Hieronder volgt weer een overzicht van cybercrimezaken in de maanden december-februari die mij zijn bijgebleven. Het waren te veel zaken om allemaal een plek te geven, dus ik heb een selectie gemaakt. Daarbij heb ik dit keer extra gelet op zaken die interessante vragen met zich meebrengen op het gebied van strafvordering.
Inloggen op accounts met de credentials van een verdachte?
In de rechtspraak is een interessante discussie op gang gekomen over de vraag of opsporingsambtenaren na de inbeslagname van een gegevensdrager achteraf mogen inloggen op een account. In dat geval zijn de credentials (inlognaam en wachtwoord) rechtmatig verkregen.
In twee gevallen is over de beslissing van de rechter-commissaris een beschikking gepubliceerd. In de eerste beschikking keurde de rechter-commissaris de aanvraag tot inloggen niet goed, omdat artikel 126ng lid 2 Sv ziet op het vorderen van opgeslagen gegevens bij een elektronische communicatiedienstaanbieder en niet op een zoeking en overnemen van gegevens op afstand. In de tweede (recente) beschikking gaf de rechter-commissaris wél een machtiging – na tussenkomst van de officier van justitie – aan een opsporingsambtenaar om in te loggen op de verschillende e-mailadressen en datingsites. De rechter-commissaris achtte zich, op grond van artikel 181 Sv, bevoegd om deze beslissing te nemen, hoewel ook wordt opgemerkt dat de wet (nog) niet voorziet in een specifieke bevoegdheid om in te loggen op e-mailadressen en websites en gegevens vast te leggen. De Rechtbank Den Haag overweegt ten eerste dat het verschil tussen een vordering tot de gegevens en het inloggen en overnemen van gegevens op afstand ‘niet wezenlijk’ is, omdat het om dezelfde soort gegevens gaat. Ten tweede is het inloggen op de e-mailadressen en websites met vooraf beschikbare gebruikersnamen en wachtwoorden een eenvoudige en weinig risicovolle wijze van binnendringen in een geautomatiseerd werk. Ten derde is de inbreuk voor de betrokkene niet groter bij het inloggen en vastleggen van gegevens dan bij het vorderen van gegevens bij de aanbieder.
In het licht van deze tweede beschikking is ook het arrest van het Hof Den Haag van 19 december 2018 zeer lezenswaardig. Hierbij heeft de politie met toestemming van de rechter-commissaris op het politiebureau de inhoud van de mailbox van het Hotmail-account en een Gmail account (1001 e-mails) van de verdachte gekopieerd (8643 e-mails). Kortgezegd overweegt op grond van de regeling van de netwerkzoeking geen zoeking achteraf en op afstand mag plaatsvinden. De advocaat-generaal vindt dit door de beugel kunnen op grond van de regeling van de netwerzoeking in art. 125j Sv. Het Hof overweegt kort gezegd dat de netwerkzoeking gekoppeld aan de doorzoeking van een plaats ter vastlegging van gegevens (zoals ook gewoon letterlijk in de wet staat, zou ik daaraan willen toevoegen). Het Hof Den Haag overweegt dat de netwerkzoeking daarmee los staat van de inbeslagnemingsbevoegdheden, in die zin dat niet kan worden gezegd dat de bevoegdheid tot inbeslagneming reeds de bevoegdheid tot het doen van een netwerkzoeking impliceert. Ook hierin ligt een argument besloten voor het oordeel dat de netwerkzoeking niet pas na de feitelijke inbeslagname van een gegevensdrager (alsnog) mag worden toegepast, en derhalve op een later moment en op een andere locatie, zoals in casu wel is gebeurd. Een ruime uitleg van art. 125j Sv waarmee achteraf met de credentials van de verdachte mag worden ingelogd gaat de rechtsvormende taak van de rechter te buiten volgens het hof.
Het arrest is daarnaast interessant vanwege de ten laste gelegde feiten (drieweg-phishing (per mail, nagemaakte website en malware)) en de overwegingen omtrent het hackverweer (zie ook hieronder). Over het arrest heb ik een annotatie geschreven die over een tijd in Computerrecht verschijnt.
Overzichtsarrest hackverweer van Hof Den Haag
Het Hof Den Haag wijdt in haar arrest van 19 december 2018 (ECLI:NL:GHDHA:2018:3528) dezelfde overwegingen aan het “hackverweer” als in de bovengenoemde zaak. Het hackverweer wordt dikwijls in cybercrimezaken gebruikt, waarbij de verdediging stelt dat niet de verdachte maar iemand anders via de gehackte computer van de verdachte de feiten is begaan. De overwegingen hierover van het hof zijn daarom heel belangrijk en stelt een nieuwe norm m.b.t. het hackverweer. Ik vind het wel jammer dat het allemaal nogal juridisch met veel tussenzinnen is geschreven, waardoor het arrest lastiger leesbaar wordt. Ook het aantal factoren waarmee rekening moet worden gehouden en alle uitzonderingen maakt het allemaal niet eenvoudig, maar wel volledig zullen we maar zeggen. In dit bericht vat ik de omgang met het verweer samen.
Deze vrij oude zaak ging over het bezit en verspreiding van kinderpornografische afbeeldingen via het peer-to-peer netwerk ‘eDonkey2000’. In een map zijn kinderpornografische afbeeldingen gevonden en uit de zoektermen kon worden afgeleid dat is gezocht naar kinderporno.
Het Hof stelt voorop dat bij de beoordeling van het hackverweer als maatstaf dient te worden aangelegd of – alle feiten en omstandigheden in ogenschouw nemende – dit verweer al dan niet in meer of mindere mate aannemelijk is geworden (zie HR 16 maart 2010, ECLI:NL:HR:2010:BK3359). Het is aan de verdachte om die feiten en omstandigheden aan te voeren. Volgens vaste jurisprudentie mag de rechter, naast de weerlegging in de bewijsmotivering, ook de onwaarschijnlijkheid, onaannemelijkheid en/of de ongeloofwaardigheid van alternatieve scenario’s in zijn oordeelsvorming betrekken. Volgens het Hof mag de rechter er, behoudens sterke aanwijzingen voor het tegendeel, ervan uitgaan dat op een computer (of in een beveiligde online omgeving) aangetroffen gedownloade of gekopieerde bestanden daarop zijn geplaatst door de gebruiker van die computer. Ook mag de rechter er, behoudens sterke aanwijzingen voor het tegendeel, ervan uitgaan dat wanneer uit nadere (meta)data blijkt dat bepaalde websites of bepaalde bestanden zijn geopend, die handelingen zijn verricht door de gebruiker van die computer.
Het enkele feit dat op een computer sporen zijn aangetroffen van malware betekent nog niet noodzakelijkerwijs dat dit een aannemelijke verklaring vormt voor de aanwezigheid van bepaalde (digitale) delictsporen, zoals opgeslagen browser- of communicatieactiviteiten en kinderpornografische afbeeldingen. Het is niet vereist dat kan worden uitgesloten dat een bepaalde computer is “gehackt”. Kortom, de theoretische mogelijkheid dat de betreffende computer is gehackt, zonder dat daarbij tevens een specifieke relatie wordt gelegd met de feiten uit de betreffende zaak en het daarin verrichtte (digitaal-forensische) onderzoek, is in de regel op zichzelf onvoldoende voor de conclusie dat de computer is gehackt. Het Hof noemt de volgende factoren die bij het hackverweer in ogenschouw kunnen worden genomen:
- het al dan niet aantreffen van (sporen van) hackingsoftware of zogenaamde remote access tools, en van het ongeautoriseerde gebruik door derden daarvan, op de betreffende computer;
- het niveau van fysieke en digitale bescherming van de computer tegen gebruik door derden/(digitaal) binnendringen.
- de aan- dan wel afwezigheid van digitale sporen (en/of andere feiten en omstandigheden) waaruit, bijvoorbeeld vanwege de inhoud, kan worden afgeleid wie (ook) op of omstreeks het moment van plegen van de strafbare gedragingen de gebruiker van de computer was. Bij onderzoek kan bijvoorbeeld blijken dat vanaf de computer zeer kort voor of na de strafbare handelingen ook communicatie (email, chats) is gevoerd, waarvan de inhoud een relatie heeft met de verdachte (dan wel een bepaalde derde) of dat gegevens zich op bestandslocaties bevinden die redelijkerwijs alleen bekend of toegankelijk waren voor de verdachte;
- de mate waarin, en het moment waarop, de verdachte medewerking heeft verleend aan eventueel nader onderzoek naar zijn verweer. Hierbij kan gedacht wordt aan het al dan niet (tijdig) verstrekken door de verdachte van bijvoorbeeld wachtwoorden en toegangscodes, welke nodig zijn voor het verrichten van (nader) digitaal- forensisch onderzoek;
- andere feiten en omstandigheden die wijzen op een bijzondere (inhoudelijke) betrokkenheid van de verdachte of een derde bij de op of via de betreffende computer gepleegde gedragingen, zoals fysieke sporen (bijv. afbeeldingen of valse credit cards) die bij de verdachte of derden zijn aangetroffen en die een relatie hebben met de op de computer aangetroffen digitaal-forensische sporen (bijv. digitale kinderpornografie; gephishte credit card gegevens);
- getuigenverklaringen omtrent het gebruik van de betreffende computer door verdachte dan wel door derden;
- de aan- dan wel afwezigheid van een motief voor derden om in de computer van de verdachte binnen te dringen.
Het arrest is ook lezenswaardig vanwege het uitgebreide digitaal forensisch onderzoek dat is gedaan en de motiveringen daaromtrent. Ondanks dat er malware op de computer van de verdachte is gevonden blijkt uit forensisch onderzoek dat het niet waarschijnlijk is dat een derde de feiten heeft begaan. Daartegenover staat dat de verdachte enkele minuten voor gedragingen met kinderpornografisch materiaal de computer heeft gebruikt voor zijn werk. Enkele minuten na de gedragingen met kinderpornografisch materiaal wordt door de verdachte gebruik gemaakt van Microsoft Outlook om persoonlijke e-mail te bekijken en in de tussenliggende periode gebruik gemaakt van de internetpagina sexdatingstad.nl met een account dat op basis van de vanaf zijn betaalrekening betaalde credits aan de verdachte kan worden toegeschreven.
De verdachte wordt veroordeelt tot een gevangenisstraf voor de duur van 24 maanden, waarvan 15 voorwaardelijk en een proeftijd van twee jaar. De apparaten waarmee de feiten zijn begaan (een PC, externe harde schijf en router) zijn verbeurd verklaard.
Gedwongen ontgrendeling smartphone niet in strijd met nemo-tenetur beginsel
De Rechtbank Noord-Holland heeft op 14 december 2018 een verdachte veroordeeld (ECLI:NL:RBNHO:2018:11578) voor drugssmokkel (cocaïne) via Schiphol. De zaak is interessant, omdat de Koninklijke Marechaussee (Kmar) de verdachte onder de dreiging van dwang zijn pincode heeft laten afgeven om een smartphone te ontgrendelen voor nader onderzoek aan de telefoon.
De raadsman van de verdachte betoogt dat het onderzoek aan de telefoon van de verdachte onrechtmatig is geweest. De verdachte heeft de pincode van zijn telefoon niet vrijwillig gegeven, maar onder dreiging van fysieke dwang. De Kmar dreigde immers onder dwang de vingerafdruk van verdachte te gebruiken om zijn telefoon te ontgrendelen. ‘Enkel om het uitoefenen van fysieke dwang te voorkomen heeft verdachte de pincode van zijn telefoon gegeven. Nu de pincode van de telefoon is verkregen als gevolg van het uitoefenen van ongeoorloofde pressie, is er sprake van handelen in strijd met het nemo tenetur beginsel en dient dit als onherstelbaar vormverzuim te worden beschouwd’, zo betoogt raadman. Het nemo tenetur beginsel is het beginsel dat een verdachte niet hoeft mee te werken aan zijn eigen veroordeling (afgeleid van het recht op een eerlijk proces uit art. 6 EVRM). Het noemen van de pincode zou dan worden beschouwd als een verklaring, waarvan de code en resultaten van het onderzoek door het vormverzuim niet zou kunnen worden gebruikt als bewijs. De rechtbank stelt ook dat de verdachte niet in volledige vrijwilligheid zijn pincode heeft gegeven.
Naar het oordeel van de rechtbank is echter niet gehandeld in strijd met het nemo tenetur beginsel en was de Kmar bevoegd om – met toestemming van de officier van justitie – onder dwang de vingerafdruk af te nemen van verdachte teneinde de smartphone te ontgrendelen. Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal dat onafhankelijk van de wil van verdachte bestaat en zonder zijn medewerking zou kunnen worden verkregen. De rechtbank neemt bij haar oordeel in aanmerking dat er een zwaarwegend belang bestond om de telefoon te ontgrendelen (nu verdachte werd opgehouden voor een ernstig strafbaar feit) en de inbreuk op de lichamelijke integriteit gering is. Volgens de rechtbank is geen sprake van een vormverzuim.
De rechtbank Den Haag kwam op 12 maart 2018 overigens tot een vergelijkbaar oordeel (ECLI:NL:RBDHA:2018:2983). Daar ging het om een kindontvoeringszaak en nam de rechtbank in overweging dat snel moest worden gehandeld en de dwang niet disproportioneel werd geacht.
Ik vermoed dat het laatste woord over het gedwongen ontgrendelen van smartphones nog niet is gezegd..
Aydin C. ook in hoger beroep veroordeeld
Op 14 december 2018 heeft het Hof Amsterdam de ‘webcamafperser’ Aydin C. in hoger beroep veroordeeld (ECLI:NL:GHAMS:2018:4620) voor o.a. computervredebreuk (art. 138ab Sr), bezit van kinderpornografisch materiaal (art. 240b Sr), aanranding (art. 246 Sr), afdreiging (art. 318 Sr) en oplichting (art. 326 Sr). Over de zaak in eerste aanleg heb ik een annotatie geschreven. Daar ga ik vooral in op de vraag of er een wettelijk grondslag bestaat voor de software waarmee toetsaanslagen en screenshots van de computer van de verdachte zijn vastgelegd.
In hoger beroep wordt het gebruik van software ook legitiem geacht. Wat mij in het hoger beroep vooral opvalt is dat het Hof het verzoek van de verdediging om het digitale bewijsmateriaal wel erg eenvoudig ter zijde schuift. De verdediging verzoekt:
“Het gaat hierbij om verzoeken die betrekking hebben op de (tot op heden) geweigerde inzage in de forensische kopieën van alle gegevensdragers, inzage in alle opnamen/resultaten van de ingezette keylogger en inzage in de WE-logs en VPN-logs, nader onderzoek naar de “verdwijning” van de keylogger van een van de computers van de verdachte, nader onderzoek door een deskundige van het installatieproces van de keylogger, verstrekking van alle IP-taps, onderzoek (door een deskundige) van de Facebookrapporten en verstrekking van niet eerder vrijgegeven gedeelten van die rapporten, nader onderzoek (door een deskundige) van de OVC-opnamen, verstrekking van de Skype-gegevens van alle D’s, verstrekking van informatie over de Britse undercoveroperatie en nader onderzoek naar vormverzuimen voorafgaande aan de aanhouding van de verdachte.”
Bijna geïrriteerd overweegt Hof Amsterdam dat in eerste aanleg de verdediging al kennis heeft kunnen nemen van de processen-verbaal, aanvullende vragen heeft kunnen stellen en een verklaring heeft gekregen van een projectleider Keuringsdienst van de Landelijke Eenheid. De verzoeken van de verdediging ziet het hof als een ‘fishing expedition’. Bovendien zou het bewijs niet hoofdzakelijk steunen op het gebruik van de software. De rechters vinden het dus niet nodig aan verdere verzoeken van de verdediging te voldoen. De zaak is – ook in hoger beroep – lezenswaardig en nadere bestudering waard vanwege het digitale bewijs dat wordt vermeld en de overwegingen van het hof.
Zonder de zaak verder te bestuderen en te duiken in het recht van de verdediging om digitaal bewijs te kunnen toetsen, kan ik niet zeggen of het hof een juiste beslissing heeft genomen. Het is wel helder dat hierbij vaker vragen worden gesteld door advocaten, zoals bijvoorbeeld in dit artikel over digitaal bewijs. De politie en het Openbaar Ministerie willen natuurlijk niet dat de naam en precieze werking van de software naar buiten komt (laat staan de broncode), omdat criminelen hier eventueel hun gedrag op kunnen aanpassen (al zie ik op het eerste gezicht nog niet voor mij op welke manier). Het gaat met andere woorden om de bescherming van hun modus operandi. Maar misschien zijn er wat tussenvarianten mogelijk. In de eerste PGP-zaak mocht de verdediging bijvoorbeeld wel zien hoe de software ‘Hansken’ van het NFI werkt door achter een computer te zitten waarop de software draaide. Ook kan worden gedacht aan een toets door een onafhankelijk deskundige, zoals ik ook in mijn noot in eerste aanleg heb opgemerkt.
De discussie over het toetsen van digitaal bewijs zal de komende jaren steeds belangrijker worden, omdat ik verwacht dat digitaal bewijs een steeds prominentere rol in strafzaken zal innemen (ook in niet-cybercrime zaken) en het gebruik van software met nog meer functionaliteiten zal toenemen vanwege de hackbevoegdheid die na de inwerkingtreding van de Wet computercriminaliteit III mag worden ingezet.
Hof Amsterdam acht het doorzoeken van PGP-telefoon ‘niet-stelselmatig’
Het Hof Amsterdam heeft op 14 december 2018 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHAMS:2018:4610) voor het medeplegen van moord. De verdachte krijgt een gevangenisstraf opgelegd van 20 jaar. De zaak vermeld ik kort, omdat het laat zien wat voor een uiteenlopende jurisprudentie en onduidelijke norm volgt op het smartphone arrest van de Hoge Raad. Dat arrest van de Hoge Raad brengt met zich mee dat een bevel van een officier van justitie of een machtiging van een rechter-commissaris noodzakelijk is als het onderzoek stelselmatig van aard wordt en een meer dan geringe inbreuk op de persoonlijke levenssfeer van de verdachte met zich meebrengt.
In deze zaak waren de PGP-telefoons van drie verdachten in beslag genomen, waarop het Nederlands Forensisch Insituut (NFI) de telefoon heeft geopend en het opsporingsteam de inhoud heeft onderzocht. De raadsman van de verdachte betoogt dat het onderzoek aan de lijst met contactpersonen, berichten die zijn verstuurd met de applicatie ‘Pretty Good Privacy’ (PGP) en notities via de applicatie ‘MemoPad’ op het Blackberry-toetsel onrechtmatig is geweest, omdat het onderzoek stelselmatig zou zijn geweest, terwijl het toestel door opsporingsambtenaren in beslag is genomen en daarop onderzoek is gedaan op grond van art. 94 Sv jo 95 en 96 Sv.
Het Hof overweegt dat met de kennisname van tekstberichten en notitie niet een min of meer volledig beeld van bepaalde aspecten van het privéleven van de verdachte is verkregen. De kennisname van de contactpersonen, berichten en notities op de telefoon zou slechts een zeer beperkte inbreuk op de persoonlijke levenssfeer opleveren. En de gegevens bevatten volgens het Hof niet zodanige informatie dat een min of meer volledig beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de verdachte, ook niet indien deze data en de inhoud van de berichten in onderlinge samenhang worden beschouwd.
Drugshandel via het darkweb, wapenbezit en witwassen
Tot slot nog een mooie zaak over drugshandel via darknet markets, cryptocurrencies en witwassen. Vooral de wijze waarop de digitale opsporing heeft plaatsgevonden is mooi om te lezen in deze zaak.
De rechtbank Overijssel heeft op 15 januari 2019 een verdachte veroordeeld voor drugshandel via het darkweb, wapenbezit en witwassen. De verdachte en medeverdachten verkochten XTC en LSD aan op darknet markets. De pakketjes met drugs werden per post gestuurd naar Frankrijk, Zwitserland en de VS.
De telefoon van verdachte werd afgeluisterd en daaruit bleek dat verdachte zich bezig hield met het overmaken van geld en met Bitcoin-transacties en dat hij drugs had laten testen bij Jellinek. In de zaak werden medewerkers van Team Werken Onder Dekmantel (WOD) ingezet om (waarschijnlijk) binnen een infiltratietraject in het onderzoek ‘26Pecan’ de verdachte te ontmoeten en in totaal 71,72 Bitcoins (destijds € 61.335,00) om te wisselen voor contant geld. Uit analyse van de door verdachte gebruikte bitcoinadressen bleek dat het merendeel daarvan rechtstreeks gevoed werd door bitcoins afkomstig van darknet markets, waaronder de populaire marktplaatsen ‘Hansa Market’, ‘Dream Market’ en ‘Valhalla’. Verdachte gaf tijdens de ontmoetingen met de medewerker van het team WOD aan dat de bitcoins afkomstig waren uit de verkoop van drugs via het dark web en dat hij ervoor zorgde dat de bitcoins werden omgezet naar geld en dat ‘de jongens’ hun drugsvoorraad kregen zodat ‘die jongens’ dit weer konden verkopen op de ‘black markets’.
Daarop werd een pseudokoop van de aangeboden drugs gedaan en werd na betaling met bitcoins een envelop met 5 gram cocaïne geleverd. Hierop vonden er doorzoekingen plaats in de woningen van de verdachte en medeverdachten. Daar werd onder andere drugs, verpakkingsmateriaal voor het versturen van pakketjes, en een schatmijn aan informatie op een USB-stick gevonden. Daarop stond een voorraad- dan wel een verkooplijst van verdovende middelen naar verschillende (internationale) adressen, een recovery code voor een bitcoin wallet, diverse wachtwoorden, gebruikersnamen en vendornamen. Ook werd een recovery-sheet met daarop 24 woorden aangetroffen bovenop een kledingkast in een slaapkamer van de verdachte. Deze 24 woorden vormden samen een zogenaamde ‘seed’ van een “Nano Ledger”. Na het invoeren van de betreffende seed kreeg het onderzoeksteam de beschikking over 21,06581383 bitcoins afkomstig indirect of direct van darknet markets.
Toen de politie de doorzoeking uitvoerde zat de verdachte – niet geheel toevallig vermoed ik – achter zijn laptop terwijl hij met zijn alias was ingelogd op Dream Market. De laptop was voorzien van het besturingssysteem ‘Tails’, dat de rechtbank beschrijft als een besturingssysteem dat geen sporen nalaat en volledig versleuteld is. Op de laptop bevond zich een tekstbestand maandag.txt met daarin adressen, het tekstbestand dep.txt met daarin inloggegevens van een ‘vendor’, een tekstbestand wws.txt met daarin wachtwoorden en pincodes voor de vendor. Ook werden er PGP sleutels aangetroffen op de laptop van verdachte. Ten slotte zijn na een netwerkzoeking twee bitcoinwallets gevonden en is op het account op Dream Market een tegoed van 0,08746 bitcoin en 3,2573 Monero gevonden.
De verdachte is veroordeeld voor drugssmokkel, het bezit van wapens en drugs, en witwassen. De verdachte krijgt een gevangenisstraf van 20 maanden opgelegd.