Nieuws Cybersecurity
Nieuwe onthullingen Dossier Sanderink-Centric (deel 2)
Deel 2 van nieuwe onthullingen in de zaak-Sanderink, de topman van Centric. Tientallen onsamenhangende mails die hij stuurde aan journalisten blijken in werkelijkheid afkomstig te zijn van zijn vriendin, zelfverklaard cyberexpert Rian van Rijbroek. Dat blijkt uit onderzoek van Tubantia in samenwerking met vakblad Computable.
Laatste update: 7 maart 2020 18:15
Gerard Sanderink en Rian van Rijbroek. Illustratie: Gezienus Bruining/Tubantia.
Dit is het verhaal van de speurtocht naar het digitale adres van Van Rijbroek in vijf stappen, zoals Tubantia en Computable het hebben aangepakt. Lees vooral eerst deel 1 via de Lees Ook-link hieronder:
Lees ook: Nieuwe onthullingen Dossier Sanderink-Centric (deel 1)
De zoektocht naar de echte afzender van de mails van Centric-topman Gerard Sanderink was een wekenlange expeditie, met behulp van ervaren ict’ers van Computable. Ook kreeg Tubantia bijstand van een gespecialiseerde data-analist van een bedrijf dat onder meer voor grote bedrijven en overheden werkt. De digitale speurtocht in vijf stappen.
1 – Eerste mail op 71-jarige leeftijd?
Het is al vanaf het begin verdacht dat Tubantia ineens mails krijgt van Gerard Sanderink zelf. In een interview uit 2003 met vakblad Computable zegt hij: „Ik heb geen computer thuis, zelfs niet op kantoor. Als ik een computer moet gebruiken gaat het ten eerste heel langzaam en ten tweede ben ik niet zo goed in typen. Ik heb ook geen zin om moeilijke dingen te gaan doen als ik het eenvoudiger kan regelen.”
In een interview in 2004 met Tubantia staat ook een veelzeggende passage: „Secretaresse Jolanda de Groot komt een print van een mailtje brengen – aangezien Sanderink geen eigen pc heeft, ontvangt hij ook geen e-mail. Maar met een printje kan het ook.”
En de praktijk wees hetzelfde uit: Tubantia had in de afgelopen jaren regelmatig contact met Sanderink, maar ontving nooit een mail van hem. Tot maandag 7 oktober 2019. Dan ineens landt in diverse mailbakken een schrijven, ondertekend door ‘Gerard Sanderink, ir. G.P. Sanderink, Chairman of the board of directors, Strukton Groep nv’.
Aanleiding is het verhaal over hem dat op 5 oktober in Tubantia verscheen. Het is een vreemde mail: er is geen sprake van een doorlopend verhaal, want iedere zin begint op een nieuwe regel. Er staat een spelfout in: ‘is gebeurt’. Sanderink zegt dat het artikel smadelijk is voor ‘mijzelf, Rian van Rijbroek en voor onze ondernemingen’. Dat ‘onze’ is raar, want Van Rijbroek heeft formeel geen enkele functie bij zijn bedrijven. Verder staat in de mail een hyperlink naar het gewraakte verhaal. Ook dat is een opmerkelijke prestatie voor een man die tot zijn 70ste nooit een mail verstuurde.
Afbeelding hierboven: Rian van Rijbroek.
2 Het ip-adres is niet van Strukton
De redactie van Tubantia gaat op zoek naar de werkelijke afzender. Aan elke normaal verstuurde mail hangt een databestand waarop alle gegevens staan over zender en ontvanger. Dat bestand is niet zichtbaar in de mail zelf, maar kan simpel worden opgevraagd. In deze zogeheten metadata staan ook de ip-adressen van zender en ontvanger. Een IP (Internet Protocol)-adres is een cijfercode waardoor computers op het internet elkaar kunnen herkennen, een soort telefoonnummer dus. Bedrijfscomputers hebben een ip-adres dat is gekoppeld aan de bedrijfsnaam. Thuiscomputers hebben dat niet: daar kun je aan het ip-adres alleen zien wie de internetprovider is. Maar dus niet wie de eigenaar of gebruiker van de computer is of waar die woont.
De Sanderinkmails die Tubantia onderzoekt komen van diverse journalisten. Want na die eerste mail in oktober bleek dat diverse vakgenoten bij verschillende media heel veel mails hebben ontvangen van de Centric-topman. Vaak onsamenhangend, vol beschuldigingen aan zijn ex-vriendin Brigitte van Egten. Een aantal journalisten stelt mails beschikbaar voor onderzoek.
De verschillende onderzochte mails die van Sanderinks Strukton-adres komen lijken inderdaad een ip-adres te hebben dat op naam staat van Strukton. Maar wie dieper graaft in de reeks cijfers en letters van de metadata, komt steeds opnieuw een heel ander ip-adres tegen. En dat blijkt de werkelijke afzender te zijn. De mail komt dus niet van Strukton. Hetzelfde geldt voor berichten vanaf Sanderinks iCloud-mailaccount: ook daar duikt hetzelfde mysterieuze ip-adres op. Maar van wie is dat dan?
Lees ook: Hoe 'cyberexpert/geheim agente' Rian van Rijbroek topman Centric (en anderen) voor zich won
3 – Wildenthousiaste recensies
Het gevonden ip-adres doet alle alarmbellen afgaan op de redactie van vakblad Computable. Het is hetzelfde adres dat ze twee jaar geleden vonden tijdens een speurtocht. Het boek ‘Cybersecurity en Cybercrime’ van Rian van Rijbroek en Willem Vermeend was net gepubliceerd toen zes Computable-lezers laaiend enthousiaste recensies op de site plaatsten.
‘Werelds beste hacker, werelds beste minister en werelds beste uitgever presenteren een parel!!!’, schreef iemand. Een ander vulde aan: ‘Wonderwoman en de staatssecretaris zetten met dit boek een wereldprestatie neer’.
De redactie werd wantrouwig van zoveel complimenten en ging op onderzoek uit. En wat bleek? Alle recensies kwamen weliswaar van verschillende mailadressen, maar van hetzelfde ip-adres. De eigenaar van dat adres was op dat moment nog niet bekend, maar Computable besloot wel deze reacties van de website te halen.
Lees ook: Dossier Sanderink (Centric) krijgt weer nieuwe wending door 'cybercharlatan'
4 – Consequente spelfout
Twee jaar na het bewuste incident blijkt dus dat het verdachte ip-adres te maken heeft met zowel het Cyberboek van Van Rijbroek als met mails van Sanderink. Computable gaat opnieuw op onderzoek uit. Het ip-adres is vrij makkelijk te traceren: de zoekwebsite MyIp.ms geeft aan dat het bij een KPN-account hoort en dat het toebehoort aan iemand in Veghel, in Noord-Brabant. De woonplaats van Van Rijbroek. En ze heeft inderdaad een KPN-account want haar zakelijke mail eindigt op @kpnmail.nl. Maar Veghel is best groot en veel mensen hebben KPN als provider
Tubantia en Computable gaan gezamenlijk op zoek naar vergelijkingsmateriaal. Al snel vinden we een collega die in het verleden met Van Rijbroek heeft gemaild, nog in de tijd dat ze Sanderink helemaal niet kende. En ja hoor: die mails blijken afkomstig van hetzelfde ip-adres als de Sanderink-mails. Ook de inhoud vertoont dezelfde eigenaardigheden als de Sanderinkmails: Van Rijbroek geeft na elke zin een harde return en maakt de spelfout ‘is gebeurt’.
Tubantia vermoedde al veel langer dat Sanderink niet zelf de schrijver was van mails die de redactie ontving.
5 – Beveiligingscamera leidt naar adres
Tubantia en Computable willen toch nog meer bewijs. Op hun verzoek duikt een data-analist van een erkend cybersecuritybedrijf in de openbare, maar goed verstopte gegevens achter het ip-adres. Hij ontdekt dat aan het bewuste adres ook nog een beveiligingscamera is gekoppeld. Die verbinding geeft nogal makkelijk gegevens prijs, bijvoorbeeld over het merk en type van de camera. En vanaf de openbare weg in Veghel is te zien wat we eigenlijk al vermoedden: precies dat type camera hangt bij Van Rijbroek aan de gevel.
‘Bent u Gerard Sanderink of Rian van Rijbroek?’
Tubantia vermoedde al veel langer dat Sanderink niet zelf de schrijver was van mails die de redactie ontving. Er werd in het kader van betrouwbare berichtgeving dan ook alles aan gedaan om duidelijk te krijgen wie nou precies de afzender was.
Dat blijkt ook uit een mailwisseling die ze begin december 2019 hadden met ‘Sanderink’. Aanleiding was het artikel over de relatie van Rian van Rijbroek met een digitaal rechercheur van de politie in Brabant. Het artikel werd haar voorgelegd met de vraag te reageren. Dat leidde tot een merkwaardige mailwisseling, niet met Van Rijbroek, maar met ‘Sanderink’, vanaf zijn mailaccount bij Strukton. Maar uit onderzoek van Tubantia en Computable blijkt dat alle antwoorden wel degelijk afkomstig waren van het ip-adres van Van Rijbroek.
