Il sopralluogo virtuale

Il sopralluogo virtuale è l’insieme di azioni da eseguire per individuare online le fonti di prova digitali, a riscontro delle dichiarazioni rese dal cliente. Il punto di partenza può essere, ad esempio, un indirizzo (via e città), un nickname, un’email, oppure un qualsiasi oggetto su cui si vuole indagare.

Le ricerche vanno fatte su una macchina virtuale contenente strumenti quali:

• un browser con impostazioni di antitracciamento e plug-in configurate ad hoc
• un software di screencasting, che consenta di realizzare un rilievo tecnico di tipo video
• uno sniffer dedicato alla memorizzazione dell’intero traffico di rete, come ad esempio Wireshark
• un software di multi-hashing in grado di validare l’integrità del contenuto informativo dei dati acquisiti

L’acquisizione forense delle prove trovate deve essere tale da dimostrare la non alterabilità di ciò che è stato acquisito. Pertanto, dopo aver avviato le attività di screencasting e di sniffing, si dovrà avere anche una marcatura temporale, ad esempio ottenuta mediante opentimestamps.org

Per acquisire una risorsa web (una pagina oppure un intero sito), le risorse a disposizione sono:

• HTTrack e Wget
• FAW – Forensics Acquisition of Websites (con validazione forense)

L’ultimo passo è la redazione di una relazione tecnica in cui presentare le prove individuate ed i collegamenti logico-deduttivi.

Il sopralluogo virtuale è un tipo di indagine che, nella mia eperienza, si è rivelato utile anche nelle controversie non specificamente di categoria informatica. Ciò perché oggigiorno su Internet si trova di tutto (anche documenti del passato, digitalizzati!) e tutto è collegato ad Internet. Di qui la crucialità dell’apporto delle ricerche OSINT (= Open Source INTelligence).