De volgende ochtend had Peter weer overleg met Erik en hij legde uit wat hij intussen te weten was gekomen. Met een voorzichtig compliment op zak kwam daarna wel de onvermijdelijke vraag hoe nu verder te gaan. Peter had sterk het gevoel dat hij nu wel alles uit de data had getrokken die hij had, maar wist verder niet echt wat hij met de resultaten moest doen. Erik stelde hem gerust door te zeggen dat hij dat ook niet met zekerheid wist, omdat dit zo’n punt is dat je moet vertrouwen op de ervaring van je team. Opties genoeg, maar met weinig tijd en beperkte middelen is het schiften in wat je kunt doen en dan kun je beter inzichten en ideeën combineren van een ervaren groep.
De volgende dag werd tijdens de dagelijkse standup de kwestie besproken en afgesproken om met een kernteam van zes man een losse brainstorm te doen later op de dag. Met een groep specialisten bij elkaar, ook al zijn ze niet inhoudelijk bekend met de zaak, verhoog je al exponentieel je kans op dat ene goede idee en kijken er meer ogen mee waar de haken zitten. Vele opties passeerden de revu, maar uiteindelijk bleven ze terugkomen op dat de belangrijkste vervolgstap moest zijn om meer over het netwerk en de participanten te weten te komen. En dat de beste route daarvoor was om het netwerk van binnen uit te gaan volgen.
Inmiddels was er vanuit de officier van justitie ook nieuws: het vermoeden van een strafbaar feit was in deze sterk genoeg, door de link met de drugskoeriers, dat er instemming was om van de Nederlandse ip-adressen identiteit en adres van de abonnee te vorderen en de aanvragen waren reeds uitgezet bij de isp’s. Tevens werd er toestemming verleend om ingrepen te doen op de website zelf om op die manier bewijsmateriaal te verzamelen. De hoster was dus verplicht om toegang te verschaffen tot live broncodes en databases.
Peter ging terug naar zijn bureau en keek nog eens goed naar de website over tuinieren. Toen even later een SSH-login in de mailbox viel kon hij zijn plannen ten uitvoering gaan brengen.
Wat nu?
a. De templates bleken gelukkig een weinig aangepaste standaardtemplate te zijn en na wat rondneuzen had hij de master templates gevonden waarmee hij globaal op iedere pagina scripts of andere code kon injecteren. En zo was aan het eind van de middag de website aangepast zonder enig zichtbaar verschil, maar met toegevoegde scripts die bij bezoekers van de pagina een keylogger zouden installeren.
b. Met console access is de eerste beveiligingshorde genomen en kon hij redelijk simpel een rootkit plaatsen op het systeem. Op deze manier zouden de echte beheerders van de site hem niet snel opmerken. Tegelijk verving hij de Apache webserverconfiguratie zo dat alle Javascriptbestanden voorzien waren van wat extra code, die lokaal een worm in de browser installeerde. Op deze manier zou hij als mensen op de site kwamen gegevens uit de autocomplete kunnen loggen, die waarschijnlijk identificeerbaar zouden zijn voor de criminelen.
c. Nog voor het eind van de middag had hij de website zo bijgewerkt dat ongemerkt van iedere actie op de site een notificatie werd verstuurd naar een tooltje dat hij elders had geplaatst. Zo konden ze realtime volgen wat er allemaal gebeurde. Tevens voegde hij een optioneel veld toe aan het commentaarformulier genaamd “email”. Niemand zou dat bewust invullen, maar met wat geluk zou iemand er per ongeluk de autocomplete van de browser op triggeren.
Wat is het antwoord op opdracht 4?
