Criminelen waanden zich veilig met kwetsbare cryptofoon

De Blackberry was een veelgebruikte cryptofoon in de Ennetcom-zaak.

Toestel kan in vuilnisbak

Criminelen waanden zich veilig met kwetsbare cryptofoon

06-11-2018 20:57 Laatste update: 21:18

Soms leggen criminelen duizenden euro's op tafel voor cryptotelefoons: speciaal geprepareerde toestellen waarmee ze veilig met elkaar kunnen communiceren. Denken ze. Hoe werkt dat, en wat kan er fout gaan?

Een cryptotelefoon (of cryptofoon) is meestal een toestel waar de camera en de microfoon uit zijn gesloopt. Telefoontjes en sms-berichten zijn makkelijk te onderscheppen, versleutelde communicatie niet. Dus bevat de cryptofoon (meestal een Android- of Blackberrytoestel) software om het dataverkeer te versleutelen.

Dat gebeurt op zo'n manier, dat het alleen te lezen is door de ontvanger. Dat wil zeggen: als de opsporingsdiensten geen manier vinden om het dataverkeer tóch te kunnen bekijken.

Geruchtmakende zaak

En dat is precies wat eerder gebeurde in de geruchtmakende zaak rondom het Nederlandse bedrijf Ennetcom. Op de door justitie in beslag genomen servers van het bedrijf stonden niet alleen de versleutelde berichten van criminelen, maar ook de cryptografische sleutels om ze te kunnen lezen. Zo kon de politie miljoenen berichten inzien uit de periode 2011-2016.

Het grote verschil met de zaak die de politie Oost-Nederland vandaag openbaarde, is dat daar live kon worden meegekeken met het berichtenverkeer tussen criminelen. Uniek, zei justitie daarover.

Kwetsbaar bij foutje

Het is waarschijnlijk te wijten aan een fout bij het maken van de app die op de toestellen werd gebruikt om te chatten, IronChat. De encryptiesoftware die de leverancier inbouwde, OTR, staat bekend als heel betrouwbaar. Maar zodra ook maar het allerkleinste foutje wordt gemaakt bij het verwerken van de encryptiesoftware in het chatprogramma, is het toestel meteen kwetsbaar.

"Dit laat maar weer eens zien hoe ingewikkeld versleuteling is", zegt Frank Groenewegen van cyberbeveiliger Fox-IT tegen het ANP. "Software is mensenwerk en de mens is altijd de zwakste schakel. Ook met versleutelde apps leg je je lot in andermans handen."

Op slag waardeloos

De politie geeft geen details over de manier waarop kon worden meegekeken met het berichtenverkeer. IronChat is op slag waardeloos geworden: gebruikers kunnen hun toestel evengoed weggooien. Volgens de politie hadden ze 1500 euro per halfjaar over voor de dienst. Die werd aangeboden door een bedrijf uit Elst dat vrijdag is opgerold.

Mogelijk worden misdadigers zich door de nieuwe affaire beter bewust van de gevaren die ze lopen als ze hun berichtenverkeer toevertrouwen aan anderen. Gebruikers van het IronPhone-toestel en de app IronChat zochten de oorzaak van het uitlekken van informatie niet bij het toestel, maar bij elkaar: de politie zegt met de aanhouding van vier mensen in elk geval één vergeldingsactie te hebben voorkomen.