Browser: dentro la cronologia

Recuperare anche l'irrecuperabile da ciò che i browser memorizzano durante le nostre navigazioni. Per capire quali sono i vantaggi e quali i rischi.
27 marzo 2006
mIcKe

Che si tratti di ripulire il nostro computer dai residui di lunghe navigazioni o che si sia impegnati in un'analisi forense alla ricerca di tracce, vedere che cosa è rimasto nel browser è importantissimo. I due browser più diffusi sono Internet Explorer e la famiglia Firefox/Mozilla/Netscape. Vediamo come sono fatti dentro.

Microsoft Internet Explorer
Ogni utente di pc ha la propria attività Internet memorizzata dentro il proprio profilo di Windows. I sistemi più nuovi di Windows 2000, come XP, memorizzano l'attività di IE nella directory
C:\Documents and Settings\nomeutente\Local Settings\Temporary Internet Files\Content.IE5\
La cartella contiene varie sottodirectory, che hanno nomi apparentemente casuali, contenenti la cache e le immagini scaricate dal browser.
Riguardo a Internet Explorer ci sono altre due cartelle interessanti. La prima,
C:\Documents and Settings\nomeutente\Local Settings\History\History.IE5\
contiene nella sottodirectory gli intervalli di date con cui IE ha registrato la cronologia. La seconda è:
C:\Documents and Settings\nomeutente\Cookies\
e contiene, come era facile immaginare, i cookie.
Frugare in queste 3 cartelle permette di ricostruire l'attività di un navigatore. Certo, ci sono programmi che cancellano queste informazioni, il sistema esegue pulizie periodiche e qualche navigatore esperto ci pensa da solo. Recuperare file cancellati lo si fa con le Symantec Utilities o programmi simili. Diciamo che i dati ci sono, per semplicità.
In questo caso, il file index.dat, che si trova in tutte e tre le cartelle, è cruciale. Questo file contiene le relazioni tra gli URL e i materiali custoditi nelle cache. Serve al sistema operativo per recuperare i dati dalla cache quando si passa un URL al browser.
Il formato index.dat è proprietario e noto solo a Microsoft, ma i file del progetto Odessa contengono varie informazioni utili per approfondire.

Firefox, Mozilla, Netscape
Il metodo seguito dai migliori browser alternativi a IE è abbastanza simile. L'attività Web viene registrata in un file history.dat. La differenza è che history.dat è un normale file ASCII, non binario come index.dat. Altra differenza, history.dat non collega gli URL al materiale della cache. E' pertanto più difficile ricostruire una pagina visitata con Mozilla di una visitata con IE.
I file di Firefox per Windows si trovano in
\Documents and Settings\nomeutente\Application Data\Mozilla\Firefox\Profiles\testo_casuale\history.dat
I file di Mozilla e Netscape sono situati invece in
\Documents and Settings\nomeutente\Application Data\Mozilla\Profiles\nomeprofilo\testo_casuale\history.dat
In sistemi diversi da Windows le posizioni sono un po' diverse, ma i file sono sempre quelli.

Strumenti per ricostruire
Ricostruire l'attività Internet a mano è impegnativo. Fortuna che ci sono anche i programmi adatti. Dal progetto Odessa arriva per esempio Pasco. Opensource, Unix e Windows, Pasco parte da un file index.dat, ricostruisce i dati e riassume tutto in formato testo con delimitatori, pronto per un database. Ma funziona solo con Explorer.
Web Historian, freeware di Red Cliff, riesce a lavorare su un numero di programmi ben più ampio: Explorer, Firefox, Mozilla, Netscape, Opera e Safari. In più trova da solo la posizione dei file giusti per la ricostruzione dell'attività web e questo ne semplifica molto l'utilizzo. Le informazioni vengono ricostruite in fogli di calcolo Excel, HTML o fil edi testo con delimitatori. Con questi programmi la ricostruzione di che cosa ha visitato un browser è cosa fatta! Usiamoli con saggezza.

Altri programmi sono possibili
Nel campo del software commerciale, Internet Explorer History Viewer di Phillips Ponder Company è stato uno dei primi programmi a disposizione. Registra le informazioni sotto forma di fogli di calcolo o testo con delimitatori. E' un programma svelto e facile.

Altri programmi sono impossibili
Forensic Tool Kit, o FTK, è un programma eccellente, che riunisce in sé più funzioni di tutti gli altri programmi presentati. Ma costa mille dollari! Indicato, al massimo, per tribunali e agenzie investigative.

Articoli correlati

  • Combattere le minacce europee alla crittografia
    Diritto in rete
    Una panoramica dell'anno 2023

    Combattere le minacce europee alla crittografia

    L'EFF ha trascorso quest'anno a combattere duramente contro una proposta dell'UE che, se fosse diventata legge, sarebbe stata un disastro per la privacy online nell'UE e in tutto il mondo. La proposta avrebbe fatto pressione sui servizi online per abbandonare la crittografia end-to-end.
    30 dicembre 2023 - Electronic Frontier Foundation
  • "Ecco come vengono controllati i cellulari"
    CyberCultura
    Gli esperti di Nitrokey hanno segnalato una criticità del chip Qualcomm, ma l'azienda si difende

    "Ecco come vengono controllati i cellulari"

    "Durante la nostra ricerca sulla sicurezza - scrivono gli esperti - abbiamo scoperto che gli smartphone con chip Qualcomm inviano segretamente dati personali". Sulla notizia si innesta un'ulteriore notizia in quanto il chip è utilizzato anche nei Fairphone, cellulari per un uso "etico".
    27 aprile 2023 - Redazione PeaceLink
  • “Cyber mercenari” hanno spiato migliaia di utenti Facebook
    MediaWatch
    Utilizzati profili falsi per indurre le persone a rivelare dati privati

    “Cyber mercenari” hanno spiato migliaia di utenti Facebook

    Campagne di spionaggio in più di 100 nazioni per conto di agenzie governative o clienti privati hanno coinvolto anche amici e familiari degli obiettivi. Sono stati sospesi circa 1.500 account, per lo più falsi, gestiti da sette organizzazioni su Facebook, Instagram e WhatsApp.
    17 dicembre 2021 - AGI (Agenzia Giornalistica Italia)
  • La CIA ci spia (e non vuole più andare via)
    CyberCultura
    I servizi segreti americani possono ascoltare le persone tramite i microfoni delle smart TV

    La CIA ci spia (e non vuole più andare via)

    Joshua Adam Schulte è in carcere per aver passato a Wikileaks oltre 8 mila pagine di documenti top-secret che rivelano come la CIA possieda la capacità di violare la segretezza della corrispondenza non solo su WhatsApp e Telegram ma anche su Signal. Il caso Vault 7 è gravissimo.
    5 settembre 2021 - Redazione PeaceLink
PeaceLink C.P. 2009 - 74100 Taranto (Italy) - CCP 13403746 - Sito realizzato con PhPeace 2.7.26 - Informativa sulla Privacy - Informativa sui cookies - Diritto di replica - Posta elettronica certificata (PEC)