Utilizzo

L'utilizzo ad alto livello non è molto dissimile dalla precedente implementazione, si è voluto fortemente mantenere lo stesso approccio del meta-browser adottato nella fase 1, dato che lo si è reputato il più adatto e semplice per lo scopo prefissato.

In generale, mantenere una coerenza di utilizzo con quanto già a conoscenza dell'utente risulta una buona strategia poiché aiuterà l'utilizzatore ad avere una curva di apprendimento che risulti la meno ripida possibile, così da rendere la fruizione del servizio più proficua e soddisfacente. Questo aspetto risulterà non secondario anche in fase di perizia tecnica, quando sarà necessario spiegare le procedure adottate a lettori che, con elevata probabilità, non saranno avvezzi a tecnicismi e poco apprezzerebbero ritrovarsi davanti soluzioni “aliene”. Risulterà quindi strategicamente importante poter usare un vocabolario comune che non dia adito a dubbi o malsane e libere interpretazioni, tali da mettere in cattiva luce la prova generata.

Massimiliano Dal Cero – Sistema server-side di acquisizione forense di contenuti Web asincroni

L'utilizzo, come già ampiamente descritto per la fase 1, sarà tutto veicolato da un normale browser e la fase di acquisizione potrà essere compiuta tramite un “semplice” click, che alla sua attuazione metterà insieme tutti i pezzi necessari alla realizzazione di un archivio finale che conterrà:

1. il codice finale della pagina acquisita, 2. il codice raw della prima richiesta HTTP,

3. tutte le risorse (immagini, video, css, js, …) legate alla pagina,

4. per ogni risorsa scaricata al punto 3 e i codici HTML di cui al punto 1 e 2, saranno tenuti traccia le response HTTP e gli eventuali redirect che hanno portato alla risorsa,

5. il video della sessione di acquisizione, che comprenderà quindi tutta la fase di navigazione precedente che ha portato all'individuazione della risorsa acquisita, 6. il dump completo del traffico di rete di tutta la sessione (compatibile con

WireShark),

7. le master key SSL/TLS adottate dal browser, necessarie a decifrare il dump di rete in merito alle richieste veicolate tramite protocollo HTTPS,

8. un report finale marcato temporalmente che descriverà l'attività svolta e gli strumenti utilizzati, oltre a riportare gli hash di tutte le risorse presenti in archivio e i relativi riferimenti temporali

Di seguito si darà una panoramica dell'utilizzo raccontandone la storia di interazione.

Fruizione come servizio

L'utente si collega al portale Web del servizio, si registra con fornendo le proprie generalità e una volta approvata la sua iscrizione potrà accedere alla propria dashboard facendo uso delle credenziali assegnategli.

Una volta acceduto alla propria dashboard, potrà visionare le acquisizioni svolte oppure decidere di avviarne una nuova se il credito a disposizione lo permette.

Nel caso in cui l'utente decida di procedere con una nuova acquisizione, si aprirà una pagina con al suo interno annidata una seconda pagina contenente l'interfaccia del

browser forense, con precaricata una land-page nella quale si fornirà una panoramica che potrà aiutare l'utente ad orientarsi con lo strumento.

L'interfaccia del meta-browser è stata pensata volutamente per essere la più minimale possibile, rimuovendo ogni componente superfluo che potesse contribuire a creare confusione a chi dovrà fruire della prova generata la quale conterrà, si ricorda, sia codice sorgente che le risorse del contenuto Web di interesse, oltre che la registrazione video completa della sessione dell'attività e tutto il traffico di rete generato. Sarà quindi importante generare un contenuto fruibile nella maniera più lineare possibile, impedendo all’utente ogni genere di utilizzo che possa generare confusione in chi effettuerà la visione del video o analizzerà il traffico di rete. A tal proposito sono stati rimossi i tasti con le opzioni classiche di un browser, tra cui “l'avanti e indietro”, così da obbligare l'operatore ad andare solamente avanti o eventualmente poter esplicitare un nuovo indirizzo nella barra di navigazione seguito da un chiaro click sul pulsante “vai”. Altra caratteristica introdotta è l'impossibilità di utilizzare la tastiera fisica del proprio computer, rimandando tale funzionalità alla tastiera virtuale attivabile dal relativo pulsante presente sulla barra di navigazione del meta-browser. Questo accorgimento è stato apportato in quanto, se è possibile registrare un video della sessione di quanto avviene nello schermo virtuale, non è possibile registrare ciò che avviene dall'altra parte dello schermo e, più precisamente, le mani che operano sulla tastiera. L'introduzione della tastiera virtuale ha quindi l'obiettivo di rendere l'attività di acquisizione la più esplicita possibile durante la fruizione del video da parte di terzi soggetti, che avranno così modo di vedere in maniera chiara ed evidente anche quali tasti sono stati premuti sulla tastiera, per dissolvere qualsiasi ragionevole dubbio sulla possibilità di attribuire all'operatore la composizione di qualche esotica combinazione della tastiera che possa aver apportato alterazioni nel contenuto.

Giunti a questo punto, risulta abbastanza chiaro che l'utente avrà di fronte un sistema che in fase di acquisizione gli permetterà di effettuare una navigazione relativamente normale e forzatamente guidata a generare un contenuto il più lineare possibile. Una volta che l'operatore sia giunto al contenuto Web di interesse non dovrà fare altro che finalizzare il tutto spingendo il solo pulsante con sopra scritta l'etichetta “finalizza” che, a quel punto, darà il via al salvataggio sia del codice sorgente “raw” del contenuto che del codice sorgente puntuale della rappresentazione del DOM in quel momento visualizzato dal meta-browser, e il tutto sarà completato delle singole risorse statiche richieste. Una volta acquisiti i contenuti di interesse il tutto sarà cristallizzato insieme ai

Massimiliano Dal Cero – Sistema server-side di acquisizione forense di contenuti Web asincroni

log HTTP di tutti i contenuti richiesti dal browser, alla registrazione video della sessione e al traffico di rete generato dall'inizio alla fine della sessione. In conclusione, per ogni file prodotto sarà generato un hash SHA1 che ne garantisca l'integrità.

Fruizione come sistema live

Come modalità di fruizione si è valutata anche la possibilità di non offrire il prodotto come servizio ospitato su server di terze parti, ma di distribuirlo sotto forma di ISO “live” che ogni utente potrà autonomamente avviare su di un proprio sistema.

La fruizione tramite sistema “live” avrebbe il vantaggio di non pretendere da parte dell’utente la predisposizione di un sistema e l’investimento di tempo per le relative configurazioni, ma gli pemetterebbe di usufruire di un sistema già pensato per essere “pronto all'uso”, da avviare o su una macchina fisica o una macchina virtuale, potendo quindi creare all'occorrenza delle workstation atte all'acquisizione di contenuti Web. La dinamica di utilizzo non sarà molto differente da quella precedentemente illustrata, se non che l'utente dovrà collegarsi all'indirizzo IP della macchina e non avrà necessità di registrarsi in quanto la dashboard sarà fruibile senza credenziali specifiche.