Acquisizione forense FTP / SFTP — copia di un server remoto

Il modulo FTP/SFTP di C.E.R.T.O. esegue la copia forense del contenuto di un server remoto via FTP, FTPS o SFTP: si connette in sola lettura — senza modificare, cancellare o alterare alcun file — e scarica ricorsivamente il filesystem, conservandone la mappa ad albero e calcolando gli hash di ogni file. Tutto è sigillato come prova digitale con doppia marca RFC 3161 e firma Ed25519. È lo strumento per CTU, CTP, periti, avvocati e forze dell'ordine che devono cristallizzare il contenuto di un sito o di un server.

Caratteristiche principali

Cosa fa questo modulo.

Supporto FTP, FTPS e SFTP con walker unificato ricorsivo.
Snapshot opzionale dell'albero del server (server-snapshot.json).
Verifica integrità con hash per ciascun file scaricato.
Cap di sicurezza su profondità, numero file, tempo e dimensione.
Fascicolo BagIt 1.0 firmato Ed25519, doppia marca RFC 3161 e CASE/UCO.

Report forense finale: il cruscotto interattivo del fascicolo FTP — riepilogo, albero del server, file acquisiti, inventario hash, connessione e protocollo, informazioni di rete e di sistema, catena di custodia e verifica integrità.

Non invasivo

Sola lettura, copia ricorsiva.

C.E.R.T.O. si collega al server come un osservatore: legge e copia, senza mai scrivere. Ricostruisce l'intera struttura remota e ne preserva la mappa, file per file.

Accesso in sola lettura

Il sistema non modifica, non cancella e non altera alcun file sul server remoto: si limita a leggerli e a copiarli, preservando lo stato originale — requisito essenziale per la genuinità della prova.

Copia ricorsiva del filesystem

Scansione e download ricorsivi a partire dal percorso scelto: si può acquisire tutto, oppure selezionare singole cartelle e file. Ogni elemento è scaricato con il proprio percorso e i timestamp.

Mappa ad albero del server

La struttura completa del server (cartelle, file, dimensioni, date) è ricostruita e conservata come albero: la fotografia dell'organizzazione del filesystem remoto al momento dell'acquisizione.

FTP · FTPS · SFTP

Connessione su FTP, FTPS (TLS) o SFTP (SSH). Host, porta, protocollo, software del server, IP e informazioni di rete sono documentati nel fascicolo. Tariffa fissa, indipendente da dimensione e numero di file.

Il navigatore remoto: l'operatore esplora le cartelle del server (con dimensioni e date), attiva le opzioni «Ricorsiva» e «Snapshot del server» e seleziona cosa acquisire — oppure lascia vuoto per copiare tutto.

Pipeline forense

Come opera il modulo.

Una procedura ripetibile e documentata: dalla connessione in sola lettura al sigillo crittografico, ogni file copiato lascia una traccia verificabile dentro il fascicolo.

01 · NTP

Tempo sincronizzato

Sincronizzazione NTP multi-sorgente con offset documentato: la finestra di acquisizione è ancorata.

02 · CONNECT

Connessione sola lettura

Connessione FTP/FTPS/SFTP in accesso di sola lettura; si registrano host, porta, protocollo, software del server e informazioni di rete (DNS, WHOIS, traceroute).

03 · TREE

Mappa del server

Enumerazione ricorsiva del filesystem remoto: cartelle, file, dimensioni e date vengono raccolti per costruire la mappa ad albero del server.

04 · MIRROR

Copia dei file

Download dei file selezionati (o di tutto) preservando la struttura delle cartelle: un mirror fedele del contenuto remoto, senza alcuna scrittura sul server.

05 · HASH

Impronte

Hash crittografici MD5/SHA-1/SHA-256/SHA-512 (FIPS 180-4) di ogni file copiato, inventariati: la base della verifica di integrità file per file.

06 · REPORT

Report e marca

Generazione del report forense (PDF + TXT) con la mappa del server e marca temporale RFC 3161 — cascata gratuita, InfoCert qualificata eIDAS opzionale.

07 · SEAL

Firma e doppia marca

manifest.json firmato Ed25519 + doppia marca RFC 3161, confezionamento in fascicolo BagIt 1.0 con descrizione CASE/UCO e verificatori verify.sh / verify.bat.

Contenuto del fascicolo

Tutto ciò che viene generato.

Ogni acquisizione produce un insieme coordinato di artefatti, ciascuno con un ruolo forense preciso, organizzati in cartelle dai nomi parlanti dentro data/.

Mirror dei file

La copia fedele dei file scaricati dal server, conservati con la struttura delle cartelle originale: è il media autoritativo del fascicolo.

evidence/files/

Albero del server

La mappa completa del filesystem remoto (cartelle, file, dimensioni, date), anche per gli elementi non scaricati: la fotografia della struttura del server.

reports/server-tree.txt

Inventario hash

La quaterna di hash crittografici (MD5/SHA-1/SHA-256/SHA-512) di ogni file copiato: la base della verifica di integrità ripetibile da chiunque.

hashes/file-hashes.json

Connessione e rete

I dettagli della connessione (host, porta, protocollo, software server) e le informazioni di rete: DNS, WHOIS, traceroute verso il server.

network/connection-info.txt · whois.txt

Informazioni di sistema e log

Lo snapshot dell'ambiente operatore e il log cronologico di ogni passaggio dell'acquisizione, per la piena tracciabilità.

reports/system-info.txt · logs/acquisition-log.txt

Report forense

Il rapporto in PDF e TXT (operatore, server, conteggio file, dimensione, dichiarazioni forensi) con la propria marca temporale RFC 3161 (report.tsr).

reports/report.pdf · report.txt · report.tsr

Auto-validazione

Un fascicolo che si verifica da solo.

Il fascicolo non richiede C.E.R.T.O. per essere validato: chiunque, anche fra anni, può verificarne l'autenticità con strumenti standard. La struttura BagIt 1.0 e il cruscotto interattivo lo rendono auto-esplicativo.

interactive.html — il cruscotto offline navigabile: riepilogo, albero del server, file acquisiti, inventario hash, connessione/protocollo, rete e sistema e verifica integrità lato client.
manifest.json firmato Ed25519 (RFC 8032), legato all'identità del dispositivo registrato al primo avvio.
Doppia marca RFC 3161: ancora interna su data/tsa.tsr e sigillo esterno su tagmanifest-sha256.txt.tsr. Cascata gratuita Sectigo→DigiCert→GlobalSign; InfoCert qualificata eIDAS opzionale.
manifest-sha256.txt e tagmanifest-sha256.txt (RFC 8493): fixity del payload e dei file di controllo; nessun file può essere aggiunto o alterato senza che la verifica fallisca.
metadata/evidence.case.jsonld — descrizione CASE 1.3 / UCO 1.4 della prova, e tsa-ca.pem per la verifica della marca anche offline.
verify.sh / verify.bat — verificatori autonomi: ricalcolano gli hash, controllano la doppia marca e la firma, e dichiarano «BUNDLE VALIDO».

89029556…_bagit/
├─ bagit.txt  ·  bag-info.txt  ·  README.txt
├─ manifest-sha256.txt            fixity del payload
├─ tagmanifest-sha256.txt(.tsr)  fixity tag + sigillo esterno RFC 3161
├─ tsa-ca.pem  ·  verify.sh  ·  verify.bat
├─ metadata/evidence.case.jsonld   CASE/UCO
└─ data/
   ├─ manifest.json  firmato Ed25519  ·  tsa.tsr  ancora interna
   ├─ interactive.html     cruscotto offline
   ├─ evidence/files/   mirror del filesystem remoto
   ├─ reports/    report · albero server · system-info
   ├─ network/    connection · DNS · WHOIS · traceroute
   ├─ hashes/     inventario hash quadruplo
   └─ logs/ · metadata/

FAQ

Domande frequenti

Acquisizione forense FTP/SFTP, accesso in sola lettura, copia ricorsiva e verifica del fascicolo: le domande più comuni.

Cos'è l'acquisizione forense di un server FTP/SFTP?

È la copia forense del contenuto di un server remoto raggiungibile via FTP, FTPS o SFTP: il filesystem viene scansionato e scaricato ricorsivamente, di ogni file si calcolano gli hash e il tutto è sigillato in un fascicolo verificabile da terzi, con la mappa ad albero della struttura del server.

L'acquisizione modifica i file sul server?

No. L'accesso è in sola lettura: il sistema non modifica, non cancella e non altera alcun file sul server remoto. Si limita a leggere e a copiare, preservando lo stato originale — requisito essenziale per la genuinità della prova.

Si può acquisire tutto il server o solo una parte?

Entrambe le cose: si può lasciare vuota la selezione per acquisire ricorsivamente tutto a partire dalla cartella corrente, oppure selezionare singole cartelle e file. L'acquisizione registra anche la mappa ad albero del server e il percorso radice scansionato.

Quanto costa? Dipende dalla dimensione?

La tariffa è fissa (5 slot, + 2 con marca InfoCert qualificata eIDAS), indipendente dalla dimensione e dal numero di file acquisiti: che si copi un file o un intero sito, il costo non cambia.

L'acquisizione è valida come prova in giudizio?

Il fascicolo segue standard riconosciuti (ISO/IEC 27037, BagIt RFC 8493, RFC 3161, CASE/UCO) con firma Ed25519 e doppia marca temporale; autenticità e integrità di ogni file sono verificabili da chiunque, anche offline. L'accesso in sola lettura rafforza il valore probatorio; la valutazione finale spetta all'autorità giudicante.

Quali protocolli sono supportati?

FTP, FTPS (FTP su TLS) e SFTP (su SSH). La connessione, il server, la porta e — dove disponibile — il software del server sono documentati nel report insieme alle informazioni di rete.

FTP / SFTP