. De data werd geanalyseerd en belastende stukken werden toegevoegd aan dossiers van verdachten. Hoewel diverse experts en rechtsgeleerden betwijfelen of de data rechtmatig is verkregen, zijn inmiddels al meerdere personen veroordeeld (mede) op basis van PGP-bewijs.

De komende jaren zullen er nog tal van rechtszaken volgen waarin PGP-bewijs een belangrijke rol speelt. In het criminele milieu heerst tot op heden nog altijd grote paniek, met name bij ex-gebruikers van PGP-Blackberries die niet uitsluiten dat justitie ook tegen hen belastend PGP-bewijs heeft aangetroffen. Ook is het niet uit te sluiten dat PGP-bewijs afkomstig van de server van Ennetcom inderdaad niet rechtmatig is verkregen zoals advocaten van de verdachten aanvoeren. Het zal nog lang over PGP-bewijs gaan.

Wat zeggen experts?
Tot slot heeft Primecrime een aantal veelgestelde vragen en beweringen aan experts voorgelegd. Vragen en beweringen die geregeld langskomen.

1. Waren de gebruikers inderdaad “zo stom” om te denken dat PGP nooit gekraakt gaat worden?
PGP zelf is niet gekraakt. Communiceren met encryptie is verstandiger dan zonder encryptie. Het is te begrijpen dat gebruikers vertrouwen hadden en blijven houden in encryptie. Minder te begrijpen is dat gebruikers er vanzelfsprekend van uitgingen dat de aanbieder wel alles op orde heeft. Daar ligt de fout. Bij Ennetcom was de implementatie verkeerd. De privé-sleutels hadden nooit op de server mogen staan.

2. Hadden gebruikers inderdaad beter gewoon Whatsapp kunnen gebruiken?
Dat is moeilijk te zeggen. Whatsapp heeft een goede encryptie. Een voordeel van Whatsapp is dat je vanwege de vele normale gebruikers minder snel opvalt en daarom wel eens “overgeslagen” kunt worden. Het nadeel van Whatsapp is dat, mocht je wel doelwit van justitie zijn, de politie eenvoudig in jouw toestel kan inbreken als je Whatsapp op een normale smartphone gebruikt. Whatsapp hoeft dan zelf niet eens gekraakt te worden omdat de politie dan al alles met jouw toestel kan doen, inclusief het maken en verzenden van bijvoorbeeld screenshots. Inbreken in aangepaste smartphones is een stuk lastiger. Ook is het vaak makkelijker om berichten terug te halen op een in beslag genomen normale smartphone met Whatsapp. Op een in beslag genomen aangepaste smartphone is dat een stuk lastiger.

3. Sinds Ennetcom zijn veel gebruikers overgestapt op versleuteld chatten. Kunnen we binnenkort hetzelfde als met Ennetcom verwachten?
De kans is klein. Veel chat-programma’s maken gebruik van OTR-encryptie. Dezelfde implementatiefout als bij Ennetcom is niet mogelijk. Maar ook bij OTR kan de implementatie een zwakke plek bevatten mits dat niet goed wordt gedaan. Een groot voordeel van OTR is dat in tegenstelling tot PGP, er bij iedere chatsessie een nieuwe sleutel wordt gegenereerd. Bij PGP hoef je maar 1 sleutel te hebben (kraken) en kun je daarmee alle versleutelde berichten van dezelfde gebruiker openen, zoals bij Ennetcom is gebeurd. Bij OTR kun je met een sleutel, slechts 1 sessie openen en zul je per chatsessie een nieuwe sleutel moeten hebben of moeten kraken. De kans dat hetzelfde als met Ennetcom gebeurt is daarom klein. Maar het is niet uit te sluiten dat justitie (in de toekomst) een andere methode vindt om opnieuw chatberichten leesbaar te maken. Ook kunnen de toestellen waarop de chat-programma’s draaien kwetsbaarheden bevatten, waardoor de encryptie zelf niet gekraakt hoeft te worden om bij je chats te komen.

4. Aanbieders van versleutelde telefoons beloven dat alle berichten na 48 uur worden gewist. Hoe waard is die belofte?
Je kunt er als gebruiker nooit zeker van zijn dat alle berichten na 48 uur gewist worden. Het verleden heeft bewezen dat aanbieders daarvan te afhankelijk zijn van bedrijven die de server leveren. Het is moeilijk of niet te controleren hoe de server (en een eventuele backup server) is geconfigureerd. Er zeker van uitgaan dat alle berichten gewist worden is onmogelijk.

5. Dus we kunnen er opnieuw van uitgaan dat justitie veel berichten in handen krijgt net zoals bij Ennetcom?
Ja, dat is niet uit te sluiten. Overigens maakt het in veel landen minder uit of de berichten inderdaad na 48 uur gewist worden. Als een crimineel doelwit is van justitie dan kan diegene ervan uitgaan dat al zijn communicatie door de politie wordt getapt. Het maakt dan niet uit of de leverancier de berichten inderdaad wist. Als bijvoorbeeld al het (versleutelde) berichtenverkeer verstuurd vanuit jouw woning door de politie wordt getapt, dan maakt het niet uit of diezelfde berichten op de server van je aanbieder worden gewist of niet. De politie heeft dan nog voordat je versleutelde berichten de server van de aanbieder bereiken al een kopie in handen. Het is overigens ook bij Ennetcom niet uit te sluiten dat veel Ennetcom-data uit opgeslagen taps uit het verleden komt en niet alleen afkomstig is uit de Canadese server.

6. Het belang van na 48 uur wissen wordt dus overschat?
Dat berichten na 48 uur worden gewist kan wel degelijk nuttig zijn. Maar het is veel belangrijker dat de leverancier de implementatie van de encryptie goed op orde heeft dan of jouw versleutelde berichten wel of niet in handen van de politie komen. Had Ennetcom de implementatie op orde (geen privé-sleutels op de server), dan waren de 3,6 miljoen berichten zeer waarschijnlijk nooit gekraakt. De discussie zou daarom niet zozeer over de aangetroffen berichten moeten gaan, maar over de aangetroffen privé-sleutels. Stel jezelf de vraag: Wat zou de politie aan de 3,6 miljoen berichten hebben gehad als de privé-sleutels ontbraken?

7. Tot slot. Wat raad je gebruikers aan die niet willen dat justitie hun berichten leest?
Stap uit de criminaliteit ;). Niet-criminelen, journalisten en alle andere mensen die privacy belangrijk vinden, kunnen gebruik maken van versleutelde chat-diensten zoals Whatsapp en Telegram. In veel democratische landen mag de politie namelijk niet zomaar in je telefoon inbreken, waardoor diensten als Whatsapp meestal veilig genoeg zijn omdat het verkeer in en vanuit jouw telefoon versleuteld is. Maak jij je zorgen dat staten de wetten overtreden of leef je in een land waar dat regelmatig gebeurt, dan is het aan te raden om een aangepaste smartphone te gebruiken. Op een aangepaste smartphone zijn alle bekende kwetsbare apps en onderdelen van de OS uitgeschakeld, waardoor het een stuk moeilijker is om in te breken in jouw telefoon. Toch is ook een aangepaste smartphone niet waterdicht, omdat er altijd nieuwe lekken gevonden kunnen worden waar de aanbieder nog niet van af weet. En het is daarbij belangrijk dat de aanbieder de implementatie goed op orde heeft. Voorwaarde is dat je als gebruiker de beweringen van de aanbieder altijd moet kunnen controleren. Overigens is het hebben van een zwaarversleutelde smartphone in sommige landen juist verdacht en zelfs gevaarlijk. In dat geval is het aan te raden om alsnog Whatsapp te gebruiken.

Conclussie experts
Hoe langer wij in gesprek waren met experts, hoe meer het ons is gaan opvallen dat zij zich niet zozeer opwinden over de aangetroffen berichten. Experts, zeker uit de Verenigde Staten gaan ervan uit dat je er als gebruiker altijd van moet uitgaan dat al jouw berichten worden opgeslagen. Gebeurt het niet op de server, dan via de provider of een doelgerichte actie waarbij al het verkeer in en vanuit jouw telefoon wordt getapt.

Encryptie is in eerste instantie juist bedoeld om weerstand te bieden tegen internetverkeer dat onderschept wordt, niet tegen het niet onderscheppen van het verkeer. Encryptie zou dus bestendig moeten zijn tegen het in beslag nemen van 3,6 miljoen berichten. Dat de politie oudere berichten aantrof op de server vinden de experts die wij spraken veel minder erg dan dat de politie de privé-sleutels aantrof.

Wat bracht justitie naar de Ennetcom server?
Nog een belangrijk punt is dat de voornaamste reden om beslag te leggen op de server van Ennetcom, het in handen krijgen van de privé-sleutels was. Niet om berichten aan te treffen. Het idee was om de in beslag genomen toestellen te openen met de privé-sleutels die mogelijk op de server staan. Het ging justitie destijds niet om de 3,6 miljoen berichten. Dat blijkt uit officiële stukken.



3,6 miljoen berichten zijn bijvangst
De officiële stukken lijken te bevestigen dat de 3,6 miljoen berichten inderdaad eerder een grote bijvangst was. De stukken bevestigen dat het justitie in eerste instantie niet eens om de berichten op de server ging. Het is overogens de vraag of justitie ooit beslag zou hebben gelegd op de server als er geen vermoeden was dat de privé-sleutels op de server zouden staan.

Binnenkort deel 2 te lezen op Primecrime.