Acquisizione forense di pagine web: obiettivi, approcci e metodologie — HackInBo 2021

Il 29 maggio 2021 si svolgerà la nuova edizione di HackInBo, la prima e più attesa conferenza gratuita su sicurezza informatica e hacking, che ogni anno attira migliaia di partecipanti da tutta la penisola.

Il programma è ricco di interventi interessanti e io sarò impegnato con la realizzazione di un laboratorio interamente dedicato al processo di preservazione delle prove presenti sul web:

Questo intervento si svolgerà sotto forma di laboratorio per l’acquisizione forense di pagine web. Nello specifico ragioneremo su una metodologia che si possa poi applicare a vari strumenti, a seconda dei casi. Mostrerò alcuni esempi di acquisizioni e ne approfitteremo per una discussione comparativa e il ruolo dei vari tool quali Wireshark, OSIRT Browser, mitmproxy, Archiveweb.page, Carbon14 e i siti di archiviazione come WayBack Machine.

Si tratta di un argomento sempre più rilevante, in quanto cristallizzare il contenuto di pagine web, articoli di giornale, blog e social network è spesso utile nei procedimenti legali per difendersi o tutelare i propri interessi.

Indicazioni operative

L’evento si svolgerà interamente online e sarà trasmesso in streaming. I biglietti per iscriversi e partecipare ai vari laboratori di questa Lab Edition saranno disponibili a partire dal 6 maggio (domani) alle 10:00. Fate riferimento direttamente al sito ufficiale di HackInBo per l’iscrizione.

Riguardo il mio intervento, per seguirlo attivamente vi sarà necessario scaricare un po’ di software: alcuni sono multipiattaforma, altri funzionano solo su Windows. Per questo è caldamente consigliata una VM con Windows 7 o 10 scaricabile da qui.

Multipiattaforma:

Programmi per Windows:

Vi aspetto il 29 maggio!

Materiale

Potete scaricare le slide del mio intervento cliccando qui.

Il video è stato reso disponibile sul canale YouTube di HackInBo e potete vederlo qui sotto:

Webinar su RecuperaBit e l’analisi forense di NTFS — 3 marzo 2021

Nell’ambito del ciclo di seminari che seguono la conclusione della Open Source Digital Forensics Conference 2020, sono stato invitato a tenere un intervento online che si svolgerà il mese prossimo.

L’incontro, organizzato da Basis Technology, verterà sull’analisi forense di partizioni NTFS. In particolare, parlerò di RecuperaBit, il mio software per la ricostruzione di file system NTFS danneggiati. Il webinar è destinato a un pubblico internazionale, perciò sarà interamente in lingua inglese.

La diretta avrà luogo il 3 marzo 2021 a partire dalle 17:00, ora italiana. La registrazione sarà disponibile esclusivamente per chi si sarà registrato (gratuitamente) all’evento.

Questo è l’abstract:

RecuperaBit: Present and Future of NTFS Reconstruction

File system corruption, either accidental or intentional, may compromise the ability to access and recover the contents of files during data recovery and digital forensics activities. Conventional techniques, such as file carving, allow for the recovery of file contents partially, without considering the file system structure. However, the loss of metadata may prevent the attribution of meaning to extracted contents, given by file names or timestamps. RecuperaBit implements a signature recognition process that matches and parses known file records, followed by a bottom-up reconstruction algorithm which is able to recover the structure of the file system by rebuilding the entire tree, or multiple subtrees if the upper nodes are missing. Partition geometry is determined even if the boundaries are unknown by applying an approximate string matching algorithm.

This talk aims to introduce the algorithms used by RecuperaBit and to discuss future plans to make the tool more usable, streamlined and user-friendly by re-thinking its command line user interface.

Per prenotare il vostro posto e seguire il webinar, potete utilizzare il link:

Iscrizione al webinar

Vi aspetto numerosi!

Materiale

Potete scaricare le slide del mio intervento cliccando qui.

Il video del webinar è stato reso disponibile sul canale YouTube di Basis Technology e potete vederlo qui sotto:

Locandina di "ONIF Digital Forensics Webinar 2020"

ONIF Digital Forensics Webinar 2020 — 03/12/2020

L’associazione ONIF (Osservatorio Nazionale Informatica Forense) organizza un seminario online completamente gratuito, con l’obiettivo di consentire, anche in questo periodo di restrizioni, di poter accedere ad un aggiornamento professionale con i migliori esperti del settore.

Il webinar sulla Digital Forensics è particolarmente indicato per consulenti tecnici, avvocati e professionisti informatici. Nello specifico, il programma propone interventi relativi a multimedia forensics, mobile forensics e attività di OSINT e acquisizione forense di Instagram:

  • 15:00 · Saluti del Presidente C3I
    Ing. Armando Zambrano
  • 15:05 · Introduzione del Presidente ONIF
    Paolo Reale, delegato C3I Ordine di Roma
  • 15:15 · Multimedia Forensics nell’era della computational photography
    Massimo Iuliani
  • 15:40 · Data validation di informazioni derivanti da estrazione mobile con altri elementi
    Nicola Chemello
  • 16:05 · Uso delle API di Instagram per l’acquisizione forense
    Andrea Lazzarotto
  • 16:30 · Mac computer data access with MacQuisition
    Tim Thorne, Senior Solutions Expert at Cellebrite
  • 16:50 · Sponsored talk
    Cellebrite
  • 17:10 · Q&A e saluti
    Paolo Reale, delegato C3I Ordine di Roma

L’evento, moderato da Ugo Lopez, è organizzato con il patrocinio del Comitato Italiano Ingegneria dell’Informazione C3I, dell’Ordine degli Ingegneri di Roma e di Bari e la collaborazione di Cellebrite.

Per partecipare è obbligatorio procedere all’iscrizione gratuita sulla piattaforma EventBrite, facendo click sul seguente pulsante. Il numero di posti è limitato.

Iscrizione al webinar

Materiale

Potete scaricare il materiale (slide e esempi di codice) del mio intervento cliccando qui.

I video dei talk sono stati pubblicati in una playlist su YouTube. Nel video incorporato qui sotto potete cliccare sul tasto in alto a destra per accedere agli altri contenuti:

Falsificazione dei messaggi WhatsApp sui dispositivi Android e iOS — Treviso Forensic 2020

Dal 30 settembre al 2 ottobre 2020 si terrà la terza edizione di Treviso Forensic, uno dei principali appuntamenti tra professionisti (tecnici, avvocati, magistrati, …) che operano nel settore delle scienze tecniche applicate in ambito forense.

L’evento è organizzato dall’Ordine degli Ingegneri di Treviso e favorisce la figura del tecnico forense, con un approccio multidisciplinare che coinvolge diverse scienze.

La mattina del 2 ottobre conterrà una sessione interamente dedicata alla digital forensics e parteciperò con un intervento intitolato “Falsificazione dei messaggi WhatsApp sui dispositivi Android e iOS”.

Qui ve ne anticipo l’introduzione:

In Italia WhatsApp è la piattaforma di messaggistica istantanea più popolare in assoluto, con una penetrazione del mercato dell’84%. Questo fa sì che la produzione delle relative conversazioni si presenti sempre più frequentemente in vari procedimenti. I consulenti tecnici sono chiamati ad estrarre le chat dai dispositivi personali delle parti, in quanto il contenuto dei messaggi non viene conservato sui server.

Trattandosi di messaggi non riscontrabili dai tabulati telefonici, si pone il problema di valutare la genuinità e l’integrità del contenuto delle chat. Il presente lavoro è nato con lo scopo di verificare se fosse possibile per un utente falsificare i messaggi WhatsApp all’interno del proprio dispositivo, con Android o iOS.

Il talk conterrà un breve riassunto di un argomento che ho già avuto modo di trattare l’anno scorso al convegno ONIF, per poi presentare per la prima volta in assoluto una dimostrazione di messaggi WhatsApp falsificati su iOS.

Quest’anno, data la particolare situazione sanitaria causata dalla diffusione del Covid-19, il seminario si terrà in modalità webinar tramite la piattaforma Zoom.

Ciò significa che non potremo godere della vista di una città bella come Treviso, in compenso la partecipazione potrà essere estesa anche alle persone che si trovano più lontano.

Trovate tutti i dettagli relativi a programma e iscrizione sul sito ufficiale di Treviso Forensic.

Acquisizione forense di un profilo Instagram

Al giorno d’oggi capita sempre più frequentemente di dover acquisire delle prove dai siti web, in particolar modo dai social network. Ci si trova quindi a dover “cristallizzare” il contenuto di una pagina prima che venga alterato oppure cancellato.

Il caso più classico è quello della diffamazione a mezzo Internet: la vittima del fatto ha la necessità di certificare l’offesa alla propria reputazione, avvenuta tramite un commento su un blog o un post su Facebook.

Un’altra circostanza piuttosto frequente è la tutela della proprietà intellettuale e industriale. Le pagine social aziendali attirano potenziali clienti e sono un ottimo strumento di marketing. Dei soggetti terzi potrebbero sfruttare illecitamente marchi, foto di prodotti o contenuti altrui a proprio vantaggio.

Quest’ultimo è un caso che mi è capitato recentemente: la pagina Instagram di un’azienda è stata indebitamente acceduta da una persona che se ne è appropriata, cambiandone il marchio e i dati di contatto. Questo fatto ha comportato l’alterazione di dati informatici (vedasi art. 635 bis c.p.), nonché un evidente danno all’azienda in quanto si è vista sottrarre anche numerose foto dei propri prodotti e i follower della pagina.

Lo screenshot non basta

In tutti questi casi c’è da fare una breve ma importantissima precisazione. Purtroppo alcune persone ritengono ancora sufficiente l’utilizzo degli screenshot come “prova” in un procedimento civile o penale. Il pensiero comune è:

Ho fatto lo screenshot! Ora lo trasmetto al mio avvocato e ti querelo!

Questo ragionamento fa acqua da tutte le parti.

Uno screenshot, vale a dire l’immagine dello schermo (o presunta tale) che “cattura” il contenuto di un sito web o una chat, non si può considerare una prova valida.

Il contenuto di una schermata può essere infatti alterato sia prima che dopo aver prodotto lo “scatto”. Tutto questo non richiede conoscenze tecniche particolarmente elevate, specialmente per le pagine web.

Se non vi ho convinto, potete sempre farmi i complimenti per la mia nomina a “Persona dell’anno 2019”. 😉

Esempio di screenshot assolutamente falso, creato solamente per scopi illustrativi

Ovviamente avrete capito che l’immagine qui sopra non è reale. Ma il punto è che si tratta veramente di una notizia comparsa online, che però è stata modificata prima di catturare la schermata.

Questa è una operazione alla portata di molti (se non quasi tutti), ma anche la modifica dell’immagine a posteriori è un rischio non indifferente.

Per questi motivi, la raccolta della prova che un contenuto è stato pubblicato non si può limitare a uno screenshot. Si deve procedere a cristallizzare la pagina in modo adeguato, prima che venga ulteriormente modificata o rimossa.

Acquisizione di base con i siti di archiviazione

Quasi tutti i profili Instagram sono pubblicamente accessibili. Questo perché Instagram è una vetrina dove le aziende possono rendersi visibili e condividere foto dei prodotti o altri contenuti interessanti per aumentare il proprio seguito.

Anche le persone non iscritte possono vedere i profili, utilizzando un semplice browser web. Pertanto, queste pagine si possono cristallizzare in modo semplice come molti altri siti.

Prendiamo ad esempio il profilo della nota catena statunitense Target: https://www.instagram.com/target/

Il modo più facile di cristallizzare pagine pubbliche come questa è adoperare i siti di archiviazione. Questi strumenti forniscono all’utente la possibilità di inserire l’indirizzo (URL) di un documento informatico pubblicato sul web, producendone quindi una copia informatica.

I principali sono:

Esistono anche degli strumenti molto più sofisticati e costosi, come ad esempio FAW, usati professionalmente da chi si occupa di digital forensics. Tuttavia, qui mi voglio focalizzare su degli strumenti di base e relativamente semplici.

I siti di archiviazione sono mezzi gratuiti e alla portata di tutti, che permettono di agire in fretta quando si teme che un contenuto compromettente possa essere cancellato, anche prima di essersi rivolti a un consulente tecnico specializzato e/o a un avvocato.

Per acquisire un contenuto con Wayback Machine, bisogna inserirne l’URL nell’apposito modulo di salvataggio, attivare l’opzione che salva anche lo screenshot e poi procedere col pulsante Save Page.

Cristallizzazione di una pagina con la Wayback Machine

A questo punto, Wayback Machine simulerà l’azione di un vero browser e acquisirà il contenuto della pagina comprensivo di codice sorgente (HTML, CSS, JS) e risorse statiche (immagini e eventuali allegati PDF).

Al termine della procedura, si otterranno due link permanenti che certificano lo stato della pagina al momento del salvataggio:

Con Archive.today la procedura è molto simile, con la differenza che si ottiene un unico link da cui si può vedere una riproduzione fedele della pagina e la relativa schermata.

Nel nostro esempio: https://archive.md/0kTgO

Generalmente le pagine cristallizzate con Archive.today sono un pochino più fedeli all’originale, ma non è una regola ferrea e va presa con le pinze. In ogni caso, le pagine acquisite con Wayback Machine conservano i nomi originali dei file multimediali (che potrebbero essere assai importanti).

Pertanto è spesso opportuno provare a fare l’acquisizione con entrambi gli strumenti, salvando poi gli URL delle copie così ottenute. I due siti forniscono anche gli screenshot, ma essi sono solamente a supporto dell’acquisizione e non la sostituiscono.

Una cosa utile da ricordare è che le pagine salvate su Archive.today possono venire indicizzate dai motori di ricerca. Per questo motivo, potrebbe essere preferibile non usare questo strumento se si ha a che fare con dei contenuti diffamatori.

Usando questa semplice procedura siamo già in una situazione mille volte migliore di chi si ritrova ad aver catturato solo una schermata.

Estrazione dei metadati

Apparentemente, quanto discusso prima sembra coprire al 100% la necessità di acquisire un profilo Instagram. Ma se avete mai adoperato questo social network tramite app, vi sarà venuta in mente la frase idiomatica:

There is more than meets the eye

Infatti il problema fondamentale in questo caso è che un profilo Instagram visualizzato tramite pagina web non contiene tutte le informazioni ottenibili con l’app.

Per esempio, ecco cosa succede con la versione iOS di Instagram:

Target ha indicato un numero di telefono e un indirizzo email che compaiono tramite il tasto Contatta. Tuttavia non c’è traccia di questi dati nella versione web di Instagram. Questo significa che sarebbe impossibile acquisirli dal sito, anche usando strumenti professionali.

Per ovviare a questo problema, possiamo attuare una procedura che simula il comportamento dell’applicazione ufficiale di Instagram usando le relative API private.

Questa parte è più complessa ed è dedicata agli addetti ai lavori, in quanto richiede la realizzazione di un piccolo software.

Dopo aver registrato un account di test su Instagram, possiamo creare un breve programma in linguaggio PHP che sfrutti la libreria Instagram-API. Prima di tutto, è necessario installare la libreria con Composer:

composer require mgp25/instagram-php

Poi si può adattare uno dei tanti semplici esempi già forniti su GitHub. In particolare, bisogna instanziare la classe e provvedere al login con l’utente di prova:

$ig = new \InstagramAPI\Instagram();
try {
    $ig->login($username, $password);
} catch (\Exception $e) {
    echo 'Something went wrong: ' . $e->getMessage() . "\n";
    exit(0);
}

Poi si possono richiedere tutti i metadati del profilo Instagram:

$ig->debug = true;
$userId = $ig->people->getUserIdForName('target');
$information = $ig->people->getInfoById($userId);

L’output sarà simile al seguente:

GET:  https://i.instagram.com/api/v1/users/209372398/info/
→ 0B
← 200 	 1.28kB
RESPONSE: {"user": {"pk": 209372398, "username": "target", "full_name": "Target", "is_private": false, "profile_pic_url": "https://instagram.fmxp1-1.fna.fbcdn.net/v/t51.2885-19/s150x150/10616997_545412705606932_1457477944_a.jpg?_nc_ht=instagram.fmxp1-1.fna.fbcdn.net\u0026_nc_ohc=qznruIvb6aYAX9yMilW\u0026oh=ffd42565e3e93beec8d527f54e17f72c\u0026oe=5EABFBBC", "is_verified": true, "has_anonymous_profile_picture": false, "media_count": 1647, "geo_media_count": 0, "follower_count": 4259469, "following_count": 5011, "following_tag_count": 12, "biography": "Your happy place on Instagram. \u2728\nTag @Target in your pics for a chance to be featured.\nShop our feed:", "biography_with_entities": {"raw_text": "Your happy place on Instagram. \u2728\nTag @Target in your pics for a chance to be featured.\nShop our feed:", "entities": [{"user": {"id": 209372398, "username": "target"}}]}, "external_url": "http://tgt.biz/ShopTarget", "external_lynx_url": "https://l.instagram.com/?u=http%3A%2F%2Ftgt.biz%2FShopTarget\u0026e=ATPSau2TC3aUeL8YfryH5-RiMm6G6Tpd07GDJANXe9moIp23lH-fHFfJd7EPb-PlwqdxztXSpN8bAEYPpw", "total_igtv_videos": 7, "has_igtv_series": false, "total_ar_effects": 0, "usertags_count": 2829304, "is_favorite": false, "is_favorite_for_stories": false, "is_favorite_for_highlights": false, "live_subscription_status": "default", "is_interest_account": true, "has_recommend_accounts": false, "has_chaining": true, "hd_profile_pic_url_info": {"url": "https://instagram.fmxp1-1.fna.fbcdn.net/v/t51.2885-19/10616997_545412705606932_1457477944_a.jpg?_nc_ht=instagram.fmxp1-1.fna.fbcdn.net\u0026_nc_ohc=qznruIvb6aYAX9yMilW\u0026oh=955504de4807130f11983896ece1e7a4\u0026oe=5E9D0CC6", "width": 180, "height": 180}, "mutual_followers_count": 0, "show_shoppable_feed": true, "shoppable_posts_count": 253, "can_be_reported_as_fraud": true, "merchant_checkout_style": "none", "has_highlight_reels": true, "direct_messaging": "UNKNOWN", "fb_page_call_to_action_id": "", "address_street": "", "business_contact_method": "CALL", "category": "Retail Company", "city_id": 0, "city_name": "", "contact_phone_number": "+18004400680", "is_call_to_action_enabled": false, "latitude": 0.0, "longitude": 0.0, "public_email": "target.SocialMedia@target.com", "public_phone_country_code": "1", "public_phone_number": "8004400680", "zip": "", "instagram_location_id": "", "is_business": true, "account_type": 2, "can_hide_category": true, "can_hide_public_contacts": true, "should_show_category": true, "should_show_public_contacts": true, "should_show_tabbed_inbox": false, "can_see_primary_country_in_settings": false, "include_direct_blacklist_status": true, "is_potential_business": true, "is_bestie": false, "has_unseen_besties_media": false, "show_account_transparency_details": true, "show_leave_feedback": false, "auto_expand_chaining": false, "highlight_reshare_disabled": false, "show_post_insights_entry_point": false, "about_your_account_bloks_entrypoint_enabled": false}, "status": "ok"}

In particolare, all’interno della risposta JSON è possibile individuare i seguenti campi:

"public_email": "target.SocialMedia@target.com",
"public_phone_country_code": "1",
"public_phone_number": "8004400680",

Consiglio di prestare molta attenzione al codice numerico instagram_location_id, anche se non è sempre presente. Questo valore è estremamente interessante perché permette di collegare una pagina Instagram a una pagina Facebook.

Prendendo come esempio l’account Instagram ikeauk, si ottiene il codice 187578611279774, da cui si ricava immediatamente un valido URL su Facebook: https://www.facebook.com/187578611279774/

Considerazioni finali

Grazie ai siti di archiviazione è possibile procedere a una prima cristallizzazione “di base” di un profilo Instagram. Simulando invece il comportamento dell’app per cellulari si può accedere a molti altri metadati, non altrimenti visibili.

L’ultimo consiglio che vi posso dare è quello di unire la procedura in PHP all’uso di mitmproxy per registrare tutti i flussi HTTPS intercorsi durante l’acquisizione. Vi basterà avviarlo e assicurarvi che il proxy sia correttamente impostato nel codice PHP:

$ig->setProxy('http://127.0.0.1:8080');
$ig->setVerifySSL(false);

Così facendo, potrete finalizzare il lavoro producendo il file registrato da mitmproxy, lo script di acquisizione, il relativo output ridirezionato in un file di testo e un breve report in PDF dentro a un archivio ZIP. Alla fine basterà apporre la firma digitale e la marca temporale.


Aggiornamento del 6 gennaio 2020: in seguito al graditissimo suggerimento di Paolo Dal Checco, ho aggiunto una precisazione sul fatto che le pagine memorizzate da Archive.today sono indicizzabili dai motori di ricerca.