Diapositiva 1 - PowerPoint PPT Presentation

1 / 32
About This Presentation
Title:

Diapositiva 1

Description:

Identificaci n de los titulares de las IP en el momento del rastreo ... Momento puntual. Varios momentos. Rastros por HASH de usuario (m rgenes) Un nico rastro ... – PowerPoint PPT presentation

Number of Views:50
Avg rating:3.0/5.0
Slides: 33
Provided by: sinl7
Category:

less

Transcript and Presenter's Notes

Title: Diapositiva 1


1
Rastreos P2P(sin orden judicial)
1
Rastros técnicosdifusión?
Rastros psicológicosintención?
Artículo 189.1.BDifusión dolosa
Nuestra premisa Aparecer como fuente disponible
de un archivo ilegal en las redes P2P no
determina la tenencia ni descarta la
accidentalidad.
Premisa errónea Aparecer como fuente disponible
de un archivo ilegal en las redes P2P determina
que se tiene y que existe intención de difundir
Identificación de los titulares de las IP en el
momento del rastreo (previa autorización
judicial)
2
Registros domiciliarios simultáneos de los
titulares notificados por las operadoras
(previa autorización judicial)
3
Investigación
Justificación jurídica
Procedimiento judicial
10.12.09 2105
2
Rastros psicológicos
3
Registros Domiciliarios
  • Inmediatamente después a la recepción de las
    identificaciones de los titulares de las IP
    aparecidas en el momento de los rastreos, y sin
    mediar ningún tipo de investigación, se
    justifica judicialmente los registros
    domiciliarios (retirar el amparo del artículo
    18.2 de la CE).
  • Para ello, los agentes nuevamente deben
    justificar la gravedad del delito. El juez , si
    procede, realizaría un reparto judicial
    provincial.
  • Injustificadamente, los registros domiciliarios
    re realizan de forma simultánea en el territorio
    nacional. Esta situación da a entender
    erróneamente, que los detenidos forman parte de
    una red organizada.
  • Durante el registro domiciliario, es el
    Secretario Judicial el que debe dar fe de todo lo
    que se realiza. En muchas ocasiones esta figura
    jurídica no tiene conocimientos informáticos.

4
Antes debes saber que
  • Para justificar a un Juez la gravedad de este
    delito, y que éste libre mandamiento judicial a
    las operadoras para identificar a los titulares
    de las IP en los momentos del rastreo, los
    agentes (peritos del Estado) tienen que traducir
    el resultado de sus rastreos, realizados sin
    orden judicial previa, en conductas delictivas.

Continuar con el proceso de identificación de
los titulares de las IP
5
Identificación de los titulares de las IP
  • Una vez justificada la gravedad del delito, los
    agentes solicitan al juez los mandamientos
    judiciales para que las operadoras identifiquen a
    los titulares de esas IP en el momento del
    rastreo.
  • Al cabo de unos días o semanas, las operadoras
    notifican o no, los datos disponibles de los
    titulares de esa IP en el momento del rastreo.
  • La gran mayoría de las IP públicas en internet
    son dinámicas o cambiantes, así que las
    operadoras detallan día y hora de obtención de la
    IP y día hora en la que es liberada.

6
Identificación de los titulares de las IP
  • En algunas ocasiones, el periodo de tiempo
    señalado por las operadoras es muy escaso u
    ofrece dudas. Estas notificaciones suelen ser
    descartadas por los agentes.
  • Es importante señalar que las operadoras sólo
    informan de quién tenía determinada IP durante
    qué tiempo.
  • Nunca informan sobre qué contenidos se estaba
    descargando desde esa conexión.
  • IMPORTANTE Nunca se intercepta las
    comunicaciones al titular de la IP (art. 18.3 de
    la CE), limitándose este proceso a la mera
    notificación de quién era el titular (18.1
    intimidad personal).

7
Derechos fundamentales versus bien jurídico
protegido
Aclaración Paradójicamente, frente a un delito
tecnológico, nunca se interceptan las
comunicaciones del internauta investigado
(18.3CE). De esta forma se podría realizar un
seguimiento de los hábitos del internauta,
descartando registro domiciliarios innecesarios.
8
Artículo 189.1.B Difusión dolosa
La acción delictiva contemplada en el artículo
189.1.B requiere de dos elementos (no de uno u
otro, sino de ambos). El primero es un elemento
técnico y el segundo un elemento psicológico.
Elemento técnicoLa efectiva difusión (medición
de la acción en bytes)
Elemento psicológicoEl dolo o intencionalidad
de la descarga
9
Elemento Psicológico
10
Metadatos versus datos
Los únicos indicios obtenidos en los rastreos
P2P, son un conjunto de metadatos. El término
metadato significa datos que apuntan hacia otro
dato. Por ejemplo, en una biblioteca cada
libro tiene una ficha que indica su ubicación. La
ficha del libro sería el metadato y libro sería
el dato. Pero determina la ficha la existencia
del libro en la estantería? La respuesta es no.
Metadatos
Metadatos
Datos
N O E X I S T E A C C I Ó N A C
C I Ó N
Fases de una descarga P2P
Aclaración Los rastreadores deberían medir como
mínimo la difusión efectiva. La unidad de medida
es bytes difundidos. Aún así no se descartaría la
accidentalidad de la descarga.
11
Rastreadores no homologados
  • Para medir la velocidad de un coche o el alcohol
    en sangre de un conductor, se utilizan
    dispositivos homologados.
  • Los rastreadores P2P no están homologados por
    ningún organismo certificador.
  • La unidad de medida es el rastro P2P, medida que
    no descarta la accidentalidad, ni determina la
    difusión y el dolo requeridos en el artículo
    189.1.B del código penal.

12
Rastreadores P2P
Utilizando un Cliente P2P Rastreo de un único
archivoProcedimiento Bazooka
RastreadorHíspalis o Florencio Rastreo de entre
3 y 10 archivos
Nautilus Ares
Cuadro comparativo
13
No son programas rastreadores
  • Son clientes P2P comunes.
  • Aplicaciones creadas con la única finalidad de
    compartir archivos, no de rastrearlos.
  • Programas de código abierto modificables por
    cualquier usuario.
  • Cada cierto tiempo surgen nuevas versiones que
    corrigen determinados errores.

Procedimiento de rastreo
14
Procedimiento de rastreo eMule Plus PRE RASTREO
  • El agente se conecta a la red P2P mediante la
    utilización de un eMule Plus v1gR2.
  • Según indican, este cliente P2P puede descargar
    sin compartir ().
  • Se procede a la descarga del archivo investigado
    con este cliente P2P.
  • Una vez comprobado su contenido delictivo, se
    inicia el rastreo P2P con un eMule Plus v1.1g

DescargarAnexo 2 de la BIT
() Todas las versiones del eMule plus han sido
creadas para compartir archivos
15
Procedimiento de rastreo eMule Plus RASTREO
  • Con un eMule Plus v1.1g se inicia brevemente el
    proceso de descarga del archivo investigado.
  • El agente pasa el ratón sobre cada una de las
    fuentes que muestren bandera española y que
    ofrezcan un valor QR (cola de descarga).
  • Pulsa las tecla Impr-Pant y pega la impresión de
    pantalla en un documento de Word.

DescargarAnexo 2 de la BIT
16
Procedimiento de rastreoHíspalis - Florencio
  • El rastreador Híspalis fue presentado en el 2005
    por la Guardia Civil en la operación Azahar.
  • Fue creado por Albert Gabás, de la empresa
    Astabis.
  • De momento parece que únicamente es utilizada por
    la Unidad de Delitos Telemáticos de la Guardia
    Civil. Quizás ha sido utilizado por la Interpol
    de Brasil en las operaciones Carrusel y Ruleta.

Procedimiento de rastreo
17
Procedimiento del rastreador Híspalis
Simplificando, como funciona (esta
publicado) y se puso en marcha Híspalis 1.-
Guardia Civil de sus incautaciones tiene miles de
imágenes, Imagen1.jpgImagen2.jpgImagen3.jpg 2.-
Cada imagen tiene su Hash ED2K, variante de MD4
que es el que usa eDonkey para el intercambio
integro de ficheros Imagen1.jpg -gt
987c013e991ee246d63d45ea71454c6dImagen2.jpg -gt
742c013e991ee266d63d45ea71854c3dImagen3.jpg -gt
123c013e991ee286d63d45ea71054c8d 3.- Este
listado 987c013e991ee246d63d45ea71454c6d742c013e
991ee266d63d45ea71854c3d123c013e991ee286d63d45ea7
1054c8d Se introduce en el programa
Hispalis. 4.- El programa conecta con los
servidores de eDonkey y pregunta quien
tiene/difunde ese hash/contenido. 5.- El
resultado es univoco, quien detecta Hispalis es
que tiene y está difundiendo ese contenido
completo. Un usuario cuando conecta a un
servidor de eDonkey le dice que tiene, y eso pasa
a ser público, ya que la finalidad es compartir
esos contenidos, Hispalis solo pregunta al
servidor y el servidor responde. Te recomiendo
lectura http//www.cs.huji.ac.il/labs/danss/p2p/r
esources/emule.pdf AtentamenteAlbert Gabàs
AstabisInformationRisk Management
18
Cuadro comparativo
19
Rastros técnicos
M e t a d a t o
D a t o Que sepamos, parece que los
rastreadores se limitan al nivel de metadatos,
sin comprobar en ningún momento la difusión
efectiva
Difusión EfectivaEl rastreador inicia la
recepción del archivo desde la IP investigada
20
IP pública
  • La IP pública es la identificación indubitada de
    un punto de acceso a internet, asignada por una
    operadora.
  • Habitualmente suele ser un router instalado en un
    domicilio.

74.125.45.100
74.125.127.83
87.248.121.75
65.55.39.12
21
IP Privadas
  • Detrás de una IP pública pueden existir uno o
    varios PC con direcciones IP privadas

192.168.2.100
192.168.2.5
192.168.2.X
192.168.2.2
74.125.45.100
INTERNET
22
Errores de interpretación sobre la IP Pública
  • Una IP pública no es la matrícula de un ordenador
    en internet.
  • Tampoco es el DNI del usuario en internet.
  • Detrás de una IP pública pueden existir uno o
    varios ordenadores, uno o varios usuarios, uno o
    varios clientes P2P, WIFI abiertas, virus o
    troyanos,
  • POR TANTO ?

23
Hash de usuario
  • El HASH de usuario es el identificador único de
    una instalación eMule en un ordenador.
  • Se genera aleatoriamente cuando el eMule se
    ejecuta por primera vez y se conecta a un
    servidor P2P.
  • Podría compararse con la matrícula de una
    instalación eMule.
  • Es un dato imprescindible para determinar en el
    registro domiciliario, desde qué ordenador se
    produjo la descarga

24
Cada instalación eMule tiene su propio HASH DE
USUARIO
  • El HASH de usuario está compuesto por una ristra
    de 32 caracteres, por ejemplo
  • C8A5A72D7F0ED33EC3AD97BD1C436FBA

25
Nombre del usuario
  • Cuando instalas un clientes P2P, te ofrece la
    opción de escribir un nombre de usuario.
  • Si no lo cambias, cada programa P2P te asignará
    un nombre genérico por defecto, el mismo nombre
    para todos los usuarios genéricos.
  • El nombre de usuario genérico de un eMule es
    http//emule-project.net. Cada MOD pone su propio
    nombre de usuario genérico.
  • Si el usuario ha introducido un nombre
    específico, éste debería ser contrastado in
    situ, en el posterior registro domiciliario.

26
Nombre del Archivo
  • Como en Windows, los nombres de los archivos
    pueden ser nombres largos de múltiples palabras.
  • Cuando realizamos una búsqueda en un eMule, el
    proceso intenta localizar una o varias de esas
    palabras en los nombres de archivo.
  • Si buscásemos la palabra SEX en nuestro eMule,
    podría aparecernos por ejemplo, referencias al
    archivo Sex Bomb.mp3 o enfermedades
    sexuales.avi.

27
Fake files
  • En las redes P2P son frecuentes los FAKE FILES,
    archivos cuyo nombre no hace referencia a su
    contenido.
  • Por tanto, el nombre del archivo podría no
    determina su contenido.

Cabe la posibilidad
28
Hash de archivo
  • El HASH de un archivo, al igual que el HASH de
    usuario, consta de una ristra de 32 caracteres.
  • Está basado en un algoritmo de resumen de
    contenido, denominado MD4.
  • Tiene dos funciones dentro de la red eDonkey

29
Hash de archivocomo identificador
  • Cuando un archivo se introduce en la carpeta
    incoming de un eMule en ejecución, éste
    calcula su valor MD4 apartir del contenido del
    archivo.
  • Una vez generado, la red P2P promociona los
    metadatos (hash de archivo IP Pública) entre
    servidores y clientes P2P.
  • El MD4 ha sido vulnerado. Puede existir un Hash
    de archivo identificando a contenidos
    diferentes.Las colisiones MD4 existen.
  • Existen empresas que promueven acciones frente a
    las descargas P2P protegidas por derechos de
    autor, ofreciendo entre sus servicios, la
    creación de ficheros clones, partes
    corruptas, ficheros señuelo, etc.

30
Colisiones MD4
  • El algoritmo de resumen de contenido MD4 fue
    creado en 1990.
  • Quedó académicamente vulnerado en 1996.
  • En la conferencia CRYPTO 2004, el chino Dengguo
    Feng, determinó con una dramática afirmación que
  • Las colisiones MD4 se pudieron calcular a mano

Cabe la posibilidad
31
Hash de archivo como verificador de contenido
  • El MD4 es un algoritmo de resumen de contenido.
  • Su principal función (como algoritmo de resumen
    de contenido) consiste en determinar la validez
    del archivo recibido.
  • Por tanto, el HASH de archivo no determina el
    contenido de forma remota.
  • Su utilidad se sitúa una vez recibido el archivo,
    comprobando la consistencia del mismo.

32
Valor QR o número de cola
  • Cuando se inicia el proceso de rastreo, las
    fuentes puedes mostrarse en 3 estados
  • Es importante señalar que a partir del eMule Plus
    v1.1g también se marca como estado 2, las fuentes
    que no respondan a la solicitud de cola de
    descarga.
  • CHANGE output "Queue Full" if eMule client does
    not send us QR packet Eklmn

Ver Control de cambios eMule v.1.1g
VerFalse Queue Rank
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Diapositiva 1" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!