Acquisizione forense di pagine e siti web con FAW ora anche su Virtualbox

Cristallizzazione di pagine web con FAW su VirtualBoxGli sviluppatori di FAW, il popolare software gratuito per Windows utilizzato per cristallizzazione e acquisizione forense di pagine e siti web a fini probatori per uso legale in Tribunale, hanno realizzato una macchina virtuale per permettere anche a coloro che utilizzano Linux o Mac OS X di beneficiare del loro applicativo.

Da pochi giorni infatti è scaricabile dalla sezione download del sito ufficiale FAW una macchina virtuale preconfigurata per VirtualBox (ma utilizzabile anche su VMWare, dato che il disco virtuale è in formato VMDK) contenente una versione di valutazione di Windows 7 Enterprise all’interno della quale è stato preinstallato FAW, il software per acquisizione certificata e cristallizzazione di siti e pagine web a fini probatori per uso legale in Tribunale. Il tool gratuito FAW è installato nella VM in versione 5.1.6.4 ed è integrato con VLC e Wireshark, necessari per arricchire l’acquisizione probatoria con filmati video e registrazione del traffico di rete. Matteo Zavattari e Davide Bassani dichiarano nelle news che la VM – pur trattandosi comunque di un Sistema Operativo Windows – è “un ambiente di acquisizione pulito, certificato e privo di qualsiasi vulnerabilità a software malevoli“, così da garantire ogni volta la possibilità di acquisire in maniera forense e pulita nuove pagine web, eventualmente anche ripartendo dalla versione originaria della macchina virtuale.

Una volta scaricata la virtual machine di FAW dal sito ufficiale, consigliamo di verificare il valore hash MD5 del file “FAW51VM.rar” salvato sul proprio PC, per verificare che sia integro e non sia stato compromesso durante il download. Il codice MD5 della VM di FAW, un archivio di quasi 5 GB (contiene infatti un Sistema Operativo Windows completo) non è stato pubblicato sul sito, ma a fronte di un paio di download eseguiti in tempi diversi e da reti diverse a noi risulta essere 54a6de5a010dbc86ce834f1c89cdbb73.

A questo punto è sufficiente avviare Virtualbox e aprire la macchina virtuale FAW 5.1 VM.box contenuta all’interno dell’archivio RAR. Si avvierà un Sistema Operativo Windows 7 con l’applicazione FAW preinstallata e disponibile per l’avvio sul Desktop. Per chi si chiede la provenienza della VM, dal desktop rileviamo essere una delle macchine virtuali messe a disposizione da Microsoft stessa per il test del browser Internet Explorer 11.

Macchina virtuale Virtualbox con Windows 7 e FAW pre-installato e configurato

Avviando FAW otteniamo l’interfaccia che ricorda quella di un browser ma che fornisce alcune funzionalità e configurazioni aggiuntive. In particolare, risultano immediatamente evidenti, oltre a quella di “Navigation/Navigazione”, le funzioni di “Acquisition/Acquisizione”, “Set Capture Area/Impostazione dell’Area di Cattura” e “Acquire/Cattura”.

A questo punto è possibile procedere con la navigazione oppure con l’avvio della fase di acquisizione, che attiverà anche la registrazione del traffico di rete tramite Wireshark e del video tramite VLC, selezionando poi in seguito l’area della pagina da acquisire e attivando il salvataggio certificato della risorsa che verrà in un certo senso “congelata” sia sul PC sia, selezionandolo nelle impostazioni, sui server FAW. A differenza di soluzioni come Web Archive, Archive.is o Hashbot, FAW è in grado di acquisire in modo certificato anche pagine protette da credenziali, come Webmail o profili Facebook incluse gallerie di foto chat e permetterne la verifica da parte di terzi o l’utilizzo in Tribunale in procedimenti penali o civili.

Acquisizione Certificata Pagina Web con FAW

A seguito dell’acquisizione forense di una pagina web, FAW produrrà una cartella con il nome del progetto e un numero ordinale per ogni download all’interno del progetto, contenente i seguenti file e cartelle:

  • Acquisition.log: elenco delle operazione eseguite con il software FAW;
  • Acquisition.txt: riferimenti dell’acquisizione;
  • Acquisition.xml: riferimenti dell’acquisizione secondo lo standard DFXML;
  • Checking.faw: codice di controllo che permette di verificare se i file Acquisition.txt e Acquisition.xml non sono stati alterati
  • Code.htm: contiene tutto il codice HTML della pagina web;
  • CodeFrame{nomeframe}.htm: file con codice HTML del frame {nomeframe} se presente;
  • Headers.txt: contiene gli headers inviati al browser dalla pagina web;
  • hosts: copia del file hosts di windows al momento dell’acquisizione della pagina Web;
  • Image.png: immagine della pagina web delimitata dalla Gold Box in formato png a 24bit;
  • Image{numero}.png: file immagine con i ritagli dell’immagine completa della pagina Web acquisita con aspect-ratio 1,41 adatte ad essere stampate a pagina intera su fogli A4;
    SystemLogEvents.txt: eventi di windows avvenuti durante l’acquisizione della pagina Web;
    screenCapture.wmv: acquisizione tramiteVLC con la cattura dell’intero schermo del computer dall’inizio dell’acquisizione fino alla fine;
    Wireshark_{mac-address-network-interface}.pcap: traffico di rete acquisito tramite Wireshark avvenuto durante l’acquisizione della pagina Web;
  • Cartella Objects: elementi della pagina Web acquisiti numerati progressivamente con il formato [nnnnn]filename.ext.

Per poter salvare i file contenenti le copie forensi dei siti web acquisiti o delle pagine riversate sul PC sul quale è in esecuzione la macchina virtuale VirtualBox, suggeriamo d’impostare la condivisione delle cartelle nel menù Machine -> Settings -> Shared Folders di Virtualbox.

Configurazione shared folder per condividere la cartella di salvataggio delle acquisizioni dei siti web

Per chi desidera personalizzare ulteriormente il funzionamento di FAW, la sezione Configuration -> Preferences permette diverse scelte che possono condizionare la modalità con la quale avviene il salvataggio certificato delle pagine web a fini legali.

Il risultato dell’acquisizione cautelativa della pagina o del sito web può essere integrato in una perizia forense e andare a comporre una certificazione dell’esistenza di particolari pagine web, chat, gallerie d’immagini o video particolarmente utili in caso di diffamazione, calunnia, minacce, furto di proprietà intellettuale, plagio, clonazione e copia di contenuti protetti da copyright.


Contatta lo Studio d'Informatica ForensePer informazioni o preventivi contattate lo Studio d'Informatica Forense tramite la Pagina Contatti o compilando il modulo seguente.

    Nome o Ragione Sociale *

    Email *

    Telefono

    Messaggio *

    Ho letto l'informativa sul trattamento dati *
    Do il mio consenso al trattamento dati *


    Informazioni su Paolo Dal Checco

    Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.
    Questa voce è stata pubblicata in software e contrassegnata con , , , , , , , , , . Contrassegna il permalink.