Logo Tom's Hardware

Metodi Alternativi

Come funzione l'acquisizione forense su Internet? Ecco alcune tecniche e strumenti usati dagli investigatori del web.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Metodi Alternativi

Se non esistessero gli strumenti sopra menzionati è sempre possibile eseguire l'acquisizione forense di una pagina web o in qualche modo certificare il contenuto di questa. Il metodo ancor oggi più utilizzato per certificare i contenuti di una pagina web, e anche la metodologia meno tecnica e scientifica in assoluto,  è quella di affidarsi a un Pubblico Ufficiale (es. un Notaio), il quale collegandosi con il suo computer e la sua connessione alla pagina web oggetto di analisi, produrrà una stampa cartacea di questa, certificandone i contenuti, le date e altro. In alternativa quando tecnicamente possibile, il consulente senza utilizzare i software FAW e/o Hashbot, potrebbe adottare la procedura di seguito descritta:

  • procede con l'acquisizione (copia) della pagina html e delle relative risorse (immagini,video,etc) utilizzando i tanti strumenti che permettono il salvataggio del codice html di una risorsa web (p.e. WinHTTrack Website Copier  - www.httrack.com)
  • utilizzare un software in grado di registrare ogni azione svolta a schermo (p.e. Free Screen Video Recorder - www.dvdvideosoft.com). In questo modo prima di acquisire la risorsa possiamo dimostrare anche l'ora esatta (navigando su determinati siti – fig. 11) in cui viene svolta l'operazione.

Fig. 11

  • utilizzare uno Packet Sniffer per tracciare e quindi "dumpare" il traffico dati durante le operazioni (Wireshark - www.wireshark.org)
  • Produrre screenshots della pagina oggetto di acquisizione

Terminata la fase di acquisizione, è possibile terminare l'esecuzione dello sniffer ma non la registrazione a video, e:

  • calcolare l'hash dei file prodotti (pagina/e html acquisite, file .pcap, eventuali oggetti relativi alla risorsa web, screenshot prodotti, etc.)
  • produrre tramite per esempio il software HashMyFiles  - www.nirsoft.net  - relativo log.txt contenente gli hash prodotti
  • creare un archivio zip coi i file generati precedentemente
  • calcolare l'hash del file zip, memorizzandolo in un file .txt 

A questo punto bisognerà interrompere la registrazione video, calcolare l'hash del file video creato salvandolo su relativo file .txt ed inviare il file zip, il file .txt contenente l'hash dello zip, il file video con relativo file hash salvato in apposito file .txt ad un indirizzo di posta certificata PEC, al fine di certificare ulteriormente l'ora e la data dell'attività tecnica.

Ma chi verifica il tutto e mi garantisce che non ho alterato a regola d'arte tutti i file prodotti durante l'acquisizione? 

Utilizzando i software Hashbot e FAW posso in qualche modo verificare l'integrità dei file prodotti, nel caso in esame no. È giusto ricordare però che tutto è alterabile in generale e tutto è contestabile anche utilizzando software come FAW (l'algoritmo di validazione è affidabile?) o Hashbot (chi mi dice che l'ente terzo, fornitore del servizio di validazione, non sia mio amico?). È chiaro che quanto maggiori saranno gli elementi che entrano in gioco durante un'attività tecnica forense (screenshots, video, hash, l'utilizzo di  più software e tool, etc.), minori saranno le possibilità di alterazione del processo di acquisizione e quindi minori saranno le possibilità di contestazione in sede legale.

L'autore

Gaetano Consalvo (www.gaetanoconsalvo.it) è ingegnere informatico specializzato ed esperto di reti di calcolatori. Si occupa di Computer Forensics (Digital-Network-Mobile Forensics) e di Indagini Digitali. E’ autore del libro Perizia Informatica 2.0 - Metodi e strumenti per la Computer Forensics. È consulente informatico per aziende e privati come esperto di Computer Forensics.  È componente della Commissione  ICT  dell’Ordine degli Ingegneri della provincia di Salerno. È relatore per seminari e corsi sulla Computer Forensics e sul Data Recovery.  È  CTU (consulente tecnico d’Ufficio) per alcune Procure e CTP (consulente tecnico di parte) per aziende, privati e professionisti in procedimenti civili e penali.  È membro del gruppo di ricerca che agisce nel campo della Digital Forensics presso l’Università degli Studi di Salerno (http://digitalforensics.dia.unisa.it/chi-siamo.html )

Leggi altri articoli