Diapositiva 1

1
Rastreos P2P(sin orden judicial)
1
Rastros técnicosdifusión?
Rastros psicológicosintención?
Artículo 189.1.BDifusión dolosa
Nuestra premisa Aparecer como fuente disponible
de un archivo ilegal en las redes P2P no
determina la tenencia ni descarta la
accidentalidad.
Premisa errónea Aparecer como fuente disponible
de un archivo ilegal en las redes P2P determina
que se tiene y que existe intención de difundir
Identificación de los titulares de las IP en el
momento del rastreo (previa autorización
judicial)
2
Registros domiciliarios simultáneos de los
titulares notificados por las operadoras
(previa autorización judicial)
3
Investigación
Justificación jurídica
Procedimiento judicial
10.12.09 2105
2
Rastros psicológicos
3
Registros Domiciliarios

• Inmediatamente después a la recepción de las
  identificaciones de los titulares de las IP
  aparecidas en el momento de los rastreos, y sin
  mediar ningún tipo de investigación, se
  justifica judicialmente los registros
  domiciliarios (retirar el amparo del artículo
  18.2 de la CE).
• Para ello, los agentes nuevamente deben
  justificar la gravedad del delito. El juez , si
  procede, realizaría un reparto judicial
  provincial.
• Injustificadamente, los registros domiciliarios
  re realizan de forma simultánea en el territorio
  nacional. Esta situación da a entender
  erróneamente, que los detenidos forman parte de
  una red organizada.
• Durante el registro domiciliario, es el
  Secretario Judicial el que debe dar fe de todo lo
  que se realiza. En muchas ocasiones esta figura
  jurídica no tiene conocimientos informáticos.

4
Antes debes saber que

• Para justificar a un Juez la gravedad de este
  delito, y que éste libre mandamiento judicial a
  las operadoras para identificar a los titulares
  de las IP en los momentos del rastreo, los
  agentes (peritos del Estado) tienen que traducir
  el resultado de sus rastreos, realizados sin
  orden judicial previa, en conductas delictivas.

Continuar con el proceso de identificación de
los titulares de las IP
5
Identificación de los titulares de las IP

• Una vez justificada la gravedad del delito, los
  agentes solicitan al juez los mandamientos
  judiciales para que las operadoras identifiquen a
  los titulares de esas IP en el momento del
  rastreo.
• Al cabo de unos días o semanas, las operadoras
  notifican o no, los datos disponibles de los
  titulares de esa IP en el momento del rastreo.
• La gran mayoría de las IP públicas en internet
  son dinámicas o cambiantes, así que las
  operadoras detallan día y hora de obtención de la
  IP y día hora en la que es liberada.

6
Identificación de los titulares de las IP

• En algunas ocasiones, el periodo de tiempo
  señalado por las operadoras es muy escaso u
  ofrece dudas. Estas notificaciones suelen ser
  descartadas por los agentes.
• Es importante señalar que las operadoras sólo
  informan de quién tenía determinada IP durante
  qué tiempo.
• Nunca informan sobre qué contenidos se estaba
  descargando desde esa conexión.
• IMPORTANTE Nunca se intercepta las
  comunicaciones al titular de la IP (art. 18.3 de
  la CE), limitándose este proceso a la mera
  notificación de quién era el titular (18.1
  intimidad personal).

7
Derechos fundamentales versus bien jurídico
protegido
Aclaración Paradójicamente, frente a un delito
tecnológico, nunca se interceptan las
comunicaciones del internauta investigado
(18.3CE). De esta forma se podría realizar un
seguimiento de los hábitos del internauta,
descartando registro domiciliarios innecesarios.
8
Artículo 189.1.B Difusión dolosa
La acción delictiva contemplada en el artículo
189.1.B requiere de dos elementos (no de uno u
otro, sino de ambos). El primero es un elemento
técnico y el segundo un elemento psicológico.
Elemento técnicoLa efectiva difusión (medición
de la acción en bytes)
Elemento psicológicoEl dolo o intencionalidad
de la descarga
9
Elemento Psicológico
10
Metadatos versus datos
Los únicos indicios obtenidos en los rastreos
P2P, son un conjunto de metadatos. El término
metadato significa datos que apuntan hacia otro
dato. Por ejemplo, en una biblioteca cada
libro tiene una ficha que indica su ubicación. La
ficha del libro sería el metadato y libro sería
el dato. Pero determina la ficha la existencia
del libro en la estantería? La respuesta es no.
Metadatos
Metadatos
Datos
N O E X I S T E A C C I Ó N A C
C I Ó N
Fases de una descarga P2P
Aclaración Los rastreadores deberían medir como
mínimo la difusión efectiva. La unidad de medida
es bytes difundidos. Aún así no se descartaría la
accidentalidad de la descarga.
11
Rastreadores no homologados

• Para medir la velocidad de un coche o el alcohol
  en sangre de un conductor, se utilizan
  dispositivos homologados.
• Los rastreadores P2P no están homologados por
  ningún organismo certificador.
• La unidad de medida es el rastro P2P, medida que
  no descarta la accidentalidad, ni determina la
  difusión y el dolo requeridos en el artículo
  189.1.B del código penal.

12
Rastreadores P2P
Utilizando un Cliente P2P Rastreo de un único
archivoProcedimiento Bazooka
RastreadorHíspalis o Florencio Rastreo de entre
3 y 10 archivos
Nautilus Ares
Cuadro comparativo
13
No son programas rastreadores

• Son clientes P2P comunes.
• Aplicaciones creadas con la única finalidad de
  compartir archivos, no de rastrearlos.
• Programas de código abierto modificables por
  cualquier usuario.
• Cada cierto tiempo surgen nuevas versiones que
  corrigen determinados errores.

Procedimiento de rastreo
14
Procedimiento de rastreo eMule Plus PRE RASTREO

• El agente se conecta a la red P2P mediante la
  utilización de un eMule Plus v1gR2.
• Según indican, este cliente P2P puede descargar
  sin compartir ().
• Se procede a la descarga del archivo investigado
  con este cliente P2P.
• Una vez comprobado su contenido delictivo, se
  inicia el rastreo P2P con un eMule Plus v1.1g

DescargarAnexo 2 de la BIT
() Todas las versiones del eMule plus han sido
creadas para compartir archivos
15
Procedimiento de rastreo eMule Plus RASTREO

• Con un eMule Plus v1.1g se inicia brevemente el
  proceso de descarga del archivo investigado.
• El agente pasa el ratón sobre cada una de las
  fuentes que muestren bandera española y que
  ofrezcan un valor QR (cola de descarga).
• Pulsa las tecla Impr-Pant y pega la impresión de
  pantalla en un documento de Word.

DescargarAnexo 2 de la BIT
16
Procedimiento de rastreoHíspalis - Florencio

• El rastreador Híspalis fue presentado en el 2005
  por la Guardia Civil en la operación Azahar.
• Fue creado por Albert Gabás, de la empresa
  Astabis.
• De momento parece que únicamente es utilizada por
  la Unidad de Delitos Telemáticos de la Guardia
  Civil. Quizás ha sido utilizado por la Interpol
  de Brasil en las operaciones Carrusel y Ruleta.

Procedimiento de rastreo
17
Procedimiento del rastreador Híspalis
Simplificando, como funciona (esta
publicado) y se puso en marcha Híspalis 1.-
Guardia Civil de sus incautaciones tiene miles de
imágenes, Imagen1.jpgImagen2.jpgImagen3.jpg 2.-
Cada imagen tiene su Hash ED2K, variante de MD4
que es el que usa eDonkey para el intercambio
integro de ficheros Imagen1.jpg -gt
987c013e991ee246d63d45ea71454c6dImagen2.jpg -gt
742c013e991ee266d63d45ea71854c3dImagen3.jpg -gt
123c013e991ee286d63d45ea71054c8d 3.- Este
listado 987c013e991ee246d63d45ea71454c6d742c013e
991ee266d63d45ea71854c3d123c013e991ee286d63d45ea7
1054c8d Se introduce en el programa
Hispalis. 4.- El programa conecta con los
servidores de eDonkey y pregunta quien
tiene/difunde ese hash/contenido. 5.- El
resultado es univoco, quien detecta Hispalis es
que tiene y está difundiendo ese contenido
completo. Un usuario cuando conecta a un
servidor de eDonkey le dice que tiene, y eso pasa
a ser público, ya que la finalidad es compartir
esos contenidos, Hispalis solo pregunta al
servidor y el servidor responde. Te recomiendo
lectura http//www.cs.huji.ac.il/labs/danss/p2p/r
esources/emule.pdf AtentamenteAlbert Gabàs
AstabisInformationRisk Management
18
Cuadro comparativo
19
Rastros técnicos
M e t a d a t o
D a t o Que sepamos, parece que los
rastreadores se limitan al nivel de metadatos,
sin comprobar en ningún momento la difusión
efectiva
Difusión EfectivaEl rastreador inicia la
recepción del archivo desde la IP investigada
20
IP pública

• La IP pública es la identificación indubitada de
  un punto de acceso a internet, asignada por una
  operadora.
• Habitualmente suele ser un router instalado en un
  domicilio.

74.125.45.100
74.125.127.83
87.248.121.75
65.55.39.12
21
IP Privadas

• Detrás de una IP pública pueden existir uno o
  varios PC con direcciones IP privadas

192.168.2.100
192.168.2.5
192.168.2.X
192.168.2.2
74.125.45.100
INTERNET
22
Errores de interpretación sobre la IP Pública

• Una IP pública no es la matrícula de un ordenador
  en internet.
• Tampoco es el DNI del usuario en internet.
• Detrás de una IP pública pueden existir uno o
  varios ordenadores, uno o varios usuarios, uno o
  varios clientes P2P, WIFI abiertas, virus o
  troyanos,
• POR TANTO ?

23
Hash de usuario

• El HASH de usuario es el identificador único de
  una instalación eMule en un ordenador.
• Se genera aleatoriamente cuando el eMule se
  ejecuta por primera vez y se conecta a un
  servidor P2P.
• Podría compararse con la matrícula de una
  instalación eMule.
• Es un dato imprescindible para determinar en el
  registro domiciliario, desde qué ordenador se
  produjo la descarga

24
Cada instalación eMule tiene su propio HASH DE
USUARIO

• El HASH de usuario está compuesto por una ristra
  de 32 caracteres, por ejemplo
• C8A5A72D7F0ED33EC3AD97BD1C436FBA

25
Nombre del usuario

• Cuando instalas un clientes P2P, te ofrece la
  opción de escribir un nombre de usuario.
• Si no lo cambias, cada programa P2P te asignará
  un nombre genérico por defecto, el mismo nombre
  para todos los usuarios genéricos.
• El nombre de usuario genérico de un eMule es
  http//emule-project.net. Cada MOD pone su propio
  nombre de usuario genérico.
• Si el usuario ha introducido un nombre
  específico, éste debería ser contrastado in
  situ, en el posterior registro domiciliario.

26
Nombre del Archivo

• Como en Windows, los nombres de los archivos
  pueden ser nombres largos de múltiples palabras.
• Cuando realizamos una búsqueda en un eMule, el
  proceso intenta localizar una o varias de esas
  palabras en los nombres de archivo.
• Si buscásemos la palabra SEX en nuestro eMule,
  podría aparecernos por ejemplo, referencias al
  archivo Sex Bomb.mp3 o enfermedades
  sexuales.avi.

27
Fake files

• En las redes P2P son frecuentes los FAKE FILES,
  archivos cuyo nombre no hace referencia a su
  contenido.
• Por tanto, el nombre del archivo podría no
  determina su contenido.

Cabe la posibilidad
28
Hash de archivo

• El HASH de un archivo, al igual que el HASH de
  usuario, consta de una ristra de 32 caracteres.
• Está basado en un algoritmo de resumen de
  contenido, denominado MD4.
• Tiene dos funciones dentro de la red eDonkey

29
Hash de archivocomo identificador

• Cuando un archivo se introduce en la carpeta
  incoming de un eMule en ejecución, éste
  calcula su valor MD4 apartir del contenido del
  archivo.
• Una vez generado, la red P2P promociona los
  metadatos (hash de archivo IP Pública) entre
  servidores y clientes P2P.
• El MD4 ha sido vulnerado. Puede existir un Hash
  de archivo identificando a contenidos
  diferentes.Las colisiones MD4 existen.
• Existen empresas que promueven acciones frente a
  las descargas P2P protegidas por derechos de
  autor, ofreciendo entre sus servicios, la
  creación de ficheros clones, partes
  corruptas, ficheros señuelo, etc.

30
Colisiones MD4

• El algoritmo de resumen de contenido MD4 fue
  creado en 1990.
• Quedó académicamente vulnerado en 1996.
• En la conferencia CRYPTO 2004, el chino Dengguo
  Feng, determinó con una dramática afirmación que
• Las colisiones MD4 se pudieron calcular a mano

Cabe la posibilidad
31
Hash de archivo como verificador de contenido

• El MD4 es un algoritmo de resumen de contenido.
• Su principal función (como algoritmo de resumen
  de contenido) consiste en determinar la validez
  del archivo recibido.
• Por tanto, el HASH de archivo no determina el
  contenido de forma remota.
• Su utilidad se sitúa una vez recibido el archivo,
  comprobando la consistencia del mismo.

32
Valor QR o número de cola

• Cuando se inicia el proceso de rastreo, las
  fuentes puedes mostrarse en 3 estados
• Es importante señalar que a partir del eMule Plus
  v1.1g también se marca como estado 2, las fuentes
  que no respondan a la solicitud de cola de
  descarga.
• CHANGE output "Queue Full" if eMule client does
  not send us QR packet Eklmn

Ver Control de cambios eMule v.1.1g
VerFalse Queue Rank