Introduzione
La maggior parte delle volte, nel caso di reati informatici come la diffamazione a mezzo internet, lo stalking (Cyber-Stalking), l'adescamento telematico (grooming), etc., il consulente informatico forense, viene chiamato a certificare e "cristallizzare" quanto accaduto. Il tutto, avvenendo tramite internet, deve indurre il consulente non solo a ricercare la prova scientifica all'interno delle memorie dei singoli dispositivi oggetto di indagine, ma anche ad acquisire e cristallizzare tutti i possibili contenuti di una pagina web (immagini, video, post, forum, etc) e lì dove necessario e possibile (disponendo delle credenziali di accesso fornite dell'utente), ad acquisire e cristallizzare in alcuni casi, anche il contenuto di una chat (per esempio una chat facebook). Di seguito verranno esposte le possibili tecniche e gli strumenti attualmente disponibili per svolgere questo tipo di attività.
FAW (Forensics Acquisition of Websites)
FAW è un software scaricabile gratuitamente dal sito www.fawproject.com. L'applicativo permette l'acquisizione parziale o totale di una pagina web. Il software permette nello specifico di:
- acquisire l'intero codice html delle pagine web effettuando anche il salvataggio degli headers
- acquisire (se impostati dall'utente nel menu configuration del software), tutti gli oggetti collegati alla pagina web (immagini, archivi, documenti, eseguibili e script.) - Fig. 1, i cui hash di controllo verranno inseriti nel file Acquisition.xml
- acquisire diverse tipologie di immagine e analizzare tutte le pagine contenenti streaming di dati (per esempio video)
- operare un'acquisizione anche parziale della pagina web, in base alle esigenze dell'investigatore, tramite scelta dell'area di interesse della pagina
Fig. 1
Rispetto al sistema Hashbot (illustrato in seguito), FAW permette l'acquisizione anche di pagine accessibili solo tramite protocollo https (per es. le pagine facebook), ovviamente disponendo delle credenziali di accesso alla risorsa (utente e password). Ciò permetterà al consulente di acquisire anche il contenuto di una chat avvenuta tramite facebook. Il software si presenta come un browser tramite cui è possibile accedere alla risorsa web - Fig.2, procedendo con l'acquisizione del codice html della pagina, dei relativi headers e di tutti gli oggetti in questa contenuti. Nell'ultima versione 3.1.0.2, è possibile ottenere anche la registrazione video (file.wmv) dell'operazione di acquisizione e il dump del traffico di rete (file .pcap) relativo alle operazioni svolte, grazie all'interazione con gli applicativi WireShark (www.wireshark.org) e VLC (www.videolan.org) - Fig.3.
Fig.2
L'intuizione di rendere possibile la registrazione delle operazioni effettuate, è di certo cosa gradita ai non addetti ai lavori (giudici, avvocati, etc.) che oltre ad avere disponibili tutti i dati tecnici dell'operazione di acquisizione e cristallizzazione della prova (hash,log,etc.), hanno anche a distanza di anni, la possibilità di rivedere tutti i passaggi dell'attività tecnica svolta.
Terminato il processo di acquisizione, FAW genera diversi file – Fig.4, memorizzati all'interno di una cartella nominata con il caseID scelto dall'investigatore al momento dell'esecuzione dell'applicativo Fig. 5.
Fig. 3
Fig. 4
Fig. 5
Come è possibile vedere in Fig. 4, l'applicativo genera una cartella Objects contenente tutti gli elementi della pagina Web acquisiti numerati progressivamente, nr. 2 file immagine (screenshot) della risorsa acquisita, 1 file .wmv (registarzione video delle operazioni), nr. 3 file .pcap (dump del traffico di rete), tutto il codice html della pagina web (code.html), gli headers inviati al browser dalla pagina web (headers.txt), il file di log Acquisition.log e nr. 3 file (i più importanti del processo di acquisizione), ossia:
- Checking.faw (il file contiene un codice di controllo che permette di verificare se i file Acquisition.txt e Acquisition.xml sono stati alterati nel tempo)
- Acquisition.txt, Acquisition.xml (file in formati diversi che contenenti al loro interno tutti i riferimenti dell'acquisizione svolta con relativi hash MD5 e SHA1)
I 3 file sopra menzionati risultano essere i più importanti in quanto tramite questi è possibile dimostrare a distanza di tempo la non alterazione dei file prodotti. Infatti FAW permette tramite la funzione di "Acquisition checking" disponibile nel menu "Checking" (Fig. 6), di verificare l'integrità dei due file Acquisition.txt e Acquisition.xml.
Fig. 6
La funzione di verifica utilizza un algoritmo proprietario che effettua un controllo del codice presente nel file Checking.faw. Se un malintenzionato andasse a alterare il contenuto dei file Acquisition.txt e Acquisition.xml, la verifica ovviamente non andrebbe a buon fine.
Nota
È ovvio che se in modo volontario si andassero ad alterare tutti gli altri file presenti nella cartella (es. file .pcap, file video, codice della pagina web, et.), senza modificare i file Acquisition.txt e Acquisition.xml, la verifica produrrebbe ugualmente esito positivo. Quindi per validare il tutto e verificare eventuali manomissioni, il consulente dovrà sempre verificare l'integrità di tutti i file, calcolandone l'hash e confrontando i valori ottenuti con i valori degli hash indicati nei file Acquisition.txt e Acquisition.xml.
Le caratteristiche del software sono prettamente forensi, infatti FAW opera il calcolo degli hash md5 e sha1 di tutti i file acquisiti, producendo anche un log dettagliato delle operazioni svolte con relativi riferimenti temporali (Acquisition.log). Inoltre il software è in grado di certificare i luoghi in cui l'acquisizione è stata svolta, tramite relativo IP ed identificativo della postazione, offrendo infine la possibilità di inviare per un'ulteriore verifica temporale (data e ora delle operazioni di acquisizione), l'acquisizione appena effettuata ad una casella e-mail certificata PEC. Attualmente FAW costituisce l'unico applicativo capace di offrire un serie di utility forensi in grado di arricchire l'attività di acquisizione di una risorsa web. Inoltre tramite l'applicativo è possibile acquisire e "cristallizzare" una conversazione di chat avvenuta per esempio a mezzo facebook, disponendo delle credenziali di accesso, e di accedere di conseguenza ad una pagina web accessibile esclusivamente tramite protocollo https.