Tekst Pieter Vermaas
Foto Loes van der Meer

De FBI was er al in geslaagd de stekker uit een illegale online marktplaats te trekken. Politie en OM in Nederland gingen een stap verder. Bas Doorn en Dirk Jan Laman vertellen hoe het cluster High Tech Crime van het Landelijk Parket infiltreerde in Hansa Market.

De actie ís al geslaagd. Een persconferentie op 20 juli is al gepland. Politie en OM gaan wereldkundig maken dat ze 27 dagen hebben geïnfiltreerd in Hansa Market op het Darkweb. Ze hebben deze illegale marktplaats wekenlang overgenomen en beheerd, om zo zicht te krijgen op kopers en verkopers van drugs.

Op dat moment besluiten het Landelijk Parket (LP) en de Nationale politie hun actie “nog even een boost geven”, zegt criminoloog en informaticus Bas Doorn, beleidsadviseur bij het LP. ‘Wij, als beheerders van Hansa Market, hadden eerder al een Excelbestand op de site gezet dat verkopers konden downloaden. Door het openen ervan werd er een verbinding opgezet tussen een server van ons en de downloader. Zo omzeilden we de TOR-software (zie kader) die communicatie door versleuteling anoniem maakt, en konden we de verkopers hun werkelijke IP-adres ontfutselen.’

TOR

TOR (The Onion Router) is een open netwerk voor anonieme communicatie. Het is bedoeld om te voorkomen dat anderen uit het berichtenverkeer kunnen achterhalen wat de herkomst en bestemming van berichten is. Het netwerk is gebaseerd op zogenaamde “onion-servers”: computers die als tussenstations dienen tussen de afzender en de bestemming. Doordat de Tor-software willekeurige servers kiest waarlangs het de data verstuurt, is het heel moeilijk om een bepaalde computer “af te luisteren”.

Dus verschijnt op de Hansa Market ineens een alarmerend bericht van de beheerders. ‘We hebben indicaties dat deze site gecompromitteerd is.’ De verkopers worden opgeroepen nog snel dat eerdergenoemde Excel-bestand te downloaden. Daarmee kunnen verkopers toch nog hun verdiende bitcoins uit Hansa market veiligstellen als de site “down” mocht gaan: ‘Want anders’, waarschuwen de beheerders, ‘bent u misschien uw geld kwijt.’
Het werkte, zegt Bas Doorn grinnikend. ‘In de laatste tien minuten dat de site online was, hebben nog heel veel verkopers dat bestandje gedownload.’

Taps

Maanden eerder start het onderzoek. Via Europol krijgt Nederland een tip van een Roemeens cybersecuritybedrijf. Er zijn aanwijzingen dat de “hidden service” Hansa market in Nederland staat. 
Politie en OM spelen eerst met de gedachte van de “korte klap”: erop af, de internetkabel eruit rukken. En de servers in beslag nemen waarop misschien waardevolle informatie staat. Als sterk signaal richting “de community” dat illegale marktplaatsen traceerbaar zijn.

Maar uit taps blijkt dat de gezochte servers al ergens anders moeten staan. Er zijn aanwijzingen dat de servers in Duitsland staan, maar na beslag blijkt de markt nog steeds te draaien. Bas Doorn: ‘De servers waaruit wij de stekker hadden getrokken, bleken niet de “live-versie” van de marktplaats te zijn. 'Het onderzoek van zo’n server leidt vervolgens wel tot een mooi resultaat: de identiteit van de beheerders van Hansa Market wordt achterhaald. ‘Toen zijn we echt gaan nadenken: wat kunnen we hier nog meer uithalen?’ Op dat moment ontstaat Het Plan. Kunnen politie en OM misschien Hansa Market infiltreren en overnemen? Kunnen ze, na arrestatie van de beheerders, zelf de digitale identiteit van de beheerders overnemen? Kunnen ze zo juist profiteren van de anonimiteit van het Darkweb? Ze besluiten de historische stap te zetten.

Kort daarna komt door de communicatie op de inbeslaggenomen servers aan het licht dat de nieuwe servers in Litouwen staan. Die servers bevatten wel de vitale delen van Hansa Market. Zo draait één server de TOR-software en een andere bevat informatie over bitcoinbetalingen. 

'We hebben de site al draaiende naar Nederland gemigreerd en de identiteit van de beheerders overgenomen.'

‘De infiltratie was een grote operatie,’ zegt Bas Doorn. ‘Je kan wel de stekkers uit de servers trekken en die onder je arm meenemen het vliegtuig in, en dan in Nederland weer online gaan. Maar dan is die website uren offline en ruiken moderators, kopers en verkopers op Hansa Market onraad. Dus we hebben de site al draaiende naar Nederland gemigreerd. Daarbij hebben we de identiteit van de beheerders overgenomen. Én hun werkzaamheden: wekenlang hebben we het technisch beheer en de klantenservicebeheer overgenomen.’

Niemand heeft het door. Sterker nog, als in diezelfde tijd de stekker uit AlphaBay (een andere illegale marktplaats) wordt getrokken, maken AlphaBay-verkopers en -kopers reclame voor Hansa arket: ‘Allemaal daar naar toe; Hansa market is nu de beste en betrouwbaarste’.

Grens opzoeken

Naast Bas Doorn zit LP-cybercrimeofficier Dirk Jan Laman. De officier noemt de rol van Bas Doorn “essentieel”. ‘De expertise van Bas gaat de kennis en opleiding van officieren van justitie ver te boven. Bas’ kennis gaat heel diep en dat hebben we goed kunnen gebruiken. Ik gun elk parket zijn eigen Bas Doorn.’
Bas Doorn is op zijn beurt net zo complimenteus over de cybercrime-officier. ‘Dirk Jan Laman heeft risico’s durven nemen op onontgonnen terrein. Hadden we een officier gehad die liever op safe wilde spelen, dan hadden we ongetwijfeld niet hetzelfde resultaat behaald.’ ‘Ik vind het inderdaad interessant om die grens op te zoeken,’ zegt Laman. ‘Steeds bedenken en aftasten hoe je hier je juridische kennis toepast. Soms weet je niet of iets expliciet mag, maar heb je ook geen reden om te veronderstellen dat het niet mag. Dat is uitdagend.’

Het gaat ver om te infiltreren in een handelsplaats waar in drugs wordt gehandeld. Het verwijt dat opsporing en vervolging digitale IRT-affaires opzoeken, ligt op de loer. Aanklager Laman: ‘Die vergelijking is niet terecht. De IRT-affaire ging over een gebrek aan regie, bevoegdheden en sturing. Hier hadden we dat allemaal wél. De wetgeving ís er, de actie is goed doordacht en door de top van het OM goedgekeurd.’

Markt verstoord

Hoe succesvol is het overnemen van Hansa market geweest? Dirk Jan Laman: ‘We hebben van een groot aantal kopers de identiteit kunnen achterhalen, simpelweg door het adres waar ze op bestelden. Maar als Hansa Marketbeheerders heb je niet meteen van alle gebruikers de identiteit. Dat vergt nader onderzoek. TNO-onderzoek bewijst wel dat we toch een goede slag hebben geslagen. We hebben een criminele markt verstoord. Online drugshandelaren zijn hun goede naam kwijtgeraakt. Toen de FBI voor de eerste keer de stekker uit zo’n site trok – SilkRoad - had je na een paar weken al SilkRoad 2.0, die na een maand nog groter was dan zijn voorganger. Alle kopers en verkopers waren gewoon meeverhuisd. Maar na onze infiltratie weten kopers en verkopers nooit meer wie de site beheert: misschien wel de opsporing! En verkopers, zo stelde TNO vast, zijn onder hun oude naam niet doorgegaan. Die moeten ze dus weer opnieuw gaan opbouwen. Een game changer, aldus TNO.’

‘Hoeveel Hansa Market-achtige sites we nu aan het infiltreren zijn? Het zou slecht zijn die vraag concreet te beantwoorden. Maar in zijn algemeenheid: het overnemen van sites waarop mensen denken dat ze anoniem misdrijven kunnen plegen, is een reële opsporingsmethode geworden.’