Vier vragenHack EncroChat

Waarom criminelen geen WhatsApp gebruiken en meer over hoe de politie kon meelezen

De politie las wekenlang mee met criminelen die een versleutelde chatdienst gebruikten, en dus ongezien dachten te communiceren. Hoe kan de politie berichten lezen die onkraakbaar moesten zijn? En waarom gebruiken criminelen EncroChat, en niet het eveneens versleutelde WhatsApp?

Nederlandse en Franse autoriteiten werkten samen om het criminele communicatienetwerk te ontmantelen.Beeld ANP

1. Wat is EncroChat en waarom gebruiken criminelen het?

EncroChat is een droom voor criminelen. Gegarandeerde anonimiteit, en net zo vertrouwelijk en veilig communiceren als een fysiek gesprek in een ruimte die onmogelijk kan worden afgeluisterd. EncroChat vraagt hiervoor flinke bedragen: 1.000 euro voor een telefoon en 3.000 euro abonnementsgeld per jaar. Gebruikers krijgen een gestripte Androidtelefoon; de camera, gps-chip en microfoon zijn uit het toestel gehaald. Er staan apps op om vertrouwelijk te communiceren of notities op te slaan. 

De chatapp maakt gebruik van het OTR-protocol, waarmee ook berichtendienst Signal werkt. Dit maakt het mogelijk om berichten van telefoon tot telefoon te versleutelen. Wordt de communicatie onderweg onderschept, dan onderschep je een onleesbare brei. Criminelen kunnen dus vrijelijk met elkaar praten. In Nederland zijn twaalfduizend toestellen in omloop.

2. Hoe lukte het de politie dan toch om meer dan 20 miljoen versleutelde berichten te lezen?

Dat is de hamvraag. Andy Kraag, hoofd van de Dienst Landelijke Recherche, noemde het kraken van de communicatie van duizenden criminelen een ‘gigantische afluisteroperatie’ middels ‘state-of-the-art-cybertechnieken’. Wat hij daar precies mee bedoelde, werd niet duidelijk.De Nederlandse en Franse politie wilden weinig loslaten over hun kunstje. 

Dus is het speculeren. De politie gebruikt de term hack niet, verschillende media noemen het wel zo. Het Amerikaanse magazine Vice stelt dat er vanaf mei technische problemen waren met de verwijderfunctie van EncroChat. Met die functie kon je berichten zichzelf automatisch laten wissen. Ook was er een ‘rode knop’, waarmee je alles kon wissen. In juni zou het bedrijf achter EncroChat kwaadaardige software hebben gevonden die moest voorkomen dat de telefoons zich opnieuw opstartten en die het wachtwoord opsloegen. Hierna stuurde het bedrijf alle gebruikers een melding: we kunnen de beveiliging niet langer garanderen. Zet de telefoon uit en gooi ‘m weg. 

Beveiligingsexpert Matthijs Koot vindt het scenario van een ‘kwaadaardige update’ van de app plausibel. Updates van de chatfunctie vinden altijd plaats via een server. Opsporingsdiensten zijn er in dat scenario in geslaagd om die server binnen te komen en het updateproces te manipuleren.

Een andere theorie wordt gevoed door de politie zelf. Die zou middels een ‘technisch apparaat’ de aanval hebben uitgevoerd. Dat kan erop duiden dat de politie bijvoorbeeld een ‘kanaal’ heeft toegevoegd waar de chats naartoe gingen, zodat van elk bericht een kopie naar de politie werd gestuurd, zonder dat de gebruiker het doorhad. Koot: ‘Het is in elk geval logischer om de infrastructuur van EncroChat te infiltreren, dan vijftigduizend afzonderlijke telefoons te hacken.’

3. Hoe kan goede versleuteling überhaupt te kraken zijn?

EncroChat is niet de eerste berichtenservice die wordt gekraakt. Driemaal eerder slaagden opsporingsdiensten erin om een populaire chatdienst te ontmantelen. In 2016 gebeurde dat met Ennetcom, toen de Nederlandse politie een server in Canada in beslag nam. Daarna duurde het nog maanden voordat de politie de versleuteling van 3,6 miljoen berichten ongedaan kon maken. Dit was een grote klap voor de onderwereld: in veel moordzaken komt het bewijs uit deze chatberichten. Later bleek de politie ook mee te kunnen kijken met het versleutelde Ironchat.

De crux zit ‘m in de implementatie van het versleutelingsprotocol. Eigenlijk is het vrij simpel: goede versleuteling valt niet te kraken. Tussen gebruikers worden per chatsessie sleutels uitgewisseld waardoor de communicatie alleen voor die gebruikers te lezen is. Koot: ‘Maar het is notoir moeilijk om het algoritme en het sleutelbeheer correct te ontwerpen en toe te passen. De cryptografie voor internetbankieren is bijvoorbeeld tot stand gekomen na decennialang testen, herzien en verbeteren.’

Die tijd hebben aanbieders van berichtenservices niet. Bovendien houden deze nichebedrijven hun software geheim en laten ze hem niet testen. Bij Ennetcom kon de politie bij de geheime sleutels komen. En bij IronChat werd een Engelse server getapt, waarna alle berichten ook naar een server van de Nederlandse politie gingen. Die slaagde erin om zelf sleutels voor die berichten te genereren, wat bij een goede toepassing van versleuteling onmogelijk was geweest. Koot: ‘Een fout in de code of in de toepassing van de versleuteling kan de beveiliging teniet doen.’

4. Waarom gebruiken criminelen niet gewoon WhatsApp, dat is toch ook veilig?

WhatsApp kan veilig zijn. Opsporingsdiensten kunnen de versleuteling van de verstuurde berichten niet kraken en niet meelezen met de inhoud. Er zijn wel andere manieren om meer te weten te komen over de afzenders. De politie kan bijvoorbeeld een informatieverzoek doen bij WhatsApp, of de chatgeschiedenis uit de cloud opvragen bij Apple. Of het gekoppelde telefoonnummer volgen. Opsporingsdiensten kunnen software kopen die mobiele gebruikers ‘onzichtbaar’ volgen en hun locatie achterhalen.

Er zijn ook andere redenen waarom criminelen liever een dienst als EncroChat gebruiken. Hun Androidtelefoons zijn ontdaan van camera en microfoon, een normale iPhone is dat niet. De dienst is tevens makkelijk in het gebruik: alles is al voorgeprogrammeerd. 

Half jaar na Citrix-crisis zijn 25 Nederlandse organisaties gehackt. En ze weten zelf van niets
Het lek in Citrix, dat een half jaar geleden tot een crisis leidde bij de Rijksoverheid, wordt actief misbruikt. Terwijl de aandacht voor de kwetsbaarheid is weggeëbd, blijken criminele hackers en spionagegroepen bij zeker 25 Nederlandse organisaties toegang te hebben tot het interne netwerk. 

Nieuwe politiebaas Van Essen: ‘Als er een medicijn is tegen discriminatie, hoor ik het graag’
‘De politie in Nederland staat niet tegenover maar tussen de mensen’, zegt Henk van Essen, ‘daardoor eindigen demonstraties hier niet in rellen’. Sinds mei is hij de hoogste baas van de politie. ‘Het gevoel van achterstand en ongelijkheid dat mensen ervaren, ook bij de politie, is dieper geworteld dan ik mij tien jaar geleden kon voorstellen.’

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden