Hashbot

Come funzione l'acquisizione forense su Internet? Ecco alcune tecniche e strumenti usati dagli investigatori del web.

Avatar di Tom's Hardware

a cura di Tom's Hardware

HASHBOT

Hashbot è stato il primo web tool gratuito in grado di offrire ai consulenti la possibilità di acquisire in modalità forense una pagina web, permettendone la validazione nel tempo. Per procedere all'acquisizione di una risorsa web, basta collegarsi al sito di hashbot (www.hashbot.com) - fig. 7, selezionare il browser con il quale si vuol procedere all'acquisizione della pagina e inserire la risorsa web (indirizzo della pagina) che si desidera acquisire.

Fig. 7

Terminate le operazioni hashbot permette di scaricare un archivio zip (fig. 8) contenete i file derivanti dal processo di acquisizione (fig. 9), ossia:

  • xxxx-code.txt (contenente il codice di convalida delle operazioni effettuate : CODE, e i relativi hash MD5 e SHA1 della pagina web acquisita)
  • xxxx-headers.txt (contenente gli headers inviati al browser dalla pagina web)
  • xxxx.html (contenente il codice html della pagina web) 

Fig. 8

Fig. 9 

Per convalidare e verificare l'integrità dei file prodotti, basterà inserire anche a distanza di tempo il codice di convalida e il relativo hash memorizzato nel file xxxx-code.txt, sul sito e ottenere il riscontro delle operazioni svolte. Il punto di forza di hashbot risiede nel processo di convalida, ottenuto tramite ente terzo (database contenente tutti gli hash e i codici di controllo delle operazione di acquisizione svolte nel tempo), grazie al quale è possibile anche a distanza di anni verificare l'integrità dei file e la validità dell'operazione.

Nota

E' chiaro che se in modo volontario l'utente cambia il contenuto del file xxxx.html (contenente il codice html della pagine Web), il processo di validazione, darebbe esito positivo nonostante la pagina web acquisita risulterà alla vista alterata. Sta quindi sempre alla bravura del consulente calcolare l'hash della pagina acquisita e confrontarlo con il valore presente all'interno del file xxxx-code.txt (contenente il codice di convalida delle operazioni effettuate: CODE, e i relativi hash MD5 e SHA1 della pagina web acquisita). Hashbot pur costituendo un valido strumento forense per acquisire risorse web, presenta due importanti limitazioni:

  • dimensione massima della pagina web da acquisire = 4 MB 
  • permette di acquisire solo risorse accessibili tramite protocollo http 

Il fatto di poter acquisire solo risorse web accessibili tramite http e non tramite https, limita l'utilizzo dell'applicativo nei casi in cui è necessario acquisire il contenuto per esempio di una chat o di una determinata pagina facebook. A differenza di FAW che offre la possibilità di acquisire con un click tutti gli elementi collegati alla pagina web, hashbot permette la singola acquisizione degli elementi presenti nella pagina web digitando per es. www.xxxxxx.com/image.jpg  per ogni risorsa da acquisire. Come FAW – Fig.10, hashbot non permette l'invio del file zip acquisito tramite PEC. È sempre quindi buona norma inviare i risultati dell'acquisizione ad una casella di posta elettronica certificata, al fine di avere un ulteriore riscontro temporale sulla data e l'ora delle operazioni svolte.

Fig. 10