Nu had Peter iets om mee te gaan werken. Met een ip-adres in de hand van providers uit eigen land kun je ten slotte naar een fysiek adres komen met hulp van de provider. Dat betekent echter wel dat je een formele aanvraag bij die isp moet doen om te achterhalen welke abonnee op dat moment dit specifieke ip-adres in gebruik had, wat meer een juridische kwestie is dan iets voor de computeraars. Erik beloofde dit neer te leggen bij de goede afdeling en terug te koppelen zodra hij meer zou weten.
Het volgende punt was dus dat van de TOR-nodes. Peter wist dat hij er iets mee zou moeten kunnen, maar had eigenlijk nog niet echt een idee wat dan. Simpelweg de comments op een rij zetten met de endpoints erbij werd hij niet veel wijzer van, hij zag enkel een rommelige discussie waar duidelijk meerdere mensen bij betrokken waren, maar weinig lijn in zat met de ip-adressen. Als brainteaser verving hij de ip-adressen door hypothetische namen om te kijken of hij er dan meer kaas van kon maken. Helaas zag hij vervolgens Herman met zichzelf een verhitte discussie voeren over hoeveel coke hij deze week nog kon leveren en Piet was tegelijk volgens de ene comment twee weken ver op vakantie zonder bereik en volgens de andere kon hij straks na het werk wel even langswippen.
Peter realiseerde zich dat hij deze puzzel niet zonder andere specialisten zou kunnen oplossen en besloot om eens een bak koffie te pakken met een data-analyse specialist. Een vlotte dame genaamd Els had wel even tijd voor een bak koffie en glimlachte toen hij z’n probleem uitlegde. “Je hebt twee problemen, waarvan je er minimaal eentje zal moeten oplossen. Enerzijds heb je te weinig informatie, dus zal je meer nodig hebben. Anderzijds doe je te weinig met je bestaande informatie, dus zal je daar meer uit moeten halen. Als jij het eerste regelt kunnen wij hier wel hele mooie dingen met het tweede.”. Op zijn vervolgvraag wat voor extra informatie ze wilde hebben zei Els dat het bijvoorbeeld handig zou zijn als hij logbestanden van de servers had. Peter keek verbaasd op, hij had de webserverlogs inderdaad gekregen, maar had er niet bij stilgestaan dat dat nog toegevoegde waarde in zou kunnen zitten. Hij wist tenslotte al uit de database welk ip, op welk moment, welke post gemaakt had.
Wat zou Els er nog meer in willen zien?
a. Nadat Peter de logbestanden had doorgemaild liet Els hem weten dat ze hiermee goed vooruit kon. De volgende ochtend kwam ze weer bij hem terug: “Kijk, je had al lang genoeg informatie maar je wist nog niet wat je had. De logbestanden die je had hebben in W3C-formaat standaard de hele fingerprint van de browser. Daar zit zoveel informatie in over geïnstalleerde software, fonts, instellingen en dergelijke in dat je met vrijwel 100% zekerheid alles terug kunt herleiden naar een specifieke computer.”. Op basis hiervan hadden ze alles al teruggebracht tot netjes geordende discussies van unieke personen.
b. Een uurtje of twee later zat Peter weer bij Els aan het bureau. De logbestanden die hij had doorgemaild stonden al open op haar scherm. “Kijk, deze webserver staat gewoon standaard ingesteld om in W3C-formaat te loggen en dat betekent dat we hier ook in de logbestanden de referrer hebben staan, dus vanaf welke pagina de bezoeker afkomstig is en de user agent string, die veel meer over de computer vertelt dan alleen de browserversie.”. Bij een collega had ze reeds de vraag uitgezet of die met hun systemen de comments linguistisch kon ‘profilen’, om te kijken of ze op basis van schrijfstijl, grammatica en spelfouten aan een specifiekere auteur toegewezen konden worden.
c. Wat Peter echter in eerste instantie niet had gezien was dat bij de logbestanden ook de syslogs zaten en toen hij die opende realiseerde hij zich ineens waarom Els die graag wilde hebben – in de entries van de iptables firewall stonden de payloads van de complete TCP handshake en dus ook de MAC-adressen van de betrokken netwerkapparaten. Daarmee konden ze cross-referencen op de data van isp’s en wellicht zelfs individuele modems identificeren van hun abonnees.
Wat is het antwoord op opdracht 3?
