A differenza di soluzioni come Web Archive, Archive.is o Hashbot, FAW è stato il primo software in grado di acquisire in modo certificato anche pagine protette da credenziali, come Facebook, incluse gallerie di foto, chat, aree riservate, permettendo la verifica delle acquisizioni da parte di terzi e l’utilizzo in Tribunale in procedimenti civili e penali.
FAW è stato realizzato da due italiani: Davide Bassani e Matteo Zavattari e nasce come software forense adatto a forze dell’ordine, investigatori, notai, avvocati, consulenti tecnici, CTP, CTU o anche per semplici utenti privati che devono acquisire pagine web da produrre in procedimenti penali o civili.
L’utilità di questo prodotto è indubbia. Basti pensare al costante aumento di reati che si svolgono sul Web: diffamazione, diritto d’autore, stalking, pedopornografia, P2P, privacy, e molto altro.
I feedback e le segnalazioni di David Tanzer, Diego Febbraio, Stefano Comparetti, Joanne Tan, Litiano Piccin, Yohann Lepage, Paolo Dal Checco, Nanni Bassetti e tanti altri illustri esponenti dalla computer forensics hanno permesso al prodotto di evolversi con nuove funzionalità.
FAW viene celebrato, anche, dalla community “Forensics Insight” in Korea, dove JK Kim presenta il software durante il convegno Trends in dForensics.
FAW 2.0
A maggio 2013 è stata presentata la seconda major release del software; in questa nuova versione molto interessante è il nuovo algoritmo di verifica delle acquisizioni. Esso contiene un codice di controllo il quale permette di verificare che l’acquisizione non sia stata alterata in modo intenzionale.
Davide Gabrini e Mattia Epifani hanno citato il prodotto durante le loro conferenze presso diverse Università italiane.
Un ulteriore apprezzamento è arrivato dall’estero con le 5 stelle attribuite dall’autorevole rivista inglese “Digital Forensics Magazine” la quale ha dedicato tre intere pagine della rivista con un’accurata recensione di FAW.
FAW 2.1
A gennaio 2014 viene rilasciata la versione 2.1, tra le caratteristiche principali c’è l’acquisizione di tutti gli oggetti collegati alla pagina web in modo automatico. Si possono acquisire tutti i tipi di file tra cui: immagini, archivi, documenti, eseguibili e script. Di tutti i file acquisiti vengono calcolati gli hash in modo automatico.
FAW 3.0
A marzo 2014 FAW si integra con Wireshark e permette quindi di acquisire anche tutto il traffico di rete generato durante l’attività di acquisizione delle pagine Web.
FAW riceve un ampio interesse anche dagli USA, da dove viene scritta un’autorevole pubblicazione, a cura di Nicholas Aspinwall, del “CHAMPLAIN COLLEGE – The Senator Patrick Leahy – Center for Digital Investigation”.
FAW IN VILLA
Il 24 giugno 2014, presso il centro congressi Villa Cagnola a Gazzada Schianno (VA) si è svolto il primo seminario dell’associazione WCPA con tema “L’ACQUISIZIONE FORENSE DI PAGINE WEB – LA PAGINA WEB COME PROVA DIGITALE”, dove è stato presentato ai partecipanti il software FAW con tutte le sue funzionalità.
Al seminario hanno partecipato esponenti delle forze dell’ordine, avvocati, magistrati, notai, periti e consulenti tecnici, che hanno la necessità di acquisire pagine Web come prova con valore legale da utilizzare per procedimenti civili e penai.
In questa sede sono state mostrate tutte le funzionalità di FAW per l’acquisizione di pagine Web, e si è interagito attivamente con il pubblico che ha mostrato un alto interesse e ha richiesto nuove feature agli sviluppatori. Si ringrazia in particolar modo il Notaio Ugo Becchini per i preziosi consigli e riflessioni dell’utilizzo di questo software in ambito notarile.
FAW 3.1
La più importante caratteristica del nuovo rilascio è certamente l’integrazione con il software VLC per effettuare la registrazione delle schermo del computer durante tutte le operazioni di acquisizione della pagina web. In questo FAW è in grado di acquisire e certificare lo screencast eseguito.
La Polizia nazionale polacca ha scelto FAW come primo tool forense per l’acquisizione di prove digitali per fini probatori. Gli sviluppatori ringraziano Arek Czak per i preziosi consigli.
A ottobre 2014 viene scritta una recensione di FAW sulla testata Tom’s Hardware dall’Ing. Gaetano Consalvo, un autorevole firma e mente della computer forense italiana, che definisce inequivocabilmente il prodotto come il fior occhiello dell’ingegneria italiana citando testualmente: “Attualmente FAW costituisce l’unico applicativo capace di offrire un serie di utility forensi in grado di arricchire l’attività di acquisizione di una risorsa web. Inoltre tramite l’applicativo è possibile acquisire e “cristallizzare” una conversazione di chat avvenuta per esempio a mezzo Facebook, disponendo delle credenziali di accesso, e di accedere di conseguenza ad una pagina web accessibile esclusivamente tramite protocollo https.”
FAW 4.0
A novembre 2014 gli autori hanno confermano le aspettative e le indiscrezioni che erano apparse sui principali giornali e portali di computer forensics nei giorni precedenti; la novità della versione 4 di FAW è la possibilità di salvare i dati delle acquisizioni su un server remoto e dallo stesso server eseguire la validazione delle stesse.
Questa caratteristica offre ai consulenti tecnici un’ulteriore strumento di verifica dell’integrità delle acquisizioni.
“L’interesse verso quest’ultima versione del software è dimostrato anche dall’elevato numero di download – più di 1000 – eseguiti nelle prime 24 ore dal rilascio” – dichiarano gli sviluppatori – la testimonianza che la strada fin qui seguita è quella giusta.
FAW 5.0
FAW, nella sua release 5.0 – rilasciata nell’aprile del 2017 – ha introdotto nuove importanti funzionalità e notevoli miglioramenti di performance grazie agli innumerevoli feedback ricevuti dalla comunità forense italiana ed internazionale; prima tra tutti la gestione multilingua del software; sono stati poi inseriti tutti i timestamp in formato ISO 8601 riportando anche i riferimenti ai fusi orari; è stato inserito un visualizzatore/editor per il file host di Windows per poter fare modifiche in modo semplice e veloce; è stata migliorata la gestione di cancellazione della cache che può essere personalizzata dall’utente; è stato migliorato lo screencast che adesso viene registrato in formato mp4 con compressione h264 a 25f/s; da ultimo è stato aggiunto il calcolo degli hash con algoritmo SHA-256.
A gennaio 2017 è apparso un articolo sul “IISFA Memberbook 2016 – DIGITAL FORENSIC” a firma di Davide Bassani, che spiega il funzionamento e i vantaggi della versione 5.0 di FAW.
FAW SI SPOSA CON VIRTUAL BOX
Ultima novità degli sviluppatori è FAW su VirtualBox che permette di utilizzare il software su piattaforme Windows, Mac OS X e Linux utilizzando la macchina virtuale già pronta e scaricabile dall’area download con installato tutto il necessario per l’acquisizione forense di pagine Web.
Nella macchina virtuale si trovano già installati i software: FAW, VLC e Wireshark; FAW è già configurato e pronto da usare nella configurazione standard con acquisizione audio/video del desktop e del traffico di rete generato.
FAW su VirtualBox garantisce un ambiente di acquisizione pulito, certificato e privo di qualsiasi vulnerabilità a software malevoli. La macchina virtuale può essere clonata ad ogni acquisizione e garantire quindi l’utilizzo di un ambiente rigenerato ad ogni utilizzo.
FAW 6.0
Con la versione 6.0 di FAW vengono introdotto nuove caratteristiche volte a migliorarne le performance e a semplificarne l’uso; da questa versione infatti per acquisire lo schermo del PC non serve più installare il software VLC perché FAW integra al suo interno tutto il necessario per eseguire screencast di alta qualità acquisendo oltre al video a 30f/s anche l’audio stereo a 48KHz.
Ma la nuova e più attesa novità della versione 6 è sicuramente l’utilizzo da parte degli sviluppatori del componente Chromiun come browser per la navigazione e l’acquisizione dei siti web; con l’adozione di questo nuovo componente FAW riesce ad acquisire tutti i tipi di siti web anche quelli che precedentemente non erano supportati dal browser Microsoft. Da questa versione è infatti possibile acquisire il sito WhatsApp Web, è possibile acquisire i siti con video in Flash, vengono acquisiti automaticamente anche il codice di tutti gli iFrame contenuti nella pagina e le immagini con parametri nell’indirizzo URL.
SEMINARIO IISFA CON FAW
A settembre 2017, presso l’Università statale di Milano, gli sviluppatori di FAW presentano in anteprima le importanti novità della versione 7 di FAW.
FAW 7
FAW 7 – rilasciato il 3 ottobre 2017 – è una novità assoluta, infatti oltre al normale software fin qui sviluppato si sono accostati altri 7 nuovi tool che permettono nuovi tipi di acquisizioni e acquisizioni più sicure e più automatizzate. FAW 7 si può quindi definire una suite di strumenti forensi per ogni tipo di acquisizione di pagine web, siti web e risorse correlate. Con la versione 7 vengono inseriti i seguenti strumenti:
- FAW TOR, per acquisizione di pagine web presenti sul Darkweb attraverso la rete TOR;
- FAW STOP che permette di iniziare l’acquisizione di pagine web e di terminarla manualmente, consentendo all’operatore di catturare nel suo complesso il comportamento di pagine e contenuti multimediali (audio/video);
- FAW TIME consente di schedulare l’acquisizione di una pagina web, in modo da poter catturare il contenuto della stessa in diversi momenti della giornata;
- FAW BOT è un vero e proprio crawler che cerca tutte le pagine web collegate alla pagina principale, estraendone URL e l’altezza per creare un indice da cui può essere successivamente acquisito automaticamente. Permette inoltre di eseguire ricerche su siti web con aree protette da login, come i social network;
- FAW MULTI è il software FAW in versione multipagina, consente la cattura automatica di un elenco di pagine web. Perfetto per catturare interi siti web in modo rapido e automatico;
- FAW FTP con questo strumento si possono acquisire interi siti Web in modalità FTP senza modificare i metadati di file copiati;
- FAW REPORT permette di creare un report dettagliato di tutte le attività svolte con la suite FAW utilizzando un template completamente personalizzabile dell’utente.
Oltre a questi sette nuovi tool FAW ha aggiunto anche nuove ed interessanti features richieste da molti consulenti tecnici, tra cui:
- acquisizione dei certificati SSL/TLS server e client;
- iniezione di script nella pagina (bookmarklet);
- impostazione manuale del referral.
Envolve Forensics LTD – 41 DEVONSHIRE STREET, GROUND FLOOR, LONDON W1G 7AJ – COMPANY NUMBER 12690094