Enkele dagen later was het verzoek toegewezen en kreeg Peter van de hoster een link door waar hij de recentste back-up kon downloaden. Op shared-hostingomgevingen bevatten deze in de regel alles wat nodig is om de omgeving van een klant volledig te kunnen herstellen. Inderdaad stond alle code erin, evenals de database en de afgelopen paar dagen aan logs. Na de database hersteld te hebben besloot hij eerst maar eens te kijken of er aan die comments iets te zien was.
Helaas werd hij van de commentstabel niet direct veel wijzer. Hoewel de ip-adressen van alle commenters er netjes in opgeslagen waren, traceerden degene die hij probeerde, terug naar bekende TOR-exitnodes of ranges in verre landen. E-mailadressen of andere identiteitsgegevens waren allemaal nooit verplicht geweest en dus niet beschikbaar voor analyse. Hij had nu eigenlijk alleen maar een lijst van onbruikbare ip-adressen, gekoppeld aan duizenden op het oog willekeurige namen van afzenders en onleesbare berichtjes. Wat productief begon, leek verder weinig nuttigs op te leveren voor verder onderzoek.
Tijdens de lunch vertelde Peter over zijn vorderingen aan collega Erik en zijn leidinggevende. Ondanks zijn teleurgestelde blik begon Erik te lachen. “Maak je niet druk, binnen dit soort netwerken maakt altijd wel iemand een foutje waardoor je het web kunt ontrafelen. De truc is om te vinden wie wat heeft fout gedaan.” Peters manager bevestigde dat de databasedump verder onderzoek waard was en na een belletje met de officier van justitie gaf hij de twee opdracht om samen verder onderzoek te doen.
Wat gebeurt er na de lunch?
a. Erik schoof bij Peter aan het bureau aan en verzocht hem de database er nog eens bij te pakken. Peter had dan wel een aantal steekproeven genomen, maar op Eriks aandringen schreef hij een scriptje om alle ip-adressen uit de database te reversen, de whois ervan te controleren en die in een nieuwe tabel op te slaan. Hoewel het merendeel van de ip-adressen naar de meest exotische landen leek te herleiden, kwamen er ook twee Nederlandse ip-adressen uit, waarvandaan diverse comments waren geplaatst. Daarnaast bleek een handjevol bekende TOR-exitnodes een relatief groot aantal comments te hebben geplaatst.
b. Erik nodigde Peter uit bij zijn bureau en logde remote in op de gehackte database. Een SELECT ip_address, comment_date FROM comment ORDER BY comment_date DESC later had hij een lijstje op zijn scherm staan met de laatst gebruikte ip-adressen, specifiek zelfs nog met comments van op dat moment nog geen tien minuten oud. Hij legde uit dat het, doordat TOR niet doorlopend endpoints kan verversen, zeer aannemelijk was dat de gebruikers op dit moment nog op hetzelfde endpoint zouden zitten, en dat het ip-adres van de website nog trusted voor reverse traffic zou zijn. Met wat tools vanuit zijn computer voerde hij vervolgens een portscan terug op een van de endpoints, met de website gespoofd als afzender, en rolde er op zijn scherm al snel enkele openstaande TCP-poorten uit. Lachend zei hij: “Kijk, dit zijn de standaardpoorten die Windows 7 open heeft staan als je dankzij TOR omgekeerd al door zijn eigen firewall kunt komen.”.
c. Erik regelde een conferencecall met de collega’s van Data Science en legde uit wat ze tot nu toe hadden. Zoals hij wel had gedacht, vroeg collega Daan al snel of ze de dump konden opsturen. Met behulp van hun nieuwe big-data-analysistools verwachtte hij wel dat ze redelijk snel inhoudelijk iets over de data konden zeggen. En inderdaad, nog voor het einde van de middag kwam het bericht terug dat ze vier berichten hadden weten te ontsleutelen.
Wat is het antwoord op opdracht 2?
