English

Press release March 9th, 2017

In response to the press release of the public prosecution service today, in which the public prosecutor indicated to have “cracked” the servers, which the public prosecution had seized from client’s organization Ennetcom, announce I, as the client’s counselor, that first has to be determined, that the public prosecution has done these seizures under false pretenses, based on a suspicion of money laundering with the excuse as if the customers of the phones are criminals.

The file showed that the Ennetcom organization had tens of thousands of customers who bought the phones and the software through resellers and that the public prosecutor could name only 4 actual example cases in which there would have been a PGP phone purchased from a reseller. The company proved to have many customers nationally and internationally, also with governmental agencies and businesses, that wish to safely communicate without being hacked without any criminal reasons. The seizure of the servers was, so it seemed, more an attempt by the public prosecution to gain access on improper grounds to an immense amount of data of tens of thousands in order to “catch fish with a trail-net”.

As if KPN or any other telecom company would simply be invaded and all their possessions being plundered to see who sends a wrongful message.

The public prosecution now tries to give the impression that all servers were cracked, but states at the same time that 3.6 million messages were made accessible, apparently giving the impression as if this would mean a lot of communication. The public prosecutor mentions 40,000 users. However, one message is part of a conversation, so consecutive “yes”, “and then”, “what do you mean”, are three messages in one conversation.

Calculating the number of messages to the number of users, 90 messages per user would have been made accessible. Given the fact that the data on the servers was erased after 48 hours by default, in other words; the messages were destroyed, it would indeed mean for those 40,000 users with 3.6 million messages that only the last 48 hours were made accessible.

The public prosecution speaks in the press release remarkably about “encryption keys which were obtained by the public prosecutor and police during the investigation.” Client’s organization however did not obtain these keys. These keys are in possession of the company responsible for making PGP, namely Symantec. There are many other companies that sell their PGP products in the same way as the client’s company did. The “falling of this communication into the hands of” seems therefore involve a very shadowy area of irregularities and possibly the result of present-day wild hacking.

The public prosecutor assumes to get started on this “loot”, but the Canadian court had, and in my opinion deceived by the public prosecution service, based on the given suspicion, only authorized the use of the confiscated data for 4 defined and appointed investigations. And then there is always the question what messages can be linked to which cases and subsequently be linked to which physical entities.

That still seems a hack too much for me.

Nederlands

Persbericht d.d. 9 maart 2017

Naar aanleiding van het persbericht van het openbaar ministerie van vandaag, waarin het openbaar ministerie aangaf de servers te hebben “gekraakt”, die het openbaar ministerie in beslag had genomen van cliënts bedrijf Ennetcom, deel ik, als raadsvrouw van cliënt, mede, dat allereerst moet worden vast gesteld, dat het openbaar ministerie geheel ten onrechte destijds die beslagen heeft gestoeld op een verdenking van witwassen met als mom als zouden de klanten van de telefoons criminelen zijn.

Uit het dossier bleek namelijk dat het bedrijf Ennetcom vele tienduizenden klanten had, die via resellers de telefoons en de software kochten en, dat het openbaar ministerie slechts ongeveer 4 voorbeelden van zaken noemden waarin sprake zou zijn geweest van een pgp telefoon aangeschaft bij zo’n reseller. Het bedrijf bleek bovendien vele klanten nationaal en internationaal ook bij overheidsinstellingen en bedrijven te hebben die om niet criminele redenen niet gehackt wensten te communiceren. Het in beslag nemen van de servers leek dus meer een poging van het openbaar ministerie om op oneigenlijke redenen toegang te krijgen tot een immense hoeveelheid communicatie van tienduizenden teneinde daar met een sleepnet in te kunnen vissen.

Alsof de KPN of welk telecombedrijf dan ook zomaar wordt binnengevallen en de gehele inboedel meeroofd om te kijken wie een fout bericht verstuurd.

Het openbaar ministerie wekt nu de indruk alsof de gehele servers zouden zijn gekraakt, maar stelt tegelijkertijd dat 3,6 miljoen berichten zichtbaar zouden zijn gemaakt, kennelijk de indruk wekkend alsof dat veel communicatie zou betekenen. Het openbaar ministerie spreekt daarbij over zo’n 40.000 gebruikers. Een bericht is echter een deel van een conversatie, dus opeenvolgend “ja”, “en toen”, “wat bedoel je”, zijn drie berichten in een conversatie.

Berekend naar de hoeveelheid berichten en het aantal gebruikers, zouden dus zo’n 90 berichten per gebruiker zichtbaar zijn gemaakt. Gelet op het feit, dat de servers na maximaal 48 uur standaard werden geschoond, dus de berichten werden vernietigd, dan zou dus voor die 40.000 gebruikers met die 3,6 miljoen berichten inderdaad alleen de laatste 48 uur zichtbaar zijn gemaakt.

Het openbaar ministerie spreekt in het persbericht zeer opmerkelijk over “encryptiesleutels die in het onderzoek ook in handen van OM en politie vielen”. Cliënts bedrijf beschikte echter niet over die sleutels. Die sleutels vallen namelijk onder het bedrijf dat PGP maakt, Symantec. Er zijn vele andere bedrijven, die op gelijke wijze als cliënts bedrijf dergelijke PGP software in hun producten verkopen. Het “in de handen vallen” lijkt in deze dan ook een zeer schimmig gebied van onrechtmatigheden en mogelijk zelfs het resultaat van het hedendaagse wilde gehack te betreffen.

Het openbaar ministerie meent met deze “buit” aan de slag te kunnen gaan, maar de Canadese rechter heeft destijds en naar mijn mening daarin misleid door het openbaar ministerie betreffende dus de grondslag van de verdenking, slechts toestemming gegeven voor het gebruik in slechts 4 met name benoemde onderzoeken. En dan is altijd weer de vraag welke berichten aan welke zaken en vervolgens welke fysieke entiteiten kunnen worden gelinkt.

Dat lijkt mij vooralsnog vooral een hack te veel.