Browser: dentro la cronologia

Che si tratti di ripulire il nostro computer dai residui di lunghe navigazioni o che si sia impegnati in un'analisi forense alla ricerca di tracce, vedere che cosa è rimasto nel browser è importantissimo. I due browser più diffusi sono Internet Explorer e la famiglia Firefox/Mozilla/Netscape. Vediamo come sono fatti dentro.

Microsoft Internet Explorer
Ogni utente di pc ha la propria attività Internet memorizzata dentro il proprio profilo di Windows. I sistemi più nuovi di Windows 2000, come XP, memorizzano l'attività di IE nella directory
C:\Documents and Settings\nomeutente\Local Settings\Temporary Internet Files\Content.IE5\
La cartella contiene varie sottodirectory, che hanno nomi apparentemente casuali, contenenti la cache e le immagini scaricate dal browser.
Riguardo a Internet Explorer ci sono altre due cartelle interessanti. La prima,
C:\Documents and Settings\nomeutente\Local Settings\History\History.IE5\
contiene nella sottodirectory gli intervalli di date con cui IE ha registrato la cronologia. La seconda è:
C:\Documents and Settings\nomeutente\Cookies\
e contiene, come era facile immaginare, i cookie.
Frugare in queste 3 cartelle permette di ricostruire l'attività di un navigatore. Certo, ci sono programmi che cancellano queste informazioni, il sistema esegue pulizie periodiche e qualche navigatore esperto ci pensa da solo. Recuperare file cancellati lo si fa con le Symantec Utilities o programmi simili. Diciamo che i dati ci sono, per semplicità.
In questo caso, il file index.dat, che si trova in tutte e tre le cartelle, è cruciale. Questo file contiene le relazioni tra gli URL e i materiali custoditi nelle cache. Serve al sistema operativo per recuperare i dati dalla cache quando si passa un URL al browser.
Il formato index.dat è proprietario e noto solo a Microsoft, ma i file del progetto Odessa contengono varie informazioni utili per approfondire.

Firefox, Mozilla, Netscape
Il metodo seguito dai migliori browser alternativi a IE è abbastanza simile. L'attività Web viene registrata in un file history.dat. La differenza è che history.dat è un normale file ASCII, non binario come index.dat. Altra differenza, history.dat non collega gli URL al materiale della cache. E' pertanto più difficile ricostruire una pagina visitata con Mozilla di una visitata con IE.
I file di Firefox per Windows si trovano in
\Documents and Settings\nomeutente\Application Data\Mozilla\Firefox\Profiles\testo_casuale\history.dat
I file di Mozilla e Netscape sono situati invece in
\Documents and Settings\nomeutente\Application Data\Mozilla\Profiles\nomeprofilo\testo_casuale\history.dat
In sistemi diversi da Windows le posizioni sono un po' diverse, ma i file sono sempre quelli.

Strumenti per ricostruire
Ricostruire l'attività Internet a mano è impegnativo. Fortuna che ci sono anche i programmi adatti. Dal progetto Odessa arriva per esempio Pasco. Opensource, Unix e Windows, Pasco parte da un file index.dat, ricostruisce i dati e riassume tutto in formato testo con delimitatori, pronto per un database. Ma funziona solo con Explorer.
Web Historian, freeware di Red Cliff, riesce a lavorare su un numero di programmi ben più ampio: Explorer, Firefox, Mozilla, Netscape, Opera e Safari. In più trova da solo la posizione dei file giusti per la ricostruzione dell'attività web e questo ne semplifica molto l'utilizzo. Le informazioni vengono ricostruite in fogli di calcolo Excel, HTML o fil edi testo con delimitatori. Con questi programmi la ricostruzione di che cosa ha visitato un browser è cosa fatta! Usiamoli con saggezza.

Altri programmi sono possibili
Nel campo del software commerciale, Internet Explorer History Viewer di Phillips Ponder Company è stato uno dei primi programmi a disposizione. Registra le informazioni sotto forma di fogli di calcolo o testo con delimitatori. E' un programma svelto e facile.

Altri programmi sono impossibili
Forensic Tool Kit, o FTK, è un programma eccellente, che riunisce in sé più funzioni di tutti gli altri programmi presentati. Ma costa mille dollari! Indicato, al massimo, per tribunali e agenzie investigative.