Dashboard
Panoramica dell'attività della piattaforma
Tipi di attività
Accessi ultimi 7 giorni
Richieste Token
Domande di accesso inviate dagli operatori tramite il form pubblico
| Richiedente | Azienda | Piano | Data | Stato | Azioni | |
|---|---|---|---|---|---|---|
| Caricamento... | ||||||
Log Attività
Registro completo degli accessi e operazioni
| Data/Ora | Utente | Azione | IP | Dettagli | ||
|---|---|---|---|---|---|---|
| Caricamento... | ||||||
Tracciamento Acquisizioni
Elenco delle attività di acquisizione svolte da te, senza archiviazione dei pacchetti forensi sulla piattaforma
| N. | Tipo | Tool utilizzato | Riferimento prova | Operatore | IP | Data/Ora | Giustificazione token | Esito | ||
|---|---|---|---|---|---|---|---|---|---|---|
| Caricamento... | ||||||||||
Gestione Utenti
Crea e gestisci account Admin e Operator
| Nome / Cognome | Username | Ruolo | Token | Attività | Stato | Formazione | Creato il | Azioni | |
|---|---|---|---|---|---|---|---|---|---|
| Caricamento... | |||||||||
Nuova Acquisizione
Acquisisci prove digitali con certificazione forense SHA-256 e scarica il pacchetto solo sul tuo PC locale
Postura di Sicurezza
Vulnerability assessment automatico - eseguito ogni notte alle 02:00
-
Dettaglio Controlli
Storico Assessment
| Data / Ora | Score | Livello | Stato | Trigger | Durata | Problemi | |
|---|---|---|---|---|---|---|---|
| Caricamento... | |||||||
OSINT Tools
Open-source Intelligence - domini, subdomini, CVE, data leak, threat intelligence
Storico Scansioni
| Target | Tipo | Stato | Avviato da | Data | Durata | Azioni |
|---|---|---|---|---|---|---|
| Nessuna scansione ancora avviata. | ||||||
Documentazione
Tecnologia, moduli, sicurezza e offerta commerciale NormaShield v2.2.0
Panoramica
NormaShield è una piattaforma web per l'acquisizione forense digitale certificata e l'intelligence OSINT su domini e infrastrutture. Consente a operatori autorizzati di raccogliere, certificare e conservare prove digitali con valore probatorio, conformemente allo standard internazionale ISO/IEC 27037:2012 per la gestione delle evidenze elettroniche.
Stack tecnologico
Modalità di acquisizione forense (8)
Pagine web pubbliche. Screenshot full-page, HTML sorgente, analisi TLS, HAR network, WHOIS, DNS, reputazione IP (AbuseIPDB, OTX, URLScan), security headers, report PDF + ZIP SHA-256.
Fotografia via webcam del dispositivo dell'operatore. Immagine con metadati EXIF certificati, hash SHA-256, analisi entropia, report PDF probatorio.
Qualsiasi file digitale (max 100 MB). Hash SHA-256 + MD5, rilevamento MIME reale, analisi entropia Shannon, metadati estratti via Python, report PDF + ZIP forense.
Siti sulla rete Tor via proxy SOCKS5 senza DNS leak. Stesse evidenze dell'acquisizione URL. Routing anonimo con host-resolver-rules per prevenire fughe di dati.
Contenuti autenticati da X, Instagram, Facebook, LinkedIn, TikTok, YouTube tramite browser interattivo integrato nel pannello (screenshot live, click, scroll, tipo). Cookie HttpOnly certificati.
Analisi forense di messaggi .eml o raw: parsing header completo, catena Received, autenticazione DKIM/SPF/DMARC, IP mittente reale, estrazione allegati con hash individuali, report PDF + ZIP.
Rilevamento forense di contenuti generati da IA su testo e immagini. Analisi pattern linguistici (perplexity, burstiness), metadati EXIF sintetici, identificazione modello (ChatGPT, SD, DALL-E…), report PDF.
Analisi forense di file di log (Apache, Nginx, SSH, syslog, JSON, CSV). Rilevamento intrusioni, brute force, SQLi, XSS, esfiltrazione dati, beaconing C2. IOC estratti, classificazione MITRE ATT&CK, timeline correlata, report JSON + ZIP.
Struttura package forense
<uuid-acquisizione>/ ├── evidence/ │ ├── screenshot.png # Screenshot certificato (full-page) │ ├── page-source.html # Sorgente HTML completo │ ├── network.har # Tracciato HTTP (headers, redirect, risorse) │ └── [file originale] # Per acquisizioni file/foto ├── report.pdf # Report probatorio con catena di custodia ├── chain-of-custody.json # Metadati strutturati ISO/IEC 27037 └── package-meta.json # Hash SHA-256 tutti gli artefatti + firma HMAC-SHA256
Database - tabelle
| Tabella | Scopo |
|---|---|
users | Utenti: id, username, password_hash, role, tokens, email, 2FA |
logs | Log attività operatori e admin con IP e timestamp |
refresh_tokens | Token di refresh JWT attivi con rotation_count |
revoked_jtis | JTI revocati al logout - impedisce riuso di token scaduti |
mfa_temp_tokens | Token temporanei flusso MFA (step intermedio login) |
email_otp_tokens | OTP via email per 2FA admin |
rate_limits | Contatori rate limiting per IP/utente/azione |
password_reset_tokens | Token monouso reset password |
token_requests | Richieste token da operatori con stato approvazione |
security_assessments | Storico security assessment (score, grade, checks) |
cyber_bulletin | Cache feed RSS cybersecurity (CISA, THN, CERT-AgID…) |
osint_scans | Storico scansioni OSINT: target, tipo, risultati JSON, durata |
osint_config | API keys OSINT cifrate AES-256-GCM a riposo |
Infrastruttura di produzione
Dipendenze npm (produzione)
| Pacchetto | Versione | Funzione |
|---|---|---|
express | ^4.19 | Framework HTTP REST API |
better-sqlite3 | ^12.8 | Database SQLite sincrono ad alte performance |
jsonwebtoken | ^9.0 | Generazione e verifica JWT HS256 (access + jti) |
bcryptjs | ^3.0 | Hashing password - cost factor 12 |
@otplib/preset-default | ^12.0 | TOTP RFC 6238 per 2FA - compatibile Google Authenticator |
qrcode | ^1.5 | Generazione QR code per setup TOTP |
puppeteer | ^22.6 | Browser automation Chromium headless - acquisizioni web |
pdfkit | ^0.18 | Generazione report PDF multi-pagina con layout custom |
nodemailer | ^8.0 | Invio email via SMTP (notifiche, OTP, alert) |
archiver | ^7.0 | Creazione archivi ZIP forensi in streaming |
multer | ^1.4 | Upload file multipart (acquisizione file) |
file-type | ^22.0 | Rilevamento tipo MIME reale (magic bytes) |
cors | ^2.8 | Middleware CORS con whitelist origins |
pino | ^10.3 | Logger strutturato JSON ad alte performance |
rss-parser | ^3.13 | Parser RSS feed bollettino cyber |
socks-proxy-agent | ^10.0 | Proxy SOCKS5 per connessioni Tor |
uuid | ^9.0 | Generazione UUID v4 per ID acquisizioni e job |
whois | ^2.16 | Client WHOIS integrato per acquisizioni URL |
swagger-jsdoc | ^6.2 | Documentazione OpenAPI generata da JSDoc |
swagger-ui-express | ^5.0 | UI interattiva Swagger per le API REST |
lodash | ^4.18 | Utility generali (deep clone, merge, …) |
Librerie Python (OSINT engine)
| Pacchetto | Versione | Funzione |
|---|---|---|
theHarvester | 4.10.1 | Raccolta email, subdomini, URL da 20+ fonti pubbliche (installato da GitHub) |
dnspython | ≥2.4 | Risoluzione record DNS (A, AAAA, MX, NS, TXT, CNAME, SOA) |
python-whois | 0.9.6 | WHOIS lookup strutturato con parsing automatico |
ipwhois | 1.3.0 | Lookup ASN/BGP per indirizzi IP tramite RDAP |
shodan | 1.31.0 | Client ufficiale API Shodan (host info, CVE, banner) |
aiohttp | 3.13.5 | Client HTTP asincrono per chiamate API esterne parallele |
requests | stdlib | Client HTTP sincrono - crt.sh, NVD, HackerTarget, LeakIX, OTX, URLScan |
cryptography | stdlib | Parsing certificati SSL/TLS X.509 |
concurrent.futures | stdlib | ThreadPoolExecutor per esecuzione parallela dei 15 moduli |
Tool di sistema installati
| Tool | Versione | Path | Funzione |
|---|---|---|---|
subfinder | v2.13.0 | /usr/local/bin/subfinder | Subdomain enumeration passiva - ProjectDiscovery |
dnsx | latest | /usr/local/bin/dnsx | DNS resolution bulk - ProjectDiscovery |
chromium | 120+ | /usr/bin/chromium | Browser headless per acquisizioni e OSINT |
tor | 0.4.x | /usr/sbin/tor | Daemon Tor per acquisizioni .onion via SOCKS5:9050 |
nginx | 1.24+ | /usr/sbin/nginx | Reverse proxy, TLS termination, rate limiting, security headers |
node | v22 LTS | /usr/bin/node | Runtime JavaScript principale |
python3 | 3.12 | /usr/bin/python3 | Esecuzione engine OSINT e analisi file forensi |
go | 1.22+ | /usr/local/go/bin/go | Build tool per compilazione subfinder e dnsx |
Moduli Node.js built-in utilizzati
Fonti OSINT integrate (15 moduli)
| Modulo | Fonte | API Key | Dati raccolti |
|---|---|---|---|
| WHOIS | python-whois / RDAP | No | Registrante, date, nameserver, contatti |
| DNS Records | dnspython / resolver | No | A, AAAA, MX, NS, TXT, CNAME, SOA |
| SSL/TLS | socket stdlib | No | Certificato, CA chain, scadenza, protocollo |
| Certificate Transparency | crt.sh API | No | Tutti i certificati storici emessi per il dominio |
| HackerTarget | hackertarget.com | No | DNS lookup, reverse IP, HTTP headers, sottodomini |
| NVD CVE | nvd.nist.gov API v2 | No | CVE note con CVSS score, vector, descrizione |
| theHarvester | anubis, crtsh, dnsdumpster, rapiddns, urlscan | No | Email, subdomini, URL, host |
| subfinder | passive DNS sources | No | Subdomini passivi da 40+ fonti aggregate |
| OTX AlienVault | otx.alienvault.com | Opzionale | Pulse indicators, tag minacce, reputazione IP |
| URLScan.io | urlscan.io API | Opzionale | Scan storici, screenshot, analisi comportamentale |
| LeakIX | leakix.net API | Opzionale | Servizi esposti, plugin vulnerabili, severity |
| Shodan | shodan.io API v1 | Preconfigurata | Host esposti, porte, OS, banner, CVE per host |
| VirusTotal | virustotal.com API v3 | Preconfigurata | Reputazione dominio/IP, scan storici, statistiche malicious |
| SecurityTrails | securitytrails.com | Opzionale | DNS storico, sottodomini, WHOIS storico |
| AbuseIPDB | abuseipdb.com API v2 | Opzionale | Score reputazione IP, segnalazioni, categorie abuso |
Autenticazione e sessioni
Access token 8h con ID univoco (jti). Il logout lo inserisce nella tabella revoked_jtis - ogni richiesta successiva viene rifiutata immediatamente.
Scadenza 7 giorni, rotation atomica con rotation_count. Max 20 rotazioni - eccesso indica furto, revoca automatica di tutte le sessioni dell'utente.
App authenticator RFC 6238 (Google Authenticator, Authy). Secret cifrato AES-256-GCM nel DB al momento del setup. Richiesta ad ogni accesso.
Codice 6 cifre, TTL 5 min, max 5 tentativi. Endpoint resend rate-limited a 5/ora per IP. Eliminato automaticamente dal DB ogni minuto.
Hash password con 4096 iterazioni bcrypt. Protezione timing attack tramite confronto dummy hash (non-early-exit). 10 tentativi max, blocco 10 minuti.
Limiter SQLite-backed per IP/utente su 11 endpoint: login, acquisizioni URL/file/foto/social/onion/email/AI/log, security run, OSINT scan, email OTP resend. Persistente ai restart.
Dati sensibili a riposo
| Dato | Algoritmo | Chiave | Formato DB |
|---|---|---|---|
| Segreti TOTP | AES-256-GCM | scrypt(JWT_SECRET, salt, 32B) | iv:authTag:ciphertext (hex) |
| API keys OSINT | AES-256-GCM | scrypt(JWT_SECRET, salt, 32B) | iv:authTag:ciphertext (hex) |
| Password utenti | bcrypt cost 12 | N/A (one-way) | $2b$ hash |
| Firma report forensi | HMAC-SHA256 | JWT_SECRET | hex digest in package-meta.json |
Protezioni applicazione e rete
| Protezione | Implementazione |
|---|---|
| SSRF | Risoluzione DNS preventiva + blocklist IPv4/IPv6 privati e loopback su tutte le acquisizioni URL |
| Command Injection | Parametri ai subprocess Python passati via stdin JSON (non argv) - nessuna interpolazione di stringa nella shell |
| CSRF | Middleware dedicato: richiede X-Requested-With: XMLHttpRequest su tutte le rotte mutanti (POST/PUT/PATCH/DELETE) |
| CORS | Solo same-origin - nginx gestisce il routing, nessuna origine esterna ammessa |
| Security Headers (nginx) | X-Frame-Options DENY, X-Content-Type-Options nosniff, CSP strict, HSTS 2 anni, Referrer-Policy, Permissions-Policy |
| XSS | Output encoding sistematico (_esc()) in tutti i renderer lato client. CSP script-src 'self' su nginx |
| IDOR | Verifica proprietà (userId === req.user.id) su download package, sessioni social, acquisizioni |
| Host Header Injection | Link email costruiti da APP_BASE_URL env var - non dal header Host della richiesta |
| Token theft detection | Rotation counter refresh token: superamento soglia (20) provoca revoca di tutte le sessioni utente |
| DNS leak .onion | --host-resolver-rules=MAP * ~NOTFOUND su Chromium - risoluzione solo via SOCKS5 Tor |
Limiti rate limiting
| Endpoint | Limite | Finestra |
|---|---|---|
| Login | 10 tentativi | Blocco 10 min |
| Acquisizione URL | 10 req | 1 minuto |
| Acquisizione .onion | 5 req | 1 minuto |
| Acquisizione file/foto | 5 req | 1 minuto |
| Acquisizione social | 3 req | 1 minuto |
| Acquisizione email | 5 req | 1 minuto |
| AI Recognition | 8 req | 1 minuto |
| Log Triage & Analysis | 3 req | 1 minuto |
| Security Assessment run | 3 req | 10 minuti |
| OSINT Scan | 5 req | 10 minuti |
| Email OTP resend | 5 req | 1 ora |
| Admin stats | 30 req | 1 minuto |
| nginx globale | 120 burst | per connessione |
Security Assessment - 17 controlli automatici
| Categoria | Controllo |
|---|---|
| Autenticazione | Forza JWT Secret (lunghezza e entropia) |
| Bcrypt Cost Factor (≥12) | |
| Rate Limiting Login attivo | |
| Numero account Admin (≤2) | |
| Sessioni refresh token attive | |
| Attività | Login falliti nelle ultime 24 ore |
| Rete | Politica CORS (solo same-origin) |
| Security Headers HTTP (X-Frame, CSP, HSTS) | |
| Protezione SSRF (blocklist indirizzi privati) | |
| Sistema | Utente di processo (non root) |
| Versione Node.js (≥18, preferibile LTS) | |
| File System | Permessi database SQLite (600) |
| Permessi directory acquisizioni (700) | |
| Configurazione | Esposizione file .env |
| Alerting SMTP configurato | |
| Vulnerabilità npm (npm audit) | |
| API Threat Intel configurate |
Conformità e standard
| Standard | Applicazione |
|---|---|
| ISO/IEC 27037:2012 | Struttura package forense (chain-of-custody.json), processo di acquisizione documentato, integrità hash SHA-256 |
| GDPR | Privacy policy, cookie policy, retention log 180 giorni, cancellazione automatica package temporanei |
| OWASP Top 10 2021 | A01 Broken Access Control (IDOR check), A02 Cryptographic (bcrypt/AES-GCM/JWT), A03 Injection (stdin JSON), A07 Auth (2FA/rate limit), A10 SSRF |
Chi siamo
NormaShield è la piattaforma italiana per l'acquisizione forense digitale certificata e l'intelligence OSINT su domini e infrastrutture. Progettata per studi legali, agenzie investigative, aziende di cybersecurity e forze dell'ordine, permette di raccogliere prove digitali con valore probatorio, conformi allo standard internazionale ISO/IEC 27037:2012.
Ogni acquisizione genera un package forense firmato digitalmente (HMAC-SHA256) con report PDF, catena di custodia strutturata e hash SHA-256 su tutti gli artefatti - immediatamente presentabile in sede giudiziaria.
Funzionalità incluse in tutti i piani
Pagine web con screenshot, HTML, TLS, HAR, WHOIS, DNS, analisi IP
Qualsiasi file digitale (max 100 MB) con hash e analisi forense Python
Webcam con EXIF certificati e hash SHA-256
Browser interattivo autenticato per X, Instagram, Facebook, LinkedIn, TikTok
Acquisizione Tor senza DNS leak con proxy SOCKS5
15 moduli: subdomini, CVE, data breach, Shodan, VirusTotal e altro
Parsing header, DKIM/SPF/DMARC, catena Received, IP mittente, allegati e report PDF
Certifica se un testo o immagine è generato da IA (ChatGPT, Claude, Stable Diffusion…)
Analisi forense log multi-formato: IOC, MITRE ATT&CK, correlazione eventi, timeline
17 controlli automatici con scoring A+→F e report PDF
Feed aggregato da CISA, THN, CERT-AgID aggiornato ogni 30 min
Piani di abbonamento
Tutti i prezzi sono in Euro, IVA esclusa. I token di acquisizione non utilizzati nel mese non si accumulano; con l'abbonamento annuale vengono assegnati per intero all'attivazione.
- ✔ Acquisizione URL, File, Foto
- ✔ Email Forense, AI Recognition, Log Triage
- ✔ Package forense ZIP + Report PDF ISO/IEC 27037
- ✔ Verifica integrità firma HMAC-SHA256
- ✔ Bollettino Cyber
- ✔ 1 Admin + fino a 3 Operatori
- ✔ Security Assessment automatico
- ✗ Social Media e .onion
- ✗ OSINT Intelligence
- ✔ Tutte le funzionalità Starter
- ✔ Acquisizione Social Media (browser interattivo)
- ✔ Acquisizione siti .onion (rete Tor)
- ✔ OSINT Intelligence - 15 moduli
- ✔ Report PDF OSINT 7+ pagine
- ✔ Operatori illimitati
- ✔ Notifiche email automatiche
- ✔ API keys OSINT configurabili via UI
- ✔ Tutte le funzionalità Professional
- ✔ Token di acquisizione illimitati
- ✔ Deployment on-premise / cloud privato
- ✔ White-label (logo e dominio custom)
- ✔ SLA 99,9% uptime garantito
- ✔ Supporto dedicato prioritario
- ✔ Backup e disaster recovery gestiti
- ✔ Integrazione API con sistemi terzi
Token aggiuntivi (acquisto una tantum)
I token aggiuntivi sono acquistabili in qualsiasi momento senza modificare il piano abbonamento. Non hanno scadenza e si sommano ai token mensili inclusi.
1 token = 1 acquisizione forense (URL, file, foto, social, .onion, email, AI Recognition, Log Triage). Le scansioni OSINT non consumano token.
Confronto piani
| Funzionalità | Starter | Professional | Enterprise |
|---|---|---|---|
| Acquisizione URL / File / Foto | ✔ | ✔ | ✔ |
| Email Forense | ✔ | ✔ | ✔ |
| AI Recognition | ✔ | ✔ | ✔ |
| Log Triage & Analysis | ✔ | ✔ | ✔ |
| Package forense ISO/IEC 27037 | ✔ | ✔ | ✔ |
| Report PDF con catena di custodia | ✔ | ✔ | ✔ |
| Verifica integrità (HMAC-SHA256) | ✔ | ✔ | ✔ |
| Bollettino Cyber (6 fonti) | ✔ | ✔ | ✔ |
| Security Assessment automatico | ✔ | ✔ | ✔ |
| 2FA obbligatoria (TOTP + Email OTP) | ✔ | ✔ | ✔ |
| Social Media (browser interattivo) | ✗ | ✔ | ✔ |
| Acquisizione Dark Web .onion | ✗ | ✔ | ✔ |
| OSINT Intelligence (15 moduli) | ✗ | ✔ | ✔ |
| Report PDF OSINT | ✗ | ✔ | ✔ |
| Operatori | fino a 3 | illimitati | illimitati |
| Deployment on-premise | ✗ | ✗ | ✔ |
| White-label | ✗ | ✗ | ✔ |
| SLA garantito | ✗ | ✗ | 99,9% |
| Supporto dedicato | Prioritario | ||
| Prezzo mensile | €49 | €149 | €349 |
| Prezzo annuale | €490 | €1.490 | €3.490 |
| Token inclusi/mese | 50 | 200 | Illimitati |
Garanzie e condizioni
Ogni package è firmato HMAC-SHA256. La validità è verificabile indipendentemente dalla piattaforma in qualsiasi momento futuro.
Garanzia SLA mensile per piani Enterprise. Manutenzioni programmate comunicate con 48 ore di anticipo.
Database con backup automatico giornaliero, retention 30 giorni. Ripristino garantito entro 4 ore (Enterprise).
Tutte le acquisizioni sono strutturate secondo lo standard internazionale per la raccolta e conservazione delle evidenze digitali.
I dati dei clienti sono processati in conformità al Regolamento UE 2016/679. Privacy policy e DPA disponibili su richiesta.
I package forensi vengono scaricati localmente e non conservati sulla piattaforma. Sei sempre l'unico proprietario delle prove raccolte.
Diagnostica Tool di Acquisizione
Verifica lo stato di tutte le dipendenze e la funzionalità di ciascun tool forense
Premi Esegui Diagnostica per verificare i tool di acquisizione.
Problemi Rilevati & Raccomandazioni
Dipendenze di Sistema
Script Python
API Keys Threat Intel
Test Funzionali
Stato Tool di Acquisizione
Statistiche Utilizzo Tool
| Tool | Acquisizioni Totali | Ultima Acquisizione | Stato |
|---|---|---|---|
| Caricamento… | |||
Gestione IP Bloccati
Blocchi automatici da rate-limiting e blacklist manuali - supporta singoli IP e reti CIDR
Blocchi Automatici (Rate-Limiting)
IP bloccati temporaneamente per eccessivi tentativi falliti. Scadono automaticamente.
| IP | Azione | Tentativi | Scade alle | Tempo rimanente | Operazioni |
|---|---|---|---|---|---|
| Caricamento... | |||||
Blacklist Manuale (IP e Reti)
Blocchi aggiunti manualmente. Supportano IP singoli (es. 1.2.3.4) e reti CIDR (es. 10.0.0.0/8).
| IP / Rete CIDR | Motivazione | Aggiunto da | Creato il | Scadenza | Tipo | Operazioni |
|---|---|---|---|---|---|---|
| Caricamento... | ||||||
Formazione - Quiz & Risultati
Chiave di risposta dei quiz formativi e storico dei tentativi degli operatori
Tutti i tentativi di quiz completati dagli operatori
| Operatore | Modulo | Punteggio | Percentuale | Esito | Data | Errori | |
|---|---|---|---|---|---|---|---|
| Nessun risultato disponibile | |||||||