Waarom criminelen een berichtendienst gebruiken zoals Sky ECC

1. Wat zegt Sky ECC zelf?

Gisteren kwam het bedrijf met een uitgebreide reactie op zijn website. In die reactie staat dat de dienst niet is gehackt of gekraakt door de Nederlandse of de Belgische autoriteiten. Volgens het bedrijf zou er een nepversie van zijn communicatieapp zijn ontwikkeld die werd verkocht op geprepareerde telefoons.

Volgens Sky ECC is de dienst nog steeds veilig én nog steeds online. Wel wordt gezegd dat de dienst maandag last had van een tijdelijke onderbreking. Een reden hiervoor wordt niet gegeven. 

2. Wat zegt het Openbaar Ministerie?

Wij vroegen het OM in Nederland om een reactie naar aanleiding van de verklaring van Sky. Een woordvoerder laat weten dat er nooit is gezegd dat Sky ECC is gehackt of gekraakt, maar dat steeds is gemeld dat er berichten zijn onderschept.

Verder laat het OM weten dat er inderdaad één server van Sky in beslag is genomen. Op de uitspraken van Sky in het statement wil het OM niet ingaan. 

Een woordvoerder van het Federaal Parket in België laat weten ook niet inhoudelijk te kunnen ingaan op het het statement. "Wat ik wel kan zeggen, is dat we zeker weten dat we de dienst van Sky ECC hebben gepakt, dat wij 1 miljard berichten hebben onderschept, waarvan er 500 miljoen zijn ontcijferd."

3. Wie gebruiken Sky ECC? 

Chatdiensten zoals die van Sky en het vorig jaar opgedoekte EncroChat worden veel, maar niet exclusief gebruikt door criminelen. Exacte aantallen zijn er niet, maar op een persconferentie in Brussel gaf het Federaal Parket aan dat het gebruik hoofdzakelijk crimineel van aard zou zijn.

Het dossier van Sky ECC is eind 2018 geopend. Toen waren er bij het Belgisch parket vermoedens dat de leverancier bewust leverde aan criminelen. Volgens de Nederlandse politie heeft Sky ECC wereldwijd zo'n 70.000 gebruikers, van wie er 11.000 zijn toegewezen aan Nederlandse gebruikers. 

4. Blijven criminelen Sky ECC gebruiken? 

Thijmen Verburgh, onderzoeker cybercrime bij TNO, denkt dat veel criminelen die de dienst gebruiken, zullen overwegen op te stappen. "Er zal bij de gebruikers nu onduidelijkheid heersen. Want er zijn flink wat arrestaties geweest en een hoop berichten onderschept. Het vertrouwen heeft een flinke klap gekregen, al helemaal omdat niet bekend is hoe de politie het heeft gedaan."

5. Waarom gebruiken criminelen geen diensten zoals WhatsApp of Signal?

Diensten zoals Sky zeggen dat ze veiliger zijn dan alternatieven zoals Signal of WhatsApp, maar op het eerste oog lijken de diensten ook vergelijkbaar. Want Signal en WhatsApp hebben ook encryptie. Het is bijvoorbeeld niet mogelijk voor WhatsApp om te zien wat er in de berichten staat die jij stuurt naar iemand anders.

Lodi Hensen van het Incident Response Team bij Tesorion, dat cybercrime tegengaat: "We weten inmiddels dat WhatsApp toch ook heel veel data verzamelt, waaronder de metadata. Wat Sky ECC doet, is vooral wijzen op wat zij niet verzamelen." 

Dat beaamt Verburgh. "Voor de gebruiker is bijvoorbeeld heel relevant: werkt een bedrijf mee aan dataverzoeken van de opsporingsinstanties? En als ze dat al doen, wat kunnen ze dan überhaupt verstrekken?"

Sky ECC schrijft op zijn website dat opsporingsinstanties de volgende informatie kunnen krijgen: "Datum waarop een account is aangemaakt, en de datum waarop dat voor het laatst is gebruikt."

De lijst met wat zij niet kunnen aanleveren, is veel uitgebreider: "Tekstberichten, telefoonnummers, e-mailadressen, geboortedatum, metadata voor berichten, aantal verstuurde/verzonden berichten of afbeeldingen, IP-adressen en gebruikerslocatie."

Ook wijst Sky ECC specifiek op de verschillen met WhatsApp en Signal in meerdere blogposts. Het legt daarbij de nadruk op waarom de dienst meer veiligheid zou bieden. De app wordt alleen geleverd op speciale telefoons waar bepaalde functies zijn uitgeschakeld, zoals Bluetooth, belfuncties en de vingerafdrukscanner.

6. Waarom worden zulke diensten niet verboden?

Van het verbieden van zulke encryptiemogelijkheden zijn de deskundigen die wij spreken geen voorstander. "Uiteindelijk zijn er ook gewoon mensen die het legitiem gebruiken", zegt Hensen (Tesorion). "Kijk naar bitcoin. Dat wordt ook als legitiem middel gebruikt door beleggers, maar criminelen gebruiken het ook. Het verbieden van dergelijke diensten kan ook impact hebben op niet-criminele vlakken, waar privacy belangrijk is." 

Dat zegt ook Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen. "Er zijn genoeg redenen om te bedenken waarom je met een legitiem doel veilig en anoniem moet kunnen communiceren."

"De bad guys komen met encryptie altijd in het nieuws, maar de good guys gebruiken ook encryptie. Neem bijvoorbeeld een organisatie als Artsen Zonder Grenzen. Als die in een gevaarlijk land opereren, dan is er het risico dat die een speelbal kunnen worden van de lokale politiek. Dan is het juist essentieel dat je veilig kunt communiceren."