Caratteristiche tecniche - FAW - Forensics Acquisition of Websites

ACQUISIZIONE

Acquisizione parziale o totale delle pagine web

Il programma permette di acquisire un intera pagina web a piena risoluzione o solo di una parte della stessa attraverso una rapida selezione dell’area. Tramite barre di scorrimento laterali e di un apposito cursore orizzontale è possibile decidere la zona di della pagine web da analizzare.

Acquisizione delle pagine contenenti streaming video

L’applicativo è in grado di analizzare tutte le pagine contenenti streaming di dati. L’acquisizione di filmati video o di pagine con effetti lato client (javascript, jquery, flash ecc..) è automatizzata dal software.

Acquisizione pagine con frame

Il programma è pensato per lavorare anche con pagine web contenenti frame cioè di siti composti in diverse sezioni tra loro indipendenti. Tramite barre di scorrimento laterali è possibile navigare tra i vari frame e decidere quali andranno acquisiti.

Acquisizione di tutti gli elementi grafici

Il software intrinsecamente è in grado di acquisire qualunque tipologia di immagine supportando i più diffusi formati grafici.

Acquisizione dei tooltip

Tramite l’utilizzo di shortcut cioè di tasti funzione, l’applicativo permette di acquisire anche i tooltip delle pagine web. Il tooltip è un piccolo “box” con informazioni supplementari riguardo l’oggetto stesso che solitamente viene visualizzato quando il puntatore si posiziona sopra lo stesso.

Acquisizione codice html della pagine Web

Il programma cattura l’intero codice HTML della pagina Web anche in presenza di più frame ed effettua anche il salvataggio degli Headers.

Acquisizione di tutti gli oggetti collegati alla pagina web in modo automatico

Si possono acquisire tutti i tipi di file tra cui: immagini, archivi, documenti, eseguibili e script. I riferimenti di tutti i file acquisiti vengono inseriti nel file Acquisition.xml riportando indicazioni del percorso originale e gli hash di controllo. L’acquisizione degli oggetti collegati alla pagina è configurabile dall’utente dal menù Configuration > Linked Object.

Integrazione con WireShark

Wireshark è un analizzatore di protocollo molto utilizzato in network forensics che ha il suo punto di forza nella flessibilità: grazie a speciali criteri di ordinamento e filtraggio l’investigatore può estrapolare ed analizzare in modo rapido i dati di suo interesse dalle informazioni registrate. FAW utilizza le funzionalità di Wireshark per acquisire tutto il traffico presente su tutte le interfacce di rete attive durante l’acquisizione della pagina Web. L’investigatore può dunque fare un’analisi di tutto il traffico di rete transitato sia per raggiungere la pagina Web sia sul comportamento intrinseco alla stessa. L’integrazione permette di avere un file di log in formato pcap dal momento di inizio dell’acquisizione fino alla fine della stessa.

Memorizzazione dei dati dell’acquisizione su server remoto

FAW permette di salvare i dati di verifica delle acquisizioni su un server remoto, in questo modo il consulente tecnico può verificare l’integrità delle acquisizioni confrontando i dati locali con quelli salvati sul server.

CONFIGURAZIONE

Possibilità di cambiare user agent

Il software offre la possibilità di impersonificare diverse tipologie di browser. Quando gli utenti di Internet visitano un sito web, una stringa di testo è solitamente inviata per fare identificare al server lo user agent. Questo fa parte della richiesta HTTP, con prefisso “User-agent:” o “User-Agent:” e tipicamente include informazioni come il nome dell’applicazione client, la versione, il sistema operativo e la lingua. In base allo user agent una stessa pagina può essere visualizzate in modo differente.

Gestione dei casi e delle acquisizioni

L’applicativo permette una gestione accurata e separata di ogni caso suddivisa per tutte le acquisizioni delle stesso. Tramite un apposita alberatura su file system è in grado di organizzare al meglio il lavoro dell’investigatore.

Multiutente (utilizzabile da diversi investigatori)

Il software profila in maniera separata i vari utenti riservando aree separate per ogni investigatore gestendo la concorrenza in maniera ottimale.

FORENSE

Calcolo automatico di hash md5 e sha1 di tutti i files acquisiti

L’applicativo automatica effettua un calcolo dell’hash md5 e sha1 per tutti i files acquisiti. Gli algoritmi di hash, in particolare SHA1 e MD5, sono largamente utilizzati nell’ambito dell’informatica forense per validare e in qualche modo “firmare” digitalmente i dati acquisiti, tipicamente le copie forensi. La recente legislazione impone infatti una catena di custodia che permetta di preservare i reperti informatici da eventuali modifiche successive all’acquisizione: tramite i codici hash è possibile in ogni momento verificare che quanto repertato sia rimasto immutato nel tempo. Se i codici hash corrispondono, entrambe le parti in un procedimento giudiziario hanno la certezza di poter lavorare sulla stessa versione dei reperti, garantendo quindi una uniformità di analisi e in genere di risultati. I risultati dei codici hash vengono ormai calcolati di default dalla maggioranza dei software per acquisizione forense e allegati alle copie forensi salvate.

File di riepilogo di ogni acquisizione

Per ogni acquisizione il software genera un file di riepilogo con un log dettagliatissimo di tutte le operazioni effettuate, files creati ed orari. Certifica anche il l’autore dell’analisi tramite IP e identificativi univoci della macchina.

Verifica dell’integrità dell’acquisizione

La funzione di verifica dell’integrità dell’acquisizione permette, mediante un algoritmo proprietario, di verificare se tutti i file acquisiti non sono stai alterati.