De Nationale Politie had maandag een afspraak met het omstreden bedrijf Hacking Team, voor een demonstratie van zijn spionagesoftware. De ontmoeting moest op een geheime locatie plaatsvinden.

Dat blijkt uit documenten die op internet zijn verschenen nadat Hacking Team zelf werd gehackt. De onderneming levert beveiligingsdiensten en maakt spionagesoftware die gebruikmaakt van lekken in besturingssystemen en andere software.

In de agenda van het bedrijf staat een afspraak voor 6 juli 2015 tussen de Nationale Politie, Hacking Team en de lokale wederverkoper. Ook de e-mails waarin over deze afspraak wordt gesproken zijn uitgelekt.

Nationale Politie

Uit de e-mailconversatie is niet duidelijk welke software precies gedemonstreerd zou worden. Hacking Team biedt onder meer software aan om in te breken op computers en mobiele telefoons en deze met malware te infecteren. Zo kan een klant alles wat er op het apparaat gebeurt in de gaten houden.

Het gebruik van dit soort software door de politie is op dit moment niet toegestaan, maar het kabinet wil de politie de bevoegdheid geven om in te breken op mobiele telefoons, tablets en computers van verdachten. Dat wetsvoorstel is omstreden en moet nog worden behandeld door de Tweede Kamer.

De Nationale Politie reageerde dinsdagochtend niet op een verzoek om commentaar van NU.nl. Ook Peter Stolwerk, een tussenpersoon van de inlichtingenfirma Providence Group die het contact tussen de politie en Hacking Team faciliteerde, reageerde niet.

Bitcoins stelen

Bij de hack op Hacking Team is veel bedrijfsinformatie naar buiten gekomen. Tussen de documenten zitten presentaties, facturen, broncode, wachtwoordlijsten van medewerkers en kopieën van paspoorten.

Hacking Team blijkt ook over software te beschikken om bitcoins bij slachtoffers te stelen, gesprekken af te luisteren en uit demonstraties blijkt dat foto's, gesprekken en andere informatie via Whatsapp, Skype en andere software door het bedrijf is te onderscheppen.

Uit de administratie blijkt dat zich onder de klanten van Hacking Team diverse militaire organisaties, inlichtingendiensten en overheden bevinden. Zo maken onder andere de Italiaanse, Cypriotische, Thaise, Libanese en Chileense overheid van de software van het bedrijf gebruik. Bovendien blijkt Hacking Team software te hebben geleverd aan Sudan, terwijl dat eerder nog werd ontkend.

Ook diverse beveiligingsbedrijven, banken, verzekeraars en telecombedrijven zijn klant van Hacking Team.

Koerden

In de e-mailconversatie waarin over de Nederlandse politie wordt gesproken, wordt ook gesteld dat een Koerdische groep gebruik wil maken van de software van Hacking Team. Zij hadden dinsdag in Nederland willen zijn, maar konden niet snel genoeg een visum regelen. Daarom wordt een nieuwe demonstratie in Dubai gepland.

Een Koerdische veiligheidsdienst vraagt specifiek de mogelijkheid om in te breken op iPhones die niet zijn 'gejailbreakt', ofwel gekraakt om software te draaien die niet uit de officiële App Store afkomstig is. Dat moet bij voorkeur op afstand mogelijk zijn. 

Philippe Vinci van Hacking Team schrijft in een e-mail dat die mogelijkheid in de volgende versie van de software beschikbaar komt.

Dan moet het mogelijk worden om een aangepaste app met malware aan te bieden, die door de eigenaar van de iPhone zelf moet worden geïnstalleerd. Het is dus nog wel zaak om de gebruiker ervan te overtuigen dit te doen, legt Vinci uit. iPhones zonder jailbreak kunnen niet op afstand worden gehackt.

Infecteren

Bij een iPhone met jailbreak kan de telefoon wel op afstand worden geïnfecteerd. Maar ook daarvoor moet de aanvaller in de buurt zijn, omdat de aanvaller en het doelwit op hetzelfde wifi-netwerk moeten zitten.

De aanval gebeurt dan via SSH, een protocol om in te loggen op een andere computer, op basis van het standaardwachtwoord dat Apple op iPhones instelt. Als de aanvaller is ingelogd op de telefoon kan malware worden geïnstalleerd.