Peritación Informática de Emule y Pornografía Infantil
Un tipo de caso que puede causar cierta controversia en lo que a ética profesional se refiere, es la realización de un informe pericial informático sobre unas descargas de Internet a través de un programa de compartición de ficheros P2P tipo emule, torrent, etc. Sobre todo, si el contenido que se ha descargado es de pornografía infantil.
Internet ha facilitado mucho el acceso a este tipo de contenidos y sus distribución. De tal manera que hoy en día desde el ordenador de casa se puede acceder a este tipo de contenidos sin problema. Este material está alojado generalmente en servidores de fuera de la unión europea con unas normativas más permisivas. Con respecto a España, tenemos el «honor» de ser el país que más consume en Europa y el segundo en el mundo.
El software «Emule Quijote» es el sistema que usan las fuerzas de seguridad para la prevención del tráfico de material pedófilo a través de Internet en España. Se basa en la identificación de los hashes previamente tutorizados y la localización de los orígenes y destinos a través de conexiones P2P. Este sistema evita que puedan cambiar de nombre el fichero y perderse. Al existir el medio criptográfico, se hace perfectamente viable la trazabilidad.
Por lo tanto, cuando ocurre una entrada y registro para precintar los equipos y discos de un posible pedófilo, se abre un sistema de investigación, por tenencia y compartición de pornografía infantil. Es decir, la peritación informática se hace necesaria cuando existen casos en los que si existe tenencia, pero no compartición de pornografía infantil.
Defender una descarga de pornografía infantil
Reciemente hemos resuelto un caso de peritiaje sobre pornografía infantil en Barcelona, en el que nuestros peritos realizaron una investigación y análisis forense sobre el marterial descargado. Para entender mejor la situación de un tema tan delicado como este, lo primero que debemos destacar es: la descarga de cualquier contenido pedófilo es ilegal.
Se dan tres circunstancias cuando se produce un rastreo de la Guardia Civil en Internet para saber quién se está descargando pornografía infantil:
- Curiosidad: el usuario ha buscado esa información concreta, cadenas de búsquedas concretas de menores, se han descargado y se han borrado o se han sacado de ese ordenador. Suele ser, según nos indican los clientes, descargas de Internet por curiosidad.
- Nombre falso: son personas que usan el sistema P2P para descargar cualquier tipo de contenido y cuando se bajan una película, resulta que el nombre era uno y el contenido es pedófilo. En este caso, el usuario suele borra inmediatamente el contenido, ya que se ha obtenido de forma accidental.
- Delito: en el caso en el que se sabe lo que se está descargando y se fomenta la compartición de este tipo de contenido. Suelen tener varios discos duros con material y perfectamente etiquetados los nombres.
Las cadenas de búsqueda son el número y las letras «yo» (years old), por ejemplo 10yo; Phdtc, etc. Cuando los agentes de las Fuerzas de Seguridad del Estado encuentran todos los argumentos en relación a un ordenador, encuentran las descargas, las comparticiones, los ficheros, los discos duros y se ven todas estas cadenas de búsqueda y los ficheros pedófilos en uso compartido, no hay defensa posible.
En los casos donde el cliente ha descargado y ha borrado; y en el caso de la persona curiosa, la defensa consiste en la realización de un informe pericial sobre el uso verídico que se le ha dado. En el caso de la descarga errónea, que no se ha visualizado ni compartido y que el fichero es erróneo. En el caso del curioso, la peritación informática consistirá en discernir que sólo ha sido descarga y no compartición.
Una vez que se ha realizado la extracción forense del disco duro, con su copia y su hash, en modo sólo lectura hay que centrarse en una serie de parámetros, como por ejemplo:
Dentro del directorio: [root]\Users\[usuario]\AppData\Local\eMule\config\ veremos que existen una serie de ficheros que son interesantes y que guardan información relativa a la actividad y comportamiento del citado programa, los cuales son:
PREFERENCES.INI
Almacena los parámetros de funcionamiento y configuración, ya sea introducidos previamente en las opciones de configuración del programa eMule, así como cierta información acerca de los detalles visuales, etc., que pueden ser modificadas por el Usuario. En este fichero se puede comprobar si existe un mod de Emule.
El perito informático comprobará el mod. Un mod es una modificación del programa original y puede valer para, cuando se hace la peritación informática de emule, comprobar si el usuario ha bloqueado la subida de datos y, por tanto, podría ser una prueba de que se ha intentado evitar la subida de contenido.
Se indica también la Carpeta donde se almacena los archivos descargados completamente y la Carpeta donde se almacenan los archivos en proceso de descarga.
AC SEARCHSTRINGS
Almacena todas las cadenas de búsqueda utilizadas, todo ello, con el fin de ofrecer la opción de autocompletar, si una nueva búsqueda coincide con otras anteriores, salvo que se desmarque la opción de recordar en la configuración del eMule, o se elimine este archivo, que se vuelva a crear automáticamente, cuando se ejecuta nuevamente el software eMule.
Se pueden revisar las búsquedas que se han realizado y, de aquí extraer si ha existido una continuidad. Es básico para cualquier caso de pornografía infantil. El contenido de este archivo puede ser modificado tantas veces como se desee, por parte del usuario del programa, usando la opcion “limpiar historial”, o dentro de la opción preferencias desmarcando la opción “recordar historial”.
KNOWN.NET
Este archivo, guarda todos aquellos archivos que el eMule instalado ha descargado completamente, siempre y cuando no se haya producido una interrupción voluntaria o accidental de la descarga, además de guardar más información sobre esos archivos, tales como su tamaño y nombre, valores de hashes, estadísticas, peticiones, bytes compartidos, etc…, aunque los mismos hayan sido borrados del disco duro.
En los casos de pedofilia, hay que comprobar que los archivos descargados coinciden con las búsquedas almacenadas en AC SEARCHSTRINGS.
STATISTICS.INI
Este fichero se encuentra en la misma ruta, hay que centrarse en las columnas Request Total (total de peticiones), Request Accepted (peticiones aceptadas) y TotalUploadedBytes (bytes compartidos).
Imaginemos esta tabla
Requests Total | Requests Accepted | TotalUploadedBytes | TotalDownloadedBytes |
8660 | 3969 | 5442836910 | 74597841221 |
Esta tabla indica que se puede afirmar, que estos archivos han sido peticionados 8660 ocasiones, de las que el eMule ha aceptado 3969 conexiones, habiendo compartido un total de 5.442.836.910 bytes (5,07 Gb), y se ha descargado un total de 74.597.841.221 de bytes (69,47Gb).
DOWNLOADS.TXT
Este archivo alberga un listado de los archivos x.part y enlaces eD2K correspondientes a cada una de las descargas actuales del eMule. Se actualiza cada vez que se inicia el eMule. Son los archivos que están en proceso de descarga, dentro del directorio ejegido.
FICHEROS BORRADOS
Han podido ser descargados y borrados ciertos ficheros que puedan resultar interesantes para la peritación informática. Se hace necesario realizar una recuperación de datos.
La búsqueda de ficheros .part y .part.met son necesarias.Puesto que estos son los temporales, es decir, los que crea emule cuando descarga un fichero antes de que se complete.
El perito informático también tendrá que realizar la búsqueda en el directorio destino de las descargas.
Así mismo, hay que mirar el directorio \Users\[usuario]\AppData\Roaming\Microsoft\Windows\Recent\que es donde se almacenan las entradas de los archivos abiertos recientemente.
Archivo de Índices $I30
Pueden existir entradas almacenadas en el fichero de índices $I30 del MFT del sistema de ficheros del sistema operativo.
RESUMEN DE EMULE
o
|
Known.metThe Known.met saves all files eMule knows of whether they are shared files, files currently in the download list or downloaded in the past. For every file information like file size, filename, hash sets, hash values and some statistics are saved. If you delete this file, eMule will have to rehash all files on the next restart. If you don’t want eMule to remember downloaded files, disable the «Remember downloaded files» option in the preferences. |
o
|
Known2_64.metStores AICH hashes of all downloaded and / or shared files. If you delete this file, eMule will have to rehash all files on the next restart. If you don’t want eMule to remember downloaded files, disable the «Remember downloaded files» option in the preferences. |
o
|
Known2.metThis file is not used by eMule anymore. If you do not plan to downgrade to an earlier version, you can delete this file. |
o
|
Cancelled.metAll files which you started to download but then cancelled before completing are noted here, so eMule can mark those files to avoid redownloading them again. If you don’t want eMule to remembercancelled files, disable the «Remember cancelled files» option in the preferences. |
o
|
Clients.metThis file stores all users who have credits with your eMule |
o
|
Server.metContains all known servers. |
o
|
Emfriends.metIf users are added to the friends list they are stored in this file. |
o
|
Preferences.iniSaves all options set in the Options dialog and information about visual details like column size etc. Some development related and advanced options can only be enabled by editing this file, see this topic for details. |
o
|
Fileinfo.iniComments or Ratings for your own shared files. |
o
|
Category.iniStores the settings of your categories like name, comment and colour coding. |
o
|
Ipfilter.datThis file contains the IP ranges and access levels to be filtered by the IP Filter. Also see Options -> Security |
o
|
Onlinesig.datThe Online Signature is a small file which contains the server eMule is connected to and up- and download statistics. Can be used by IRC scripts or signature images. |
o
|
Preferences.datSaves the user hash. This is a value calculated at eMule’s first start and is used to identify this client in the network. Used for credit system and friends. |
o
|
Sharedir.datHolds the paths to all shared directories. |
o
|
Staticservers.datStatic servers never change their IP and are theoretically always online in the network. These servers can be added to staticservers.dat by the context menu (right mouse button) of the server list. See also Options -> Server |
o
|
Addresses.dateMule updates its server list at startup if valid addresses to server.mets are provided in this file. Options -> Server offers a button to edit this list and the option for updating at start up. The file may contain multiply entries (one on each line) but only the first address to deliver a valid server.met is used. |
o
|
AC_SearchStrings.datEach search string that has been used is recorded and an auto-completing is offered if a new search matches previous ones. |
o
|
AC_ServerMetURLs.datSame file as the the one above. The only difference is that this one is used to store entered URL to server.met files. Mind that many sites regularly change the addresses to their server.mets. |
o
|
Cryptkey.datContains the unique 384 bit private RSA key of your client to verify your userhash. If you delete this file, make sure to also delete preferences.dat which stores your userhash. |
o |
Collectioncryptkey.datThis file only exists if you have created and signed at least one collection in eMule. It contains a unique 1024 bit RSA key, which will be used for all collections you are signing to verify that they are from the same author. |
o
|
eMule.tmplThe *.tmpl files are required for the Webinterface. They define layout and options of the displayed pages. |
o
|
xx.partPart files are unfinished downloads. eMule is able to download from more than one user at the same time, so the *.part files always have the size of finished download. Missing parts are simply filled with zero. In recent versions, and when using the NTFS filesystem, you can enable to option to share incompleted files as ‘sparse’, which prevents this behaviour and in doing so saves filespace. |
o
|
xx.part.metEvery *.part file has a corresponding *.part.met file. To identify a download in the network and to check for errors each download is divided in about 9 MB parts. For each part a so called hash value is calculated. Then a new hash value is created of the complete set of these part hashes. This information together with the file name and the status of the hashes are stored in the *.part.met files. |
o
|
xx.part.met.BAKA backup of the *.part.met files is created as it is very bad if such a file gets corrupted by a crash. See Troubleshooting for help, if your downloads vanish due to corrupted *.part.met files. |
o
|
eMule.logSaves the output of the Log window in the Server pane if the appropriate option in Options -> Extended is turned on |
o
|
eMule_Debug.logSaves the output of the Debug window in the Server pane if the appropriate option in Options -> Extended is turned on |
o
|
src_index.dat, preferencesKad.dat, nodes.dat, key_index.dat, load_index.datThose files are used by Kad and contain infromations about known nodes, keywords, preferences etc. |
Compartir o descargar ficheros de contenido pedófilo
Como hemos dicho anteriormente la diferencia está en la condena. Al descargar ficheros, se supone el uso personal; pero al compartirlo, se está fomentando el despliegue y copia del material. De ahí que sea tan importante la labor del perito informático y el análisis forense de los datos.
Contacte con nuestros Peritos Informáticos
En Perito Informático Valencia contamos con peritos informáticos cualificados que han resuelto más de 700 casos. Para cualquier consulta, no dude en llamarnos al teléfono gratuito 963 05 20 15, o ponerse contacto a través de nuestro formulario de contacto de nuestra página Web, estaremos encantados de atenderle.