Determinare la data in cui è stata scritta una pagina web

Qualche tempo fa mi è stato proposto di scrivere un articolo per la rivista ICT Security Magazine. Ho trattato una tematica che torna utile in molti casi di indagini da fonti aperte o di consulenze in ambito di digital forensics:

Durante le attività di OSINT (Open Source Intelligence) si può riscontrare l’esigenza di attribuire una datazione più precisa possibile ad una pagina web. Talvolta può essere necessario riuscire ad individuare un giorno o addirittura un orario ascrivibile alla creazione della pagina, ad esempio per rilevare casi di contraffazione della stessa.

Per l’occasione ho anche sviluppato e rilasciato un software open source per automatizzare il processo di datazione di una pagina, che ho chiamato Carbon14. Potete leggere l’articolo completo Datazione delle pagine web tramite Carbon14 direttamente sul sito della rivista.

Se invece avete bisogno di consulenza professionale, eventualmente nella forma di consulenza tecnica utilizzabile anche in giudizio, contattatemi tramite l’apposita pagina.

6 pensieri riguardo “Determinare la data in cui è stata scritta una pagina web

  1. Ma che affidabilità forense può avere chiedere al server la data, visto che può facilmente taroccarla?
    Basta un colpo di touch -t 198111220830 index.html dato sul server e voilà, la tua pagina web risulta arrivare dal 1981.
    Ci son servizi come archive.org ma ovviamente non è onnisciente.

    L’argomento è vasto, e non avrei la competenza per trattarlo.

    Si può marcare temporalmente il download di una pagina e garantire che ad una certa data era già stata scritta.

    Si può cercare altre pagine che fanno riferimento a quella in questione ed usare le loro date come un indizio, ma anche quelle non sono “sicure ed incontrovertibili”.

    1. Il fatto è che quanto proponi ha due requisiti fondamentali: il primo è che l’utente abbia accesso FTP o SSH al server su cui è ospitato il sito web (io per esempio non potrei fare una cosa simile su questo blog, ospitato come altri milioni di blog su una piattaforma esterna). Il secondo è che l’utente sia in grado di modificare in modo coerente le date di tutti gli elementi e della pagina.

      La maggioranza non lo è e non ha neppure idea di cosa sia l’antiforensics.

      La possibilità di effettuare un timestomping esiste anche nel caso di file rinvenuti su un computer, resta il fatto che praticamente in ogni indagine si procedere a produrre una timeline dei file e poi eventualmente si valuta se possono esserci state alterazioni. Inoltre, ovviamente non è sufficiente acquisire i timestamp se non se ne fa poi un’analisi critica nel contesto degli altri elementi a disposizione.

      Tanto per fare un esempio, questa tecnica può essere usata (ed è stata usata) con successo per supportare eventuali accuse che si possono muovere a qualcuno che passa il tempo a bloggare durante l’orario di lavoro. Se gli orari supportano l’ipotesi, è piuttosto probabile che il giudice li considererà attendibili in quanto non avrebbe senso alterarli per auto-incolparsi.

      Alla fine dei conti comunque iudex peritus peritorum.

    1. Utilizzare il contenuto dell’HTML per la datazione della pagina è una strategia inefficace per i motivi esposti nell’articolo pubblicato su ICT Security Magazine.

      Risulta più opportuno procedere con l’analisi degli header (con Carbon14 o manualmente, cambia poco).

  2. Buongiorno, ho seguito la sua relazione su HackInBo di un anno fa e ho appreso cher ha sviluppato Carbon14. Sono un cfda della Guardia di Finanza di Ferrara. Mi chiedevo se il software era disponibile e in che termini. Grazie

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *