La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Rastreos P2P Rastreos P2P (sin orden judicial) Rastros técnicos Rastros técnicos ¿difusión? Rastros psicológicos Rastros psicológicos ¿intención? 1 1 Artículo.

Presentaciones similares


Presentación del tema: "Rastreos P2P Rastreos P2P (sin orden judicial) Rastros técnicos Rastros técnicos ¿difusión? Rastros psicológicos Rastros psicológicos ¿intención? 1 1 Artículo."— Transcripción de la presentación:

1 Rastreos P2P Rastreos P2P (sin orden judicial) Rastros técnicos Rastros técnicos ¿difusión? Rastros psicológicos Rastros psicológicos ¿intención? 1 1 Artículo B Difusión dolosa titulares Identificación de los titulares de las IP en el momento del rastreo (previa autorización judicial) 2 2 simultáneos Registros domiciliarios simultáneos de los titulares notificados por las operadoras (previa autorización judicial) 3 3 Investigación Justificación jurídica Procedimiento judicial Nuestra premisa Aparecer como fuente disponible de un archivo ilegal en las redes P2P no determina la tenencia ni descarta la accidentalidad. Nuestra premisa Aparecer como fuente disponible de un archivo ilegal en las redes P2P no determina la tenencia ni descarta la accidentalidad. Premisa errónea Aparecer como fuente disponible de un archivo ilegal en las redes P2P determina que se tiene y que existe intención de difundir Premisa errónea Aparecer como fuente disponible de un archivo ilegal en las redes P2P determina que se tiene y que existe intención de difundir :05

2 Rastros psicológicos ST105/2009 acción de compartir archivos recibidos número de elementos Cuando se trata de una acción de compartir archivos recibidos, tal dolo se ha de inducir del número de elementos que son puestos en la red a disposición de terceros no puede ser una actividad automatizada sin control del autor con intención En derecho penal tal facilitación no puede ser una actividad automatizada sin control del autor, sino posibilitando la misma con intención de distribución o difusión Descargas accidentales 100 avisos diarios Los agentes reciben en España más de 100 avisos diarios de descargas accidentales con pornografía infantil gracias a la denuncia Un buen número de operaciones, se originan gracias a la denuncia de un internauta que se ha tropezado accidentalmente con un archivo Disparidad de criterio 5 rastros Año 2005 Rastreador Híspalis 5 rastros 1 rastro Año Procedimiento Bazooka 1 rastro 3 rastros Año 2008 Operación Carrusel 3 rastros 10 rastros Año 2009 Operación Ruleta 10 rastros

3 Registros Domiciliarios Inmediatamente después sin mediar ningún tipo de investigación Inmediatamente después a la recepción de las identificaciones de los titulares de las IP aparecidas en el momento de los rastreos, y sin mediar ningún tipo de investigación, se justifica judicialmente los registros domiciliarios (retirar el amparo del artículo 18.2 de la CE). Para ello, los agentes nuevamente deben justificar la gravedad del delito. El juez, si procede, realizaría un reparto judicial provincial. simultánea Injustificadamente, los registros domiciliarios re realizan de forma simultánea en el territorio nacional. Esta situación da a entender erróneamente, que los detenidos forman parte de una red organizada. no tiene conocimientos informáticos Durante el registro domiciliario, es el Secretario Judicial el que debe dar fe de todo lo que se realiza. En muchas ocasiones esta figura jurídica no tiene conocimientos informáticos.

4 Antes debes saber que mandamiento judicial a las operadoras traducir conductas delictivas Para justificar a un Juez la gravedad de este delito, y que éste libre mandamiento judicial a las operadoras para identificar a los titulares de las IP en los momentos del rastreo, los agentes (peritos del Estado) tienen que traducir el resultado de sus rastreos, realizados sin orden judicial previa, en conductas delictivas. Continuar con el proceso de identificación de los titulares de las IP Continuar con el proceso de identificación de los titulares de las IP

5 Identificación de los titulares de las IP justificada la gravedad mandamientos judiciales titulares de esas IP momento del rastreo Una vez justificada la gravedad del delito, los agentes solicitan al juez los mandamientos judiciales para que las operadoras identifiquen a los titulares de esas IP en el momento del rastreo. Al cabo de unos días o semanas, las operadoras notifican o no, los datos disponibles de los titulares de esa IP en el momento del rastreo. dinámicas o cambiantes día y hora de obtención día hora en la que es liberada La gran mayoría de las IP públicas en internet son dinámicas o cambiantes, así que las operadoras detallan día y hora de obtención de la IP y día hora en la que es liberada.

6 Identificación de los titulares de las IP En algunas ocasiones, el periodo de tiempo señalado por las operadoras es muy escaso u ofrece dudas. Estas notificaciones suelen ser descartadas por los agentes. sólo informan de quién tenía determinada IP Es importante señalar que las operadoras sólo informan de quién tenía determinada IP durante qué tiempo. Nunca informan sobre qué contenidos Nunca informan sobre qué contenidos se estaba descargando desde esa conexión. IMPORTANTE: Nunca se intercepta las comunicaciones IMPORTANTE: Nunca se intercepta las comunicaciones al titular de la IP (art de la CE), limitándose este proceso a la mera notificación de quién era el titular (18.1 intimidad personal).

7 Derechos fundamentales versus bien jurídico protegido Derechos fundamentales según la Constitución Española Bien jurídico protegido por el artículo B Artículo 24.1 de la CE No Indefensión Artículo 24.2 de la CE Presunción de inocencia Artículo 18.2 de la CE Inviolabilidad del domicilio Artículo 18.1 de la CE Honor, intimidad personal y familiar Indemnidad, la seguridad y la dignidad de la infancia en abstracto Aclaración: delito tecnológico Aclaración: Paradójicamente, frente a un delito tecnológico, nunca se interceptan las comunicaciones del internauta investigado (18.3CE). De esta forma se podría realizar un seguimiento de los hábitos del internauta, descartando registro domiciliarios innecesarios.

8 Artículo B Difusión dolosa Acción delictiva Dolo Difusión efectiva acción delictiva dos elementos técnico psicológico La acción delictiva contemplada en el artículo B requiere de dos elementos (no de uno u otro, sino de ambos). El primero es un elemento técnico y el segundo un elemento psicológico. La efectiva difusión Elemento técnico La efectiva difusión (medición de la acción en bytes) El dolo o intencionalidad Elemento psicológico El dolo o intencionalidad de la descarga

9 Elemento Psicológico ST105/2009 Cuando se trata de una acción de compartir archivos recibidos, tal dolo se ha de inducir del número de elementos que son puestos en la red a disposición de terceros En derecho penal tal facilitación no puede ser una actividad automatizada sin control del autor, sino posibilitando la misma con intención de distribución o difusión Descargas accidentales 100 avisos diarios Los agentes en España reciben más de 100 avisos diarios de descargas accidentales con pornografía infantil gracias a la denuncia Un buen número de operaciones, se originan gracias a la denuncia de un internauta que se ha tropezado accidentalmente con un archivo No aplicable P2P ST 592/2009 No son aplicables a las descargas P2P los agravantes del Artículo 74 no aplicable No existe delito continuado sobre un bien jurídico abstracto

10 Metadatos Metadatos versus datos Usuario IP pública Hash de usuario Nombre de usuario Archivo Nombre de archivo Hash de archivo Valor QR metadato datos que apuntan hacia otro dato Los únicos indicios obtenidos en los rastreos P2P, son un conjunto de metadatos. El término metadato significa datos que apuntan hacia otro dato. Por ejemplo, en una biblioteca cada libro tiene una ficha que indica su ubicación. La ficha del libro sería el metadato y libro sería el dato. ¿Pero determina la ficha la existencia del libro en la estantería? La respuesta es no. Estado 1 Consultando o intercambiando fuentes (QR) o Queue Full Estado 2 Posicionamiento en la Cola de Descarga (QR) o Queue Full Difusión Efectiva Estado 3 Se inicia la descarga Difusión Efectiva MetadatosDatos Fases de una descarga P2P N O E X I S T E A C C I Ó N A C C I Ó N Aclaración: difusión efectiva bytes difundidosaccidentalidad Aclaración: Los rastreadores deberían medir como mínimo la difusión efectiva. La unidad de medida es bytes difundidos. Aún así no se descartaría la accidentalidad de la descarga.

11 Rastreadores no homologados Para medir dispositivos homologados Para medir la velocidad de un coche o el alcohol en sangre de un conductor, se utilizan dispositivos homologados. no están homologados Los rastreadores P2P no están homologados por ningún organismo certificador. rastro P2Pmedida que no descarta la accidentalidad, ni determina la difusión y el dolo La unidad de medida es el rastro P2P, medida que no descarta la accidentalidad, ni determina la difusión y el dolo requeridos en el artículo B del código penal.

12 Rastreadores P2P Utilizando un Cliente P2P Utilizando un Cliente P2P Rastreo de un único archivo Procedimiento Bazooka Rastreador Híspalis o Florencio Rastreador Híspalis o Florencio Rastreo de entre 3 y 10 archivos Cuadro comparativo Nautilus Ares

13 No son programas rastreadores Son clientes P2P comunes. Son clientes P2P comunes. con la única finalidad de compartir Aplicaciones creadas con la única finalidad de compartir archivos, no de rastrearlos. código abierto modificables Programas de código abierto modificables por cualquier usuario. Cada cierto tiempo surgen nuevas versiones que corrigen determinados errores. Procedimiento de rastreo

14 Procedimiento de rastreo eMule Plus – PRE RASTREO eMule Plus v1gR2 1.El agente se conecta a la red P2P mediante la utilización de un eMule Plus v1gR2. descargar sin compartir 2.Según indican, este cliente P2P puededescargar sin compartir (*). 3.Se procede a la descarga del archivo investigado con este cliente P2P. eMule Plus v1.1g 4.Una vez comprobado su contenido delictivo, se inicia el rastreo P2P con un eMule Plus v1.1g (*) Todas las versiones del eMule plus han sido creadas para compartir archivos Descargar Descargar Anexo 2 de la BIT

15 Procedimiento de rastreo eMule Plus – RASTREO eMule Plus v1.1g brevemente 5.Con un eMule Plus v1.1g se inicia brevemente el proceso de descarga del archivo investigado. bandera española valor QR 6.El agente pasa el ratón sobre cada una de las fuentes que muestren bandera española y que ofrezcan un valor QR (cola de descarga). Impr-Pant 7.Pulsa las tecla Impr-Pant y pega la impresión de pantalla en un documento de Word. Descargar Descargar Anexo 2 de la BIT

16 Procedimiento de rastreo Híspalis - Florencio rastreador Híspalis operación Azahar El rastreador Híspalis fue presentado en el 2005 por la Guardia Civil en la operación Azahar. Albert Gabás Astabis Fue creado por Albert Gabás, de la empresa Astabis. parece Quizás De momento parece que únicamente es utilizada por la Unidad de Delitos Telemáticos de la Guardia Civil. Quizás ha sido utilizado por la Interpol de Brasil en las operaciones Carrusel y Ruleta. Procedimiento de rastreo

17 Procedimiento del rastreador Híspalis Simplificando, como funciona (esta publicado) y se puso en marcha Híspalis: 1.- Guardia Civil de sus incautaciones tiene miles de imágenes, Imagen1.jpg Imagen2.jpg Imagen3.jpg 2.- Cada imagen tiene su Hash ED2K, variante de MD4 que es el que usa eDonkey para el intercambio integro de ficheros Imagen1.jpg -> 987c013e991ee246d63d45ea71454c6d Imagen2.jpg -> 742c013e991ee266d63d45ea71854c3d Imagen3.jpg -> 123c013e991ee286d63d45ea71054c8d 3.- Este listado: 987c013e991ee246d63d45ea71454c6d 742c013e991ee266d63d45ea71854c3d 123c013e991ee286d63d45ea71054c8d Se introduce en el programa Hispalis. 4.- El programa conecta con los servidores de eDonkey y pregunta quien tiene/difunde ese hash/contenido. 5.- El resultado es univoco, quien detecta Hispalis es que tiene y está difundiendo ese contenido completo. Un usuario cuando conecta a un servidor de eDonkey le dice que tiene, y eso pasa a ser público, ya que la finalidad es compartir esos contenidos, Hispalis solo pregunta al servidor y el servidor responde. Te recomiendo lectura: Atentamente – Albert Gabàs – Astabis InformationRisk Management

18 Cuadro comparativo VariableseMule Plus - BazookaHíspalis - Florencio Número de rastreosMomento puntualVarios momentos Rastros por HASH de usuario (márgenes) Un único rastroVarios rastros (entre 3 a 10) Rastros con valor QRSí (*)(*)No se especifica Rastros con difusión efectivaNo EstadoEstado 2Estado 1 o 2 HomologadoNo Creador Usado por Brigada de Investigación Tecnológica y probablemente en todas las operaciones basadas en el rastro de un único archivo ilegal. Unidad de Delitos Telemáticos de la Guardia Civil. Probablemente la Interpol de Brasil (operaciones Carrusel y Ruleta) Estado 1 Consultando o intercambiando fuentes (QR) o Queue Full Estado 2 Posicionamiento en la Cola de Descarga (QR) o Queue Full Difusión Efectiva Estado 3 Se inicia la descarga Difusión Efectiva

19 Rastros técnicos Usuario IP pública Hash de usuario Nombre de usuario Archivo Nombre de archivo Hash de archivo Valor QR M e t a d a t o Difusión Efectiva Difusión Efectiva El rastreador inicia la recepción del archivo desde la IP investigada D a t o Que sepamos, parece que los rastreadores se limitan al nivel de metadatos, sin comprobar en ningún momento la difusión efectiva

20 IP pública punto de acceso a internet La IP pública es la identificación indubitada de un punto de acceso a internet, asignada por una operadora. Habitualmente suele ser un router instalado en un domicilio

21 IP Privadas IP privadas Detrás de una IP pública pueden existir uno o varios PC con direcciones IP privadas X INTERNET

22 Errores de interpretación sobre la IP Pública no es la matrícula Una IP pública no es la matrícula de un ordenador en internet. Tampoco es el DNI Tampoco es el DNI del usuario en internet. pueden existir Detrás de una IP pública pueden existir uno o varios ordenadores, uno o varios usuarios, uno o varios clientes P2P, WIFI abiertas, virus o troyanos,… POR TANTO IP pública / Infractor P2P

23 Hash de usuario HASH de usuario El HASH de usuario es el identificador único de una instalación eMule en un ordenador. Se genera aleatoriamente cuando el eMule se ejecuta por primera vez y se conecta a un servidor P2P. de una instalación eMule. Podría compararse con la matrícula de una instalación eMule. qué ordenador Es un dato imprescindible para determinar en el registro domiciliario, desde qué ordenador se produjo la descarga

24 Cada instalación eMule tiene su propio HASH DE USUARIO El HASH de usuario está compuesto por una ristra de 32 caracteres, por ejemplo:C8A5A72D7F0ED33EC3AD97BD1C436FBA

25 Nombre del usuario Cuando instalas un clientes P2P, te ofrece la opción de escribir un nombre de usuario. Si no lo cambias, cada programa P2P te asignará un nombre genérico por defecto, el mismo nombre para todos los usuarios genéricos. El nombre de usuario genérico de un eMule es: project.net. Cada MOD pone su propio nombre de usuario genérico.http://emule- project.net debería ser contrastado Si el usuario ha introducido un nombre específico, éste debería ser contrastado in situ, en el posterior registro domiciliario.

26 Nombre del Archivo palabras Como en Windows, los nombres de los archivos pueden ser nombres largos de múltiples palabras. localizarpalabras Cuando realizamos una búsqueda en un eMule, el proceso intenta localizar una o varias de esas palabras en los nombres de archivo. SEX Sexsex Si buscásemos la palabra SEX en nuestro eMule, podría aparecernos por ejemplo, referencias al archivoSex Bomb.mp3 o enfermedades sexuales.avi.

27 Fake files FAKE FILES En las redes P2P son frecuentes los FAKE FILES, archivos cuyo nombre no hace referencia a su contenido. el nombre del archivo podría no determina su contenido Por tanto, el nombre del archivo podría no determina su contenido. Nombre del archivo / Contenido Cabe la posibilidad

28 Hash de archivo HASH de un archivo El HASH de un archivo, al igual que el HASH de usuario, consta de una ristra de 32 caracteres. algoritmo de resumen de contenidoMD4. Está basado en un algoritmo de resumen de contenido, denominado MD4. dos funciones Tiene dos funciones dentro de la red eDonkey Identificar un archivo Validar el contenido

29 Hash de archivo como identificador valor MD4 apartir del contenido Cuando un archivo se introduce en la carpeta incoming de un eMule en ejecución, éste calcula su valor MD4 apartir del contenido del archivo. promociona los metadatos Una vez generado, la red P2P promociona los metadatos (hash de archivo + IP Pública) entre servidores y clientes P2P. un Hash de archivo contenidos diferentes. colisiones MD4 El MD4 ha sido vulnerado. Puede existir un Hash de archivo identificando a contenidos diferentes. Las colisiones MD4 existen. Existen empresas que promueven acciones frente a las descargas P2P protegidas por derechos de autor, ofreciendo entre sus servicios, la creación de ficheros clones, partes corruptas, ficheros señuelo, etc.

30 Colisiones MD4 resumen de contenido El algoritmo de resumen de contenido MD4 fue creado en Quedó académicamente vulnerado en CRYPTO 2004Dengguo Feng En la conferencia CRYPTO 2004, el chino Dengguo Feng, determinó con una dramática afirmación que: Las colisiones MD4 se pudieron calcular a mano Un mismo Hash de archivo Distintos contenidos Cabe la posibilidad

31 Hash de archivo como verificador de contenido MD4algoritmo de resumen de contenido El MD4 es un algoritmo de resumen de contenido. principal función determinar la validez del archivo recibido Su principal función (como algoritmo de resumen de contenido) consiste en determinar la validez del archivo recibido. no determina el contenido de forma remota Por tanto, el HASH de archivo no determina el contenido de forma remota. una vez recibido el archivo Su utilidad se sitúa una vez recibido el archivo, comprobando la consistencia del mismo.

32 Cuando se inicia el proceso de rastreo, las fuentes puedes mostrarse en 3 estados: eMule Plus v1.1g Es importante señalar que a partir del eMule Plus v1.1g también se marca como estado 2, las fuentes que no respondan a la solicitud de cola de descarga. CHANGE: output "Queue Full" if eMule client does not send us QR packet [Eklmn] Valor QR o número de cola Estado 1 Consultando o intercambiando fuentes (QR) o Queue Full Estado 2 Posicionamiento en la Cola de Descarga (QR) o Queue Full Difusión Efectiva Estado 3 Se inicia la descarga Difusión Efectiva Ver Ver Control de cambios eMule v.1.1g Ver Ver False Queue Rank


Descargar ppt "Rastreos P2P Rastreos P2P (sin orden judicial) Rastros técnicos Rastros técnicos ¿difusión? Rastros psicológicos Rastros psicológicos ¿intención? 1 1 Artículo."

Presentaciones similares


Anuncios Google