Acquisizione forense di pagine web

Il modulo Pagine web di C.E.R.T.O. esegue l'acquisizione forense di siti e pagine web: cattura una pagina nello stato esatto in cui si presenta — testo, immagini, codice, risorse e traffico di rete — e la sigilla come prova digitale prima che possa cambiare o sparire. È lo strumento pensato per CTU, CTP, periti, avvocati e forze dell'ordine che devono cristallizzare un contenuto online — un post diffamatorio, una violazione di copyright, una pagina di e-commerce, una recensione — con piena catena di custodia e validità tecnica.

Caratteristiche principali

Cosa fa questo modulo.

Archivio navigabile in formato WACZ (ISO 28500 / WARC).
Browser integrato con video recording HD e audio di sistema.
Screenshot a pagina intera, traffico HTTP (HAR) e analisi SSL/TLS.
Multi-pagina con motore di completezza dei contenuti catturati.
Fascicolo BagIt 1.0 firmato Ed25519, doppia marca RFC 3161 e CASE/UCO.

Report forense finale: il cruscotto interattivo index-interactive.html del fascicolo — riepilogo, pagine, screenshot, rete, certificati, completezza, inventario hash e verifica integrità.

Pipeline forense

Come opera il modulo.

Una procedura ripetibile e documentata: dalla sincronizzazione del tempo alla sigillatura crittografica, ogni passaggio lascia una traccia verificabile dentro il fascicolo.

01 · NTP

Tempo sincronizzato

Sincronizzazione NTP multi-sorgente (Google/Cloudflare/pool) con offset e roundtrip documentati: la finestra di cattura è ancorata.

02 · SCOPE

Navigazione confinata

Browser forense integrato con oggetto e scope dichiarati (dominio, dominio+sottodomini o navigazione libera); ogni pagina nello scope diventa un reperto.

03 · CAPTURE

Cattura passiva

Intercettazione passiva del traffico via Chrome DevTools Protocol (dominio Network, niente request-interception) — nessuna alterazione della pagina.

04 · RENDER

Stati visivi e DOM

Per ogni pagina: screenshot del viewport, screenshot a pagina intera (scroll-and-stitch) e snapshot del DOM dopo l'esecuzione del JavaScript.

05 · WACZ

Archivio navigabile

Confezionamento WACZ/WARC (ISO 28500) auto-contenuto: la navigazione si rigioca offline, byte per byte, con ReplayWeb.page.

06 · COMPLETE

Completezza

Motore di completezza session-aware: confronta risorse viste e catturate, recupera quelle mancanti e dichiara le irrecuperabili.

07 · NETWORK

Rete e TLS

HAR W3C completo, DNS, WHOIS, traceroute e catene di certificati X.509 (leaf + intermedi + root) di ogni host contattato.

08 · HASH

Impronte

Hash quadruplo MD5 + SHA-1 + SHA-256 + SHA-512 (FIPS 180-4) di ogni file, inventariato in file-hashes.json.

09 · SIGN

Firma e doppia marca

manifest.json firmato Ed25519 (RFC 8032) legato al dispositivo + doppia marca RFC 3161 (ancora interna sul manifest, sigillo esterno sul tag-manifest).

10 · SEAL

Fascicolo sigillato

Tutto è confezionato in un fascicolo BagIt 1.0 (RFC 8493) con descrizione CASE/UCO e verificatori verify.sh / verify.bat.

Contenuto del fascicolo

Tutto ciò che viene generato.

Una singola acquisizione produce decine di artefatti coordinati, ciascuno con un ruolo forense preciso. Sono organizzati in cartelle dai nomi parlanti dentro data/.

Screenshot del viewport

Lo schermo visibile durante la navigazione (un fotogramma per pagina), in JPEG con filigrana C.E.R.T.O., versione, ID acquisizione, URL e timestamp impressi.

pages/NNN_…/screenshots/

Screenshot a pagina intera

La pagina intera ricomposta con scroll-and-stitch, oltre la piega, con sfondo appiattito su bianco per fedeltà cromatica. Generato post-hoc per ogni pagina.

pages/NNN_…/screenshots-fullpage/

Snapshot DOM HTML

Il DOM serializzato dopo l'esecuzione del JavaScript (post-hydration), come effettivamente reso dal browser — non il solo sorgente statico.

pages/NNN_…/html-snapshots/

Archivio WACZ

Web Archive Collection Zipped (ISO 28500): WARC + indici, auto-contenuto. Rigioca l'intera navigazione offline con ReplayWeb.page — è il media sigillato.

evidence/ReplayWebPage.wacz

Video della sessione

Registrazione video (WebM) del browser forense durante l'acquisizione, con audio di sistema: la prova dinamica di ciò che l'operatore ha visto e fatto.

evidence/video/

Intercettazione di rete (HAR)

HTTP Archive W3C: registrazione completa di richieste/risposte, header reali, timing e payload. Più requests/responses/resources in JSON e statistiche.

network/network.har

DNS · WHOIS · Traceroute

Risoluzione DNS, interrogazione del registro WHOIS (titolare e dati di registrazione del dominio) e mappa degli hop di rete dal client all'host.

network/dns-lookup.txt · whois.txt · traceroute.txt

Certificati SSL/TLS

Le catene X.509 complete (leaf + intermedi + root, in PEM e leggibili) di ogni host contattato durante l'acquisizione, con i dettagli del certificato.

tls/certificates/

Cookie e stato JavaScript

Tutti i cookie attivi con metadati (HttpOnly, Secure, SameSite, scadenza) e lo snapshot di session storage / local storage al momento della cattura.

network/cookies-detailed.json · evidence/javascript-state/

Interazioni utente

Registrazione di clic, scroll, input e tasti durante la navigazione (catena di custodia delle azioni dell'operatore).

evidence/interactions/user-interactions.json

Mappa delle risorse

La site-structure completa: ogni risorsa (CSS, JS, font, immagini) salvata e organizzata per host, con i metadati di provenienza di ciascuna.

resources/site-structure/

Completezza della cattura

Un rapporto che dichiara, in modo onesto, quante risorse sono state viste, catturate, recuperate via sessione e quante restano irrecuperabili, con la percentuale.

network/completeness-report.json

Report forense

Il rapporto in PDF e TXT (operatore, scope, IP, NTP, SSL, inventario, dichiarazioni forensi) con la propria marca temporale RFC 3161 (report.tsr).

reports/report.pdf · report.txt · report.tsr

Inventario hash

L'elenco di ogni file con la quaterna di hash crittografici, base della verifica di integrità ripetibile da chiunque, anche offline.

hashes/file-hashes.json

Auto-validazione

Un fascicolo che si verifica da solo.

Il fascicolo non richiede C.E.R.T.O. per essere validato: chiunque, anche fra anni, può verificarne l'autenticità con strumenti standard. La struttura BagIt 1.0 e il cruscotto interattivo lo rendono auto-esplicativo.

index-interactive.html — il cruscotto offline navigabile del fascicolo: riepilogo, pagine visitate, screenshot, video, rete, certificati, completezza, inventario hash e verifica integrità lato client.
manifest.json firmato Ed25519 (RFC 8032), legato all'identità del dispositivo registrato al primo avvio.
Doppia marca RFC 3161: ancora interna su data/tsa.tsr e sigillo esterno su tagmanifest-sha256.txt.tsr. Cascata gratuita Sectigo→DigiCert→GlobalSign; InfoCert qualificata eIDAS opzionale.
manifest-sha256.txt e tagmanifest-sha256.txt (RFC 8493): fixity del payload e dei file di controllo; nessun file può essere aggiunto o alterato senza che la verifica fallisca.
metadata/evidence.case.jsonld — descrizione CASE 1.3 / UCO 1.4 della prova, e tsa-ca.pem per la verifica della marca anche offline.
verify.sh / verify.bat — verificatori autonomi: ricalcolano gli hash, controllano la doppia marca e la firma, e dichiarano «BUNDLE VALIDO».

f59102b7-…_bagit/
├─ bagit.txt  ·  bag-info.txt  ·  README.txt
├─ manifest-sha256.txt            fixity del payload
├─ tagmanifest-sha256.txt(.tsr)  fixity tag + sigillo esterno RFC 3161
├─ tsa-ca.pem  ·  verify.sh  ·  verify.bat
├─ metadata/evidence.case.jsonld   CASE/UCO
└─ data/
   ├─ manifest.json  firmato Ed25519  ·  tsa.tsr  ancora interna
   ├─ index-interactive.html     cruscotto offline
   ├─ evidence/   WACZ · video · interazioni · JS-state
   ├─ pages/      screenshot · full-page · snapshot DOM
   ├─ network/    HAR · DNS · WHOIS · traceroute · cookie
   ├─ tls/        catene certificati X.509
   ├─ resources/  mappa risorse (site-structure)
   ├─ reports/    report.pdf · report.txt · report.tsr
   ├─ hashes/     inventario hash quadruplo
   └─ logs/ · metadata/

FAQ

Domande frequenti

Acquisizione forense di pagine web, validità della prova, formato WACZ e verifica del fascicolo: le domande più comuni.

Cos'è l'acquisizione forense di una pagina web?

È la cattura di una pagina web nello stato esatto in cui appare in un dato momento — contenuti, codice, risorse, traffico di rete e certificati — sigillata crittograficamente in modo che possa essere usata come prova digitale e verificata da terzi.

Che differenza c'è tra uno screenshot e un'acquisizione forense?

Uno screenshot è solo un'immagine, facilmente manipolabile e priva di contesto. L'acquisizione forense di C.E.R.T.O. raccoglie anche l'HTML reso, l'archivio WACZ navigabile, il traffico HTTP (HAR), i certificati TLS, gli hash crittografici e una doppia marca temporale RFC 3161, con catena di custodia verificabile.

L'acquisizione è valida come prova in giudizio?

Il fascicolo è prodotto secondo standard riconosciuti (ISO/IEC 27037, BagIt RFC 8493, RFC 3161, CASE/UCO) con firma Ed25519 e doppia marca temporale. La sua autenticità e integrità sono verificabili da chiunque, anche offline, rendendolo idoneo all'uso peritale e processuale. La valutazione finale spetta sempre all'autorità giudicante.

Cos'è un archivio WACZ?

WACZ (Web Archive Collection Zipped, basato su WARC / ISO 28500) è un formato standard che racchiude l'intera navigazione — pagine, risorse e traffico — in un unico file auto-contenuto, rigiocabile offline byte per byte con ReplayWeb.page.

Come si verifica l'autenticità del fascicolo?

Ogni fascicolo contiene verify.sh / verify.bat e un cruscotto index-interactive.html: ricalcolano gli hash, controllano la firma Ed25519 e la doppia marca RFC 3161 e dichiarano se il bundle è valido. La verifica non richiede C.E.R.T.O. né una connessione a Internet.

Quali contenuti vengono acquisiti?

Screenshot del viewport e a pagina intera, snapshot del DOM dopo l'esecuzione del JavaScript, archivio WACZ, video della sessione, traffico di rete HAR, DNS/WHOIS/traceroute, certificati SSL/TLS, cookie e stato JavaScript, interazioni dell'utente, mappa delle risorse e report forense in PDF, con inventario completo degli hash.

Pagine web