Hightechcrime

Landelijk hightechcrime-officier Esther Baars over resellers, ransomware en de rol van Nederland

Op de achtste verdieping van het Landelijk Parket veert ze regelmatig op uit haar stoel in de vergaderkamer. Loopt ze met een blauwe stift naar een bord op de muur waarop ze dataservers, resellers en klanten tekent. Weer aan tafel tikt ze geestdriftig met een analoge pen op een uitgeprint A4’tje. Allemaal tijdens een interview dat ze graag ‘fysiek’ wilde doen. Als landelijk officier van justitie voor high tech cybercrime (sinds 2021) brengt Esther Baars met ouderwetse middelen haar boodschap. Wat die boodschap is? “Ik wil bereiken dat Nederland op het gebied van cybercriminaliteit veilig wordt. Dat ons land niet meer misbruikt wordt door cybercriminelen die cyberfeiten plegen.”

Toen Esther Baars drie jaar geleden bij het LP in Rotterdam binnenstapte om cybercrime aan te pakken, was ze niet de nerdy juriste die louter in nullen en enen dacht. Maar binnen het OM had ze al veel gezien en gedaan, dus was het nu, rond haar vijftigste, tijd voor iets nieuws. Ze wilde zich specialiseren op een vrij onbekend terrein, en dan gelijk op hoog niveau. Ze meldde zich bij het LP: “Ik weet nog niks van cybercrime, maar kan veel andere dingen al wel. Hebben jullie behoefte aan iemand met mijn profiel?” Dat had het LP.

Ze dompelde zich vervolgens onder in de online ‘community’. Las blogs, keek vlogs en documentaires, luisterde naar podcasts, en volgde bij de Open Universiteit twee vakken van de bachelor Informatica. “Tot mijn verrassing vond ik ook het technische aan de functie heel interessant. Het is niet eng. Iedereen die rechten heeft gestudeerd en een open mind heeft kan dit leren, als je maar bereid bent je erin te verdiepen. Het LP is een prettige werkgever die ons veel ruimte geeft om innovatief in de voorhoede te werken tegen internationaal georganiseerde criminaliteit.”

Waarom speelt Nederland zo’n grote rol bij cybercrime?

“Niet omdat de cybercrimezaken die wij doen alleen maar Nederlandse daders of slachtoffers kennen. Zeker niet. Maar omdat onze internet-infrastructuur zo goed is. Simpel gezegd, ligt er een grote internetkabel onder de Noordzee, waardoor we goed internet hebben en we aantrekkelijk zijn voor de hostingbranche. En die wordt door internationale cybercriminelen benut om over de hele wereld feiten te plegen. Met een drie keer zo traag internet kun je ook cybercrime plegen, maar dan is je slagkracht stukken minder. Die partijen waarnaar wij onderzoek doen, lijken vaak op gewone bedrijven. Het zijn multinationals, met eigen HR-afdelingen om mensen in dienst te nemen, gewoon mensen met een contract en targets. Nou, hoe groter dergelijke organisaties en hun cyberaanvallen worden, hoe groter hun behoefte aan het snelle Nederlandse internet.”

Maakt die organisatievorm ze makkelijker om aan te pakken?

“Ja, behalve dan – klein detail – dat we niet weten waar ze zitten. Ze werken niet vanuit een bakstenen gebouw, ze kennen elkaar fysiek vaak niet maar vinden elkaar online ergens op fora. Als je uiteindelijk weet door te dringen tot de kern, is het bewijzen dat ze een organisatie vormen niet ingewikkeld. Maar deze hightechdaders weten zich goed te verhullen. Het achterhalen van hun identiteit is een van de dingen waar wij lang mee bezig zijn.”

Hoe verhullen zij zich?

“Ze maken gebruik van bestaande middelen om je identiteit mee af te schermen: VPN, Tor, proxy’s. Dat zijn legitieme middelen om je gegevens op internet af te schermen, alleen bouwen zij dat op dusdanige manier in en maken er zo gebruik van dat het ingewikkeld voor ons is om te achterhalen wie er achter een IP-adres zit. Ons werk is op veel vlakken complex. Technisch. Maar ook juridisch: hoe passen wij onze ouderwetse strafvorderlijke bevoegdheden in dit moderne veld toe? En er is de internationale dimensie. Verdachten en slachtoffers zitten overal en nergens op de wereld. De infrastructuur die ze gebruiken is verspreid over de hele wereld.”

Helpt het onze waarheidsvinding als bedrijven als Google en Facebook regels krijgen opgelegd die voor transparantie moeten zorgen?

“Deels. In Europees verband wordt gewerkt aan een zogenaamde e-evidence richtlijn, waardoor dat soort partijen in Europa een post moeten hebben waar overheden hun vorderingen naartoe kunnen sturen, zodat wij niet meer hoeven uitzoeken waar nu precies het goede kantoor van Google zit en we niet meer ingewikkeld met rechtshulpverzoeken in de weer moeten.

Alleen, het type daders waartegen ons team hightechcrime strijdt, maakt voor hun misdaden geen gebruik van Google en Facebook. Vaak gebruiken zij servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.”

Kun je niet tegen de datacenter-eigenaar zeggen: ‘geef mij de gegevens van je reseller’, en dan kom je via de reseller bij de verdachte klant?

“Zo makkelijk gaat dat niet. Als wij aan het Nederlandse datacenter vragen van wie een server is, horen we vaak dat die reseller zich bevindt in Rusland, de Seychellen, de Verenigde Arabische Emiraten, of een ander land waarmee wij geen, of een trage rechtshulprelatie hebben. Dus dan kom je moeilijk bij die klant van de reseller. En terwijl die reseller en die klant die rottigheid zit uit te halen, overal en nergens zitten, staat de doorverhuurde server waar de rottigheid op staat gewoon in Nederland. Kijk, als ergens in Nederland een wapen in een kluis ligt, gaan we ook niet zeggen: de sleutel ligt hier ver vandaan dus dan doen we maar niks. Dan willen we ook dat de eigenaar van het gebouw ervoor zorgt dat de kluis opengaat. Dat moet als er een reseller tussen zit niet anders zijn.”

Wat kun je dan nog doen?

“Dat hangt af van de technische configuratie: hoe de server technisch is ingericht. Als het ‘dedicated’ is ingericht, kan de politie ernaartoe rijden en met een bevel van de officier van justitie een kopie van die server maken. Maar als het ‘vps’ is ingericht, een virtual private server, is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. Dat willen we voorkomen. Dan zoeken we naar de meest proportionele oplossing, maar onze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland. Die boef zit wel in het buitenland op zijn muis te klikken, maar híer staat de kinderporno, híer wordt de ransomware gepusht naar computers van slachtoffers, híer staat de gestolen informatie van bedrijven. Bij grote cyberaanvallen zoals op het Amerikaanse Colonial Pipeline dat vorig jaar is geransomwared, waardoor er geen benzine meer vervoerd kon worden in Amerika en fabrieken stillagen, moet je niet gek opkijken als daar een Nederlandse server bij betrokken is. Ddos aanvallen: óók vaak via Nederland. Ik schat in dat bij acht van de tien grote cyberaanvallen die wereldwijd plaatsvinden, een Nederlandse server betrokken is. Als zo’n reseller in bijvoorbeeld Rusland zit, is het op dit moment echt een probleem. Dan moeten wij ons in allerlei bochten wringen om aan die informatie te komen of het misdrijf te stoppen – want we gaan natuurlijk niet niks doen. Maar ja, wat als door onze actie Alibaba er drie uur uitligt, wie gaat dan betalen? Terwijl de reseller precies weet waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.”

Heeft Nederland het internet zo geregeld dat dat criminaliteit aantrekt, of kampt bijvoorbeeld de VS met hetzelfde probleem?

“Ik ken de regelgeving van Amerika en de omvang van hun hostingbranche niet goed. Maar Nederland is niet laks, absoluut niet. Wij zijn in Europa druk bezig om dit probleem op de kaart te zetten. Maar de landen om ons heen herkennen dit probleem niet. De markt en het goede internet zit kennelijk hier. Hartstikke goed voor onze economie, harstikke goed dat ook andere partijen gebruik kunnen maken van ons goede internet. Maar het is nu wel het moment om via regelgeving te zorgen dat hier dan ook de verantwoordelijkheid komt te liggen. Zodat in elk geval kan worden voldaan aan vorderingen van justitie.”

Starten jullie onderzoeken bij aangiften van slachtoffers?

“De regionale cybercrime teams zeker wel, als LP en het politieteam High Tech Crime werken we grotendeels datagedreven.”

Kun je vanuit het slachtoffer terug redeneren naar het misdrijf en de modus operandi?

“De wijze van binnendringen is bijna altijd hetzelfde: een update die niet is uitgevoerd, of iemand heeft op een fout linkje geklikt. Die criminelen zijn ook lui en gemakzuchtig: waarom zouden ze ingewikkeld doen? Ze kunnen gewoon geld binnenhalen door te kijken wie nog niet de beveiliging op orde heeft gebracht.

Kijk hier, op dit A4-tje van de ransomware-keten: Helemaal aan het eind ontdekt iemand dat hij slachtoffer is van gijzelsoftware en dat hij moet betalen. Dat is voor ons dus het slechtste moment om aan bewijs te komen, want dan is er al veel gebeurd en hebben daders zich inmiddels optimaal verhuld. Want eerst creëren criminelen toegang tot een systeem: via spammailtjes, geraden of gestolen wachtwoorden, of via kwetsbaarheden in software. De halve wereld voert updates niet of te laat uit – en dan is het bingo: criminelen kunnen prijsschieten op de gaten in de software. Als ze binnen zijn, gaan ze eerst hun positie daar verstevigen. Ze willen zoveel mogelijk naar het hart, het liefst naar iemand met beheersrechten over het hele systeem, daar kun je de ‘leukste’ dingen doen. Daar nemen ze gerust een paar maanden de tijd voor. Ze bouwen er hun bescherming op en leren van binnenuit het bedrijf kennen. Vervolgens gaan ze de boel leegroven: ze kopiëren alle data en zetten die, voor hen, veilig weg. Pas daarna springen ze tevoorschijn: ‘Tataa, ik ben bij u binnen; mag ik even vangen!’”

Wij werken dus vooral op dat binnenkomen, op de partijen die die toegang creëren. Dat deden we bij het botnet Emotet, een ‘initial acces broker’, waarvan twee van de drie hoofdservers in Nederland stonden. Uiteindelijk hebben we met heel veel landen samengewerkt en op die servers in Nederland de hackbevoegdheid ingezet en ervoor gezorgd dat het botnet niet meer kon werken. Toen Emotet was neergehaald is wereldwijd het totaalaantal spammails met zestig procent gedaald!

We hebben toen ook via Interpol ‘landenpakketjes’ verspreid, die geautomatiseerd zijn gemaakt door Team High Tech Crime. Met die pakketjes konden wereldwijd potentiële slachtoffers worden gewaarschuwd en in staat worden gesteld om beveiligingsacties te plegen, door hun systeem dicht te zetten, op te schonen en back-ups te maken.

Dus dan zijn we wel twee jaar bezig geweest met technische oplossingen en veel internationale samenwerking met publieke en private partners, maar dan héb je ook wat.

Kijk, de goeden zijn uiteindelijk met meer en we hebben een langere adem. Dus als de goedwillenden gaan samenwerken, winnen we het van de kwaadwillenden. De bereidheid tot samenwerking zie je nu ontstaan, daar zit goede energie op. Daarbij zijn er voor ons geen grenzen: we kijken puur wie een specialisme in huis heeft dat wij nodig hebben. Als dat bijvoorbeeld een Canadees securitybedrijf is, werken we daar net zo makkelijk mee samen als met een Nederlands bedrijf.”

Maar hoe start dat datagedreven onderzoek naar die criminele indringers dan?

“Dat kan van alles zijn en het goede is dat in die fase van binnendringen criminelen zich net wat minder goed verhullen. Dat zijn vaak gewoon knulletjes hè, die voor een minimumloon zitten te werken voor hun foute baas. Maar we kijken dan naar allerlei zaken en leggen informatie naast elkaar. Welke knooppunten zien we daar dan? Van welke diensten van welke criminele faciliteerders maakt onze doelgroep veel gebruik? Onze techneuten zien in data bijvoorbeeld een code voorbijkomen en herkennen die als Emotet. Daarnaast heeft de politie contact met heel veel verschillende personen, dus vanuit de internationale cybercommunity wordt ook informatie verschaft. Cybersecurityonderzoekers en ethische hackers – hun rol als vrijwillige ‘burgeropsporing’ is enórm belangrijk – wijzen ons op van alles. Dus al die informatie en expertise uit al die bronnen wenden wij op zo’n manier aan in onze strafrechtelijke onderzoeken dat we het grootste effect kunnen bereiken. Infiltreren in cybercriminele organisaties kan ook – wat overigens wel vraagt dat je de slang in vreemde talen beheerst. En niks menselijks is criminelen vreemd: die verlinken elkaar ook. Of ze lekken uit ontevredenheid over de eigen organisatie interne documenten. Daar maken we natuurlijk gebruik van en dat is smullen hoor. Dan zie je weer dat het criminele multinationals zijn, waarin mensen met targets klagen over hun baas.”

Wat is je oproep aan burgers en bedrijven?

“Hoe vaak moeten we die basisprincipes nog noemen? Voer je updates gelijk uit, kies verschillende lange wachtwoorden en hergebruik die niet. En niemand mag meer zeggen ‘bij mij valt niks te halen’. Dan moet je je mond met zeep spoelen.”

Komen superhackers die dat willen, niet altijd binnen, wat je ook doet?

“Ja, en superinbrekers ook. Maar toch doe jij waarschijnlijk je deur op slot? Zeker, het is ook mijn indruk dat veel mensen onveilig bezig zijn met hun wachtwoorden. Het moet vanzelfsprekend zijn dat iedereen dat soort dingen op orde heeft. Maar de verantwoordelijkheid voor veilig internetgebruik moet veel meer bij de grote techbedrijven en fabrikanten komen te liggen. Die moeten ervoor zorgen dat het niet meer mogelijk is om een product in gebruik te nemen met als wachtwoord vier keer een nul. Als updates op een telefoon niet worden geïnstalleerd, zou die gewoon uit moeten gaan.”

Hoe moet de samenwerking tussen LP en andere parketten eruitzien?

“We moeten complementair zijn, en dat zijn we ook. In een aantal gremia komen OM’ers elkaar tegen en werken OM en politie samen. Daarbij zijn het LP en het Team High Tech Crime de vernieuwers die complexe internationale zaken doen en de ruimte hebben om te pioneren. Die geleerde kennis moeten we vervolgens delen met de rest van het land. Zo komt iedereen steeds een level hoger. Elke regio kent zijn cybercrimeteam, en de gewone gedigitaliseerde criminaliteit hoort thuis op het niveau van basisteams.”

Welk type mensen wil je wel en niet in je team hebben?

“Niet mensen die altijd heel streng in de leer zitten, alles van tevoren uitgedacht willen hebben en gestructureerd in hokjes denken. Je moet bij ons wel deels kunnen loslaten en erg bottom- up kunnen werken. Overigens moet je de regels wel goed beheersen, juist als je de grens van regels wilt opzoeken. Het is waanzinnig mooi om hier te werken. Laat iedereen die wil weten waar wij mee bezig zijn, vooral contact opnemen. Ik ben altijd bereid om vol trots over mijn cluster te vertellen. Het is echt een genot om hier te werken met officieren, parketsecretarissen en beleidsadviseurs met zo veel expertise over bijvoorbeeld digitale opsporing, de hackbevoegdheid, interceptie, alternatieve interventies voor jonge cybercriminelen en wetgeving. Zij hebben een breed netwerk. We komen graag langs om over ons werk te vertellen en onze kennis te delen.”