Peter werd wakker van een zoemend geluid. Normaal niet het soort geluid dat hem om kwart over zeven al wakker zou maken, maar na zes keer onregelmatig hetzelfde getril pakte hij toch zijn telefoon van de lader. Zes nieuwe berichtjes van collega Erik. Peter bleef het vermakelijk vinden dat Erik principieel bleef weigeren WhatsApp te gebruiken, maar bij het type werk dat ze deden, hoorde nu eenmaal wel een specifiek slag mensen, die anders kijken naar dingen als encryptie en privacy. Bij Erik was het om kwart over zeven ook altijd de vraag of hij zo vroeg al op was, of nog steeds op was na weer een nacht hacken op thuisprojectjes.
In de anderhalve maand die hij nu bij de politie werkte, had Peter nog geen saaie dag meegemaakt. Naar aanleiding van een reclamecampagne op zijn favoriete it-nieuwssite had hij gesolliciteerd, en op basis van zijn skills was hij er voor zijn gevoel makkelijk doorheen gezeild. Ook de AOPV-opleiding voor nieuwe medewerkers viel hem tot nu toe alleszins mee. Ze zochten geen scriptkiddies, geen hobbyisten die met andermans’ harde werk wat ordinair online vandalisme kunnen plegen, maar geboren computertalenten, die op een duisterder carrièrepad de tools voor die scriptkiddies zouden bouwen. Dat was Peter wel toevertrouwd. Voor hem was een website al jaren niet meer een mooi plaatje met wat tekst en linkjes, maar een puzzel van verborgen componenten waarin altijd wel een programmeur vergeten was de data helemaal dicht te zetten. Een computer is geen gebruiksvoorwerp, maar een machtig wapen, dat zelf genoeg geheimen voor hem probeerde te bewaren. Peter was een van die mensen van wie we als maatschappij altijd hopen dat ze aan de goede kant van de wet hun talenten kunnen benutten. En dat deed hij nu bij de politie.
Eriks berichtjes vertelden over een nieuwe opdracht die zijn team vandaag had gekregen. Na een drugsvangst was op verschillende in beslag genomen computers gezien dat die onlangs regelmatig dezelfde site hadden bezocht. Niet vreemd als het Google of Facebook was geweest, maar een oplettende rechercheur had toch vraagtekens gesteld bij waarom verschillende drugskoeriers dezelfde site over tuinieren bezochten. Vooral omdat twee van hen in een appartement woonden zonder zelfs maar een balkon. Of ze eens konden kijken wat er met die site aan de hand was.
Een goed uurtje later zat Peter op kantoor achter zijn computer en bekeek hij de site eens. Het leek gewoon een slecht onderhouden blog, vol met onzinspam onder de artikelen waarvan de beheerders het hadden opgegeven om nog op te schonen.
Hoe gaat deze alinea verder?
a. Maar schijn bedriegt. Peter wist heel goed dat wat voor de leek spam lijkt, vrijwel altijd codetaal is waarmee criminelen veilig openbaar kunnen communiceren. Met een snelle wget -r trok hij snel een lokale kopie van de site, om daarna met een scriptje de comments eruit te filteren en op volgorde van datum te zetten. Gewapend met een bestand vol versleutelde comments trok hij naar de collega’s van Data Science om de inhoud te ontsleutelen.
b. Met een blik in de sourcecode van de site zag Peter al snel dat het hier ging om een site die op het Drupal cms was gebaseerd. Helaas geen WordPress, daarvoor komen maandelijks diverse nieuwe exploits uit, maar Drupal had onlangs ook wel wat ernstige tot zeer ernstige beveiligingsproblemen gehad. En als je jezelf adminrechten kunt verschaffen op zo’n site, kun je daarmee al snel interessante metadata opzoeken, zoals ip-adressen en wellicht zelfs e-mailadressen van de gebruikers. Een uurtje later had hij al prijs; de website was wel in april gepatcht tegen Drupalgeddon2, maar de vervolgproblemen had hij gemist, en met CVE-2018-7602 was hij even later al naar file listings aan het kijken.
c. Op basis van rDNS- en RIPE-registers was het eenvoudig om te achterhalen bij welke hostingprovider de site was ondergebracht. Gelukkig bleek dit een Nederlandse partij te zijn, dat scheelt een hoop juridische en praktische rompslomp om digitale zaken te kunnen vorderen. Met de contactgegevens van de hoster in de hand ging hij een verzoekschrift schrijven om de code, database en logbestanden van de website te kunnen vorderen.
Wat is het antwoord op opdracht 1?
