L’acquisizione forense di contenuti, siti o pagine web è un servizio che con l’evoluzione del digitale è diventato sempre più richiesto in quanto permette di cristallizzare nell’esatto momento le prove e i contenuti prima che siano rimossi o modificati. Siti web completi o pagine singole, social network (Facebook, Twitter, Instagram, Linkedin, Youtube), portali giornalistici, blog e forum sono tra le casistiche di analisi più frequenti.
Best practice per l’acquisizione forense di contenuti web
Nel mondo della digital forensics esistono alcuni strumenti professionali implementati per rispettare le best practices imposte dalle scienze forensi approvati dalla comunità scientifica che permettono la cristallizzazione dei contenuti. Tra i più diffusi troviamo HTTrack, FAW (Forensics Acquisition of Website) e Legal Eye.
Gli strumenti utilizzati per l’acquisizione delle evidenze presenti sul web sono diversi e possono essere sia freeware che a pagamento. Di seguito verranno esposte le caratteristiche dei due software più utilizzati e rappresentativi.
FAW: Forensics Acquisition of Website
FAW (Forensics Acquisition of Website) è un software scaricabile dal sito “www.fawproject.com”. L’applicativo permette l’acquisizione parziale o totale di una pagina web o sito web.
Il software permette nello specifico di:
- acquisire l’intero codice HTML delle pagine web effettuando anche il salvataggio degli headers;
- acquisire tutti gli oggetti collegati alla pagina web (immagini, archivi, documenti, eseguibili e script) i cui hash di controllo verranno inseriti nel file Acquisition.xml;
- acquisire diverse tipologie di immagine e analizzare tutte le pagine contenenti streaming di dati (per esempio video);
- operare un’acquisizione anche parziale della pagina web, in base alle esigenze dell’investigatore, tramite scelta dell’area di interesse della pagina.
FAW permette l’acquisizione di pagine accessibili solo tramite protocollo HTTPS (per es. le pagine Facebook), ovviamente disponendo delle credenziali di accesso alla risorsa (utente e password).
Ciò permetterà al consulente di acquisire anche il contenuto di una chat avvenuta tramite Facebook. Il software si presenta come un browser (Web Browser Chromium) tramite cui è possibile accedere alla risorsa web, procedendo con l’acquisizione del codice HTML della pagina, dei relativi headers e di tutti gli oggetti in questa contenuti.
È inoltre possibile ottenere anche la registrazione video (ScreenCapture.mp4) dell’operazione di acquisizione e il dump del traffico di rete (file.pcap) relativo alle operazioni svolte, grazie all’interazione con gli applicativi WireShark (www.wireshark.org) e VLC (www.videolan.org).
La funzionalità di rendere possibile la registrazione delle operazioni effettuate, è di certo cosa gradita ai non addetti ai lavori (giudici, avvocati, etc.) che oltre ad avere disponibili tutti i dati tecnici dell’operazione di acquisizione e cristallizzazione della prova (hash, log, etc.), hanno anche a distanza di anni, la possibilità di rivedere tutti i passaggi dell’attività tecnica svolta. Terminato il processo di acquisizione, FAW genera diversi file, memorizzati all’interno di una cartella nominata con il caseID scelto dall’investigatore al momento dell’esecuzione del software.
L’applicativo genera una cartella Objects contenente:
- tutti gli elementi della pagina Web acquisiti numerati progressivamente,
- 2 file immagine (screenshot) della risorsa acquisita,
- 1 file .wmv (registrazione video delle operazioni),
- 3 file.pcap (dump del traffico di rete),
- tutto il codice html della pagina web (code.html),
- gli headers inviati al browser dalla pagina web (headers.txt),
- il file di log Acquisition.log
- 3 file (i più importanti del processo di acquisizione), ossia:
- Checking.faw (il file contiene un codice di controllo che permette di verificare se i file Acquisition.txt e Acquisition.xml sono stati alterati nel tempo);
- Acquisition.txt e Acquisition.xml (file in formati diversi che contenenti al loro interno tutti i riferimenti dell’acquisizione svolta con relativi hash MD5 e SHA1).
I 3 file sopra menzionati risultano essere i più importanti in quanto tramite questi è possibile dimostrare a distanza di tempo la non alterazione dei file prodotti. Infatti FAW permette tramite la funzione di “Acquisition checking” disponibile nel menu “Checking” di verificare l’integrità dei due file Acquisition.txt e Acquisition.xml.
Le caratteristiche del software sono prettamente forensi, infatti FAW opera il calcolo degli hash MD5 e SHA1 di tutti i file acquisiti, producendo anche un log dettagliato delle operazioni svolte con relativi riferimenti temporali (Acquisition.log).
Il software è in grado di certificare i luoghi in cui l’acquisizione è stata svolta, tramite relativo IP ed identificativo della postazione, offrendo infine la possibilità di inviare per un’ulteriore verifica temporale (data e ora delle operazioni di acquisizione), l’acquisizione appena effettuata ad una casella e-mail certificata PEC.
Inoltre tramite l’applicativo è possibile acquisire e “cristallizzare” una conversazione di chat avvenuta per esempio a mezzo Facebook, disponendo delle credenziali di accesso, e di accedere di conseguenza ad una pagina web accessibile esclusivamente tramite protocollo HTTPS.
Con questo software è possibile quindi effettuare copie forensi anche di portali che offrono il servizio di posta elettronica certificata. Si tratta quindi di un software completo che permette di rispettare tutte le best practices dell’informatica forense per l’acquisizione di contenuti web.
Figura 1 Interfaccia utente FAW
LegalEYE
LegalEYE è un servizio nato dall’esigenza di poter acquisire in modalità forense il contenuto di pagine web. L’utente non deve installare alcun software: basta utilizzare il proprio browser ed andare nel sito Legaleye.it. Dopo essersi autenticato, l’utente potrà iniziare una navigazione in un “browser all’interno di un browser”.
Questa navigazione non avviene sul dispositivo dell’utente ma in un’infrastruttura protetta e costantemente monitorata. In particolare la navigazione avviene all’interno di una macchina virtuale che viene creata da un template standard certificato e rigenerato ad ogni utilizzo. L’intera navigazione viene registrata tramite video, e l’utente ha la possibilità di scattare screenshot di quanto viene visualizzato o di salvare le pagine e i contenuti web. Tutti gli elementi acquisiti vengono monitorati e non possono essere in alcun modo alterati dall’utente. Quando la navigazione termina, tutti gli elementi acquisiti (assieme ai dati di monitoraggio) vengono compressi in un archivio cifrato con una password scelta dall’utente.
L’archivio viene validato mediante codice hash, che verrà riportato nella Relazione Tecnica redatta e a cui viene apposta marca temporale, seguendo le stesse procedure previste per le copie forensi. L’intera navigazione viene acquisita assieme ad una serie di elementi accessori volti a dimostrare la genuinità della prova raccolta e la conformità all’originale.
A titolo esemplificativo e non esaustivo si riportano alcuni di questi:
- Rilevamento di data ed ora correnti e sincronizzazione dell’orario di sistema con il server time.ien.it;
- Registrazione integrale del traffico di rete generato durante l’accertamento;
- Registrazione video delle attività svolte;
- Realizzazione di screenshot delle pagine web visitate contenenti elementi d’interesse;
- Acquisizione di pagine web mediante software GNU Wget v. 1.18 (mingw32), nella modalità di acquisizione finalizzata alla navigazione offline delle pagine web d’interesse;
- Informazioni relative al Domain Name System;
- Svariati comandi di sistema quali ipconfig, route, arp, tcpdump, tracert, win32tm, nslookup, whoisCL, ecc.
Figura 2 Interfaccia utente Legal Eye
I casi
Sono numerosi i casi nei quali l’acquisizione di contenuti pubblicati sul web risulta essere assolutamente indispensabile.
Mediante questa procedura, come spiegato precedentemente, è possibile certificare determinati contenuti sul web al fine di dimostrare eventi quali stalking, diffamazione, furto di identità e plagio.
Ad esempio, mediante le chat integrate nei social network come Facebook e Instagram, molte persone protette dal senso di sicurezza infuso da questi mezzi si permettono di esprimere opinioni spesso anche offensive che nella realtà non avrebbero mai il coraggio di proferire.
Molti individui si invaghiscono di altri soggetti attivi sui social e iniziano a tempestarli di messaggi e richieste di incontri anche utilizzando toni e modalità insistenti e se non ottengono quanto da loro preteso diventano violenti.
Quindi dallo stalking si passa al reato di diffamazione, nel momento in cui si sentono rifiutati iniziano a sfogare la loro frustrazione insultando pesantemente e inventando calunnie che, se non acquisite in tempo, possono essere rimosse dall’utente che le ha pubblicate.
Negli ultimi anni queste tipologie di denunce sono moltiplicate esponenzialmente, con una perizia tecnica a supporto della stessa l’impatto risulterebbe sicuramente più marcato
Scopo del consulente tecnico è quello di acquisire in tempo i contenuti in modo da redigere una relazione tecnica che certifica i contenuti, la data e l’ora in cui sono stati pubblicati e ovviamente il soggetto che li ha creati.
Le acquisizioni di questa tipologia sono molto utili anche per dimostrare che determinati contenuti in un preciso periodo temporale erano già accessibili dal web, dimostrando ad esempio un reato di plagio.
