All’avvio FAW mostra la finestra iniziale (Fig.1) da dove è possibile inserire il “Case ID” ovvero un codice/riferimento del caso di cui ci stiamo occupando; si può inserire qualunque carattere alfanumerico di lunghezza massima di 60 caratteri, oppure si può cliccare sul pulsante[Auto] e verrà generato un codice basato sulla data e ora attuale nel formato ISO 8601.
Il campo “Case ID” è obbligatorio, verrà creata una cartella con lo stesso nome in cui verranno inserite le acquisizioni.

 


Fig. 1

 

La casella “Detective” è opzionale, si può anche lasciarla vuota, e viene utilizzata per inserire il nome dell’investigatore che sta effettuando l’acquisizione. Se sono già state effettuate delle precedenti acquisizioni si potrà scegliere di inserire altre acquisizioni semplicemente scegliendo il “Case ID” dal menu di scelta rapido. A questo punto si può cliccare sul pulsante [OK] ed accedere alla finestra principale del FAW (Fig. 2).

 


Fig. 2

 

Al primo avvio FAW crea nella cartella Documenti dell’utente una cartella di nome FAW che conterrà tutte le acquisizioni raggruppate in sottocartelle con il nome del Case ID inserito dall’utente.

Nella cartella Documenti viene creata anche una cartella di nome FAWConfiguration che contiene i file di configurazione del programma.

Ad ogni avvio FAW cancella la propria cache dei file temporanei e dei cookie.

Dalla barra del menu è possibile settare le preferenze del programma scegliendo: la pagina iniziale, la cartella in cui salvare le acquisizioni e lo user-agent da utilizzare. Di default non è selezionato alcun user-agent, FAW utilizza lo user-agent della versione di Internet Explorer attualmente installata sul computer dell’utente.

FAW utilizza due modalità operative: Navigazione e Acquisizione (Fig.3) attivabili cliccando sul rispettivo pulsante oppure tramite i tasti funzioni F10 e F11.

 


Fig. 3

 

La modalità Navigazione imposta FAW come un normale browser e permette di navigare tra le pagine web utilizzando i controlli classici: barra dell’indirizzo, pulsanti avanti e indietro, pulsanti vai, stop e ricarica.

Cliccando sul pulsante [Acquisition], FAW inizia ad acquisire il traffico sulla rete e salva gli eventi di windows generati da questo momento fino alla fine dell’acquisizione; in questa modalità è possibile navigare normalmente, effettuare login e ogni altra operazione fino ad arrivare alla pagina Web che si intende acquisire.

 

Acquisizione pagina Web

Raggiunta la pagina web da acquisire si deve premere il pulsante [Set Capture Area] – Fig. 4 – in questo modo verrà bloccata la navigazione e i relativi controlli, e sarà possibile regolare l’altezza dell’area delimitata in giallo denominata “Gold Box” per acquisire l’intera pagina Web.

 


Fig. 4

 

Il Gold Box si può estendere verso il basso con la funzione di resize semplicemente andandoci sopra con il puntatore del mouse (Fig. 5) – nella parte destra apparirà la barra di scorrimento verticale della Gold Box che non deve essere confusa con la barra di scorrimento della pagina web.

 


Fig. 5

 

La Gold Box si può estendere fino a raggiungere la fine della pagina web oppure fino al punto in cui si desidera effettuare l’acquisizione; si può impostare l’area di acquisizione sia regolando l’altezza della Gold Box sia regolando la barra di scorrimento della pagina web.

Il concetto base per l’acquisizione grafica di una pagina web è: tutto ciò che si trova all’interno della Gold Box viene acquisito.

Per iniziare l’acquisizione della pagina Web si deve cliccare sul pulsante [Acquire] – Fig. 6.

 


Fig. 6

 

FAW inizierà ad acquisire l’immagine della pagina Web facendola scorrere, poi acquisirà gli headers e il codice HTML di tutta la pagina (non solo dell’area selezionata) e gli eventuali oggetti contenuti nella pagina (se selezionati nel menu Configuration).

Al termine delle operazioni si aprirà la finestra della cartella dove sono stati acquisiti i seguenti file:

  • Acquisition.log
    è il file che contiene l’elenco delle operazione eseguite con il software FAW
  • Acquisition.txt
    è un file di testo che contiene tutti i riferimenti dell’acquisizione
  • Acquisition.xml
    è un file in formato xml che contiene tutti i riferimenti dell’acquisizione secondo lo standard DFXML
  • Checking.faw
    è il file che contiene un codice di controllo che permette di verificare se i file Acquisition.txt e Acquisition.xml non sono stati alterati
  • Code.htm
    è un file htm che contiene tutto il codice HTML della pagina web
  • CodeFrame{nomeframe}.htm
    sono file che contengono il codice HTML del frame {nomeframe} se presente
  • Headers.txt
    è un file di testo che contiene gli headers inviati al browser dalla pagina web
  • hosts
    è la copia del file hosts di windows al momento dell’acquisizione della pagina Web
  • Image.png
    è il file che contiene l’immagine della pagina web delimitata dalla Gold Box in formato png a 24bit
  • Image{numero}.png
    sono file immagine con i ritagli dell’immagine completa della pagina Web acquisita con aspect-ratio 1,41 adatte ad essere stampate a pagina intera su fogli A4
  • SystemLogEvents.txt
    è il file in cui vengono registrati tutti gli eventi di windows avvenuti durante l’acquisizione della pagina Web
  • screenCapture.wmv
    è il file video acquisito da VLC con la cattura dell’intero schermo del computer dall’inizio dell’acquisizione fino alla fine
  • Wireshark_{mac-address-network-interface}.pcap
    è il file acquisito da WireShark con il traffico di rete avvenuto durante l’acquisizione della pagina Web
  • Cartella Objects
    è la cartella che contiene tutti gli elementi della pagina Web acquisiti numerati progressivamente con il formato [nnnnn]filename.ext

Ogni acquisizione viene inserita in una sottocartella numerata sequenzialmente (esempio: 0001, 0002, 0003, ….. 000n) della cartella con nome del Case ID scelta dall’utente.

Per rendere l’acquisizione della pagina web valida a fini legali si può firmare digitalmente il solo file Acquisition.txt oppure il file Acquisition.xml ricordandosi di apporvi anche una marca temporale che certifica la data dell’acquisizione.

 

Salvataggio dei dati dell’acquisizione su server FAW

Al termine dell’acquisizione FAW chiede se si vuole salvare i dati dell’acquisizione nel database del server FAW; i dati che verranno salvati sono i seguenti: checking code, data inizio e fine acquisizione, URL acquisito e l’indirizzo IP del client che ha eseguito l’acquisizione.

Se l’utente acconsente all’invio di questi dati gli stessi saranno memorizzati nel database del server FAW e saranno disponibili per eseguire verifiche on-line dell’integrità dell’acquisizione.

 

Verifica integrità dell’acquisizione

E’ possibile verificare se i file Acquisition.txt e Acquisition.xml non sono stati alterati mediante la funzione di “Acquisition checking” disponibile nel menu “Checking” (Fig. 7).

 


Fig. 7

 

Verifica dell’acquisizione in locale

Nel menù Checking, cliccando su “Acquisition checking” si apre la finestra “Cerca cartella” nella quale si dovrà selezionare la cartella in cui è contenuta l’acquisizione che si vuole verificare; cliccando quindi su [OK] il programma verifica l’integrità dei due file Acquisition.txt e Acquisition.xml e mostra il risultato della verifica.

La funzione di verifica utilizza un algoritmo proprietario che alla fine dell’acquisizione della pagina Web genera un codice di verifica che viene salvato nel file Checking.faw; tale file deve essere presente nella stessa cartella insieme a Acquisition.txt e Acquisition.xml quando si deve procedere alla verifica.

 

Verifica dell’acquisizione on line

Se i dati dell’acquisizione sono stati salvati anche sul server FAW, è possibile eseguire una verifica dell’integrità dei files Acquisition.txt e Acquisition.xml mediante confronto con i dati memorizzati nel database di FAW.

Per far ciò è sufficiente aprire il menu Checking e cliccare sulla voce “Acquisition checking on line” verrà visualizzata la pagina di verifica nel browser predefinito.

La pagina di verifica utilizza il protocollo https per garantire la sicurezza dei dati forniti dall’utente; in questa pagina si dovranno caricare i due file Acquisition.txt e Acquisition.xml da verificare, e quindi cliccare il pulsante [Check]; il programma verifica l’integrità di entrambi i files certificando se essi non sono stati alterati. La stessa pagina, qualora la verifica fosse corretta, mostrerà i dati della relativa acquisizione salvati nel database del server FAW.

Questa procedura è un ulteriore strumento per il consulente tecnico per verificare l’integrità delle acquisizioni eseguite con il software FAW.

 

Verifica dei dati di un’acquisizione sul server FAW

E’ possibile verificare su sul server FAW sono presenti i dati di una particolare acquisizione; per far ciò, dal menu Checking, si clicca sulla voce “Verify the presence of acquisition on FAW server”; verrà visualizzata la pagina di ricerca nel browser predefinito.

In questa pagina è sufficiente caricare il file Checking.faw di una acquisizione per verificare se i dati di tale acquisizione sono stati salvati nel database del server FAW.

Se il checking code contenuto nel file Checking.faw è presente nel database verranno mostrati tutti i relativi dati dell’acquisizione.

 

Invio dell’acquisizione tramite e-mail

Il programma permette di inviare automaticamente l’acquisizione appena effettuata ad una casella e-mail; per evitare l’invio di allegati troppo pesanti vengono spediti solamente i file Acquisition.txt, Acquisition.xml e Checking.faw. L’invio automatico tramite e-mail permette di inviare l’acquisizione anche ad una casella di posta certificata PEC (mediante il proprio client di posta) e quindi di certificare temporalmente la data di acquisizione.

Dal menu Configuration > Preferences > Acquisition (Fig. (Fig. 8) è possibile decidere se inviare automaticamente una e-mail al termine dell’acquisizione oppure no.

 


Fig. 8

 

Le opzioni disponibili sono:

  • Do not send email
    Disattiva l’invio della e-mail
  • Send email with email client
    Invia la e-mail al termine dell’acquisizione utilizzando il proprio client di posta elettronica predefinito
  • Send email with FAW
    Il programma invia direttamente una e-mail al termine dell’acquisizione, in questo caso è necessario inserire i dati del proprio account di posta elettronica e l’indirizzo del destinatario

Se la mail deve essere inviata ad un indirizzo di posta certificata PEC è necessario utilizzare l’invio tramite il proprio client di posta su cui è configurato l’account PEC.