Antes de comenzar a leer este artículo, quiero dejar claro que esto no es más que un ejercicio técnico de revisión de documentos, y que un informe pericial podría sacar mucha más información. Es cierto que con tal cantidad de documentos filtrados, era imposible no pensar en analizar los metadatos de todos ellos para ver qué se podía extraer en global de todos ellos, pero desconocemos si fue la misma persona la que los escaneó, los empaquetó en ficheros .ZIP y la que los filtró en Internet. Vamos a hacer un pequeño análisis forense digital, a ver qué sale.
Figura 1: Vídeo-Tutorial de Forensic FOCA
Para este ejercicio que formará parte de los ejemplos ejemplares de análisis forense de metadatos supondremos que todas son personas distintas - hasta que se demuestre lo contrario - y solo se hace un ejercicio de análisis de metadatos para ver qué sale. Por supuesto, para hacer esta tarea de análisis de más de 5GB de datos nada mejor que Forensic FOCA que para esto se creó.
Los ficheros comprimidos
Los documentos se publicaron en ficheros .ZIP comprimidos, en los que aparecían archivos de miniaturas Thumbs.db, lo que podría significar que se habían creado con un Windows XP o anteriores. En el último de ellos, relativo a la contabilidad de 2011 aparecía sin embargo, entre la compleja estructura de carpetas, un fichero .DS_Store, típico de sistemas operativos Mac OS X, lo que parece que se podría haber hecho desde varios ordenadores el empaquetado de los documentos. Así que hemos de suponer que la persona que los empaquetó, o era una con dos equipos distintos, o fueron dos personas distintas.
Figura 2: Thumbs.db en ZIP de año 1999 |
Los ficheros descomprimidos
Si se descomprimen los ficheros, aparecen más de 400 documentos en formato PDF. Todos ellos son copias escaneadas de documentos originales, pero tenemos la ventaja de que no han sido limpiados de metadatos, por lo que se puede extraer mucha información de ellos. Para analizarlos con Forensic FOCA se extraen todos y se arrastran a la herramienta. El resto se hace solo.
Que aparezcan los ficheros comprimidos con archivos de miniaturas y los documentos PDF con metadatos podrían hacernos pensar que la persona que filtró los documentos en Internet o no es la misma que los escaneó y comprimió - y por tanto no le importa la info que de ahí se pueda extraer - o no tiene un perfil técnico alto, lo que haría pensar más en una filtración de alguien con acceso a los documentos en lugar de un ataque hacktivista.
Figura 3: Lista de documentos publicados |
Que aparezcan los ficheros comprimidos con archivos de miniaturas y los documentos PDF con metadatos podrían hacernos pensar que la persona que filtró los documentos en Internet o no es la misma que los escaneó y comprimió - y por tanto no le importa la info que de ahí se pueda extraer - o no tiene un perfil técnico alto, lo que haría pensar más en una filtración de alguien con acceso a los documentos en lugar de un ataque hacktivista.
Las rutas a carpetas
Si miramos al estructura de carpetas que aparecen, es curioso ver unidades como m: o t:, lo que significa que se está utilizando algún tipo de sistema de almacenamiento en red NAS para guardar todos los documentos mientras se escanean. Si hubiera que especular sobre el sistema, parece un scaner/digitalizados/multifunción que come documentos y genera los PDF, pero hay cosas que generan diferencias más adelante.
Figura 4: Rutas a carpetas encontradas en los documentos PDF |
El software utilizado
Esta información sí que es relevante, pues además de software muy común como Adobe Acrobat o Adobe Distiler, aparecen versiones de software muy concretas, como EFI Cyclone o Developer Express Inc.
La primera de ellas es especialmente llamativa, pues es software de impresión profesional que se usa en impresoras de gama alta utilizadas en centros de reprografía de documentos. La lista de equipos que incorporan estas librerías de EFI puede consultarse en la web del fabricante. Nitro PDF Professional tampoco es un software demasiado común, y la versión 6 es bastante antigua.
Las fechas de creación de los documentos
Tras analizar cuándo se crearon y modificaron los documentos, puede verse como se crean y modifican los ficheros PDF. Esto es algo típico de documentos creados página a página, es decir, se digitaliza la página 1 y se crea el documento, luego se digitaliza la página 2, y se modifica el documento PDF anterior.
Las fechas de creación de estos documentos digitalizados comienzan a hacerse en serie a partir del 8 de Febrero de 2013 en adelante, lo que parece que se hizo a conciencia, ya que hay miles de páginas entre todos los documentos.
Figura 7: Algunos documentos creados el 7 y 8 de Julio |
Los usuarios
No aparecen usuarios en casi ningún documento, pero hay 4 de ellos en los que sí. En uno de ellos aparece un genérico Administrador, pero en otros tres documentos aparece el nombre de un usuario MAGomezc.
Este nombre, que parece algo similar a Miguel Ángel Gómez C., Marco Antonio Garmendia Crespo o cualquiera de ese estilo, aparece en tres documentos digitalizados en el año 2008, es decir, hace 5 años, pero que podría indicar a una persona concreta.
Por supuesto, este metadato sólo dice que se escaneo desde un equipo en el año 2008 en el que el usuario que estaba trabajando con ese Adobe Acrobat PDF Maker 7.0 era MAgomezc.
Al final, serán los investigadores de este caso los que tendrán que casar software con equipos personales de personas o tiendas, modelos de impresoras/digitalizadoras con dueñas, y nombres de usuarios con personas, pero esa ya es labor policial y queda lejos de nuestro objetivo por ahora.
Saludos Malignos!
¿Es posible que acabéis de haber destapado al que los filtró, ese tal Miguel Ángel Gómez?
ResponderEliminarPuede que le hayáis hecho una señora put*da.
Yo discrepo sobre la putada. Ya que si es real la contabilidad, la putada es para todos los españoles de a pie que vamos pagando impuestos y trabajamos para poder disfrutar un poquito mientras estos cabrones viven a cuerpo de rey.
ResponderEliminarSiempre se deriva la atención al chivato y no se presta atención al que comete el delito grande...
Gran trabajo el que se puede realizar con FOCA, creo que es una gran y muy útil aplicación
No es ninguna "putada". Eso los informáticos forenses lo sacarán (y mucho más) lo que ha hecho chema es un muy simple análisis.
ResponderEliminarGrande Chema!
David M.
http://www.yuncos.es/index.php?option=com_content&view=article&id=81&Itemid=98
ResponderEliminarYa sabemos quien es el politico con principios.
Puede ser solo el que lo escaneo
ResponderEliminarAsí es Anónimo, buscandolo en google sale esa web que comentas pero tal vez no sea él.
ResponderEliminarOjo que MAGomezc Puede ser Marco Antonio Gómez o Manuel Alberto Gómez u otra combinación…
ResponderEliminarHombre, deducir por la letra de unidad M o T que se usa un NAS o almacenamiento en red me parece, como poco, arriesgado. Yo tengo unidades locales con letras como R, T y Z. Es importante ser rigurosos y no empalmarse haciendo afirmaciones gratuitas y tan tan tan fáciles de echar abajo.
ResponderEliminarInsisto, PRUEBAS en vez de ESPECULACIONES, es lo que hace que una afirmación sea tenida en cuenta o se tome por una simple habladuría. Nada más.
ResponderEliminarIgual de especulativo que lanzar al aire el nombre de Miguel Angel Gómez C. Cuando hay decenas de combinaciones de nombres que pueden responder a M.A. (María de los Angeles, María Antonia, María Angustias, Manuel Alberto, Marco Antonio...) Cuando la información está tan débilmente sustentada, es mejor no ofrecerla.
ResponderEliminarMiguel Ángel Gómez Castaño, esa es mi apuesta, procurador de Salamanca.
ResponderEliminarMe vas a perdonar, pero es que las únicas verdades, son las absolutas. Una verdad a medias ni es verdad ni es nada. :) La certeza, como la muerte, es un término ABSOLUTO. No se puede estar MUY muerto, o POCO muerto. Siempre se está ABSOLUTAMENTE muerto. Y cuando algo es cierto, lo es (absolutamente), o no lo es (de ninguna manera).
ResponderEliminarSi a ti te parece que simplemente conociendo las iniciales M.A. hay un porcentaje razonable (me ha encantado esta expresión tan subjetiva) de ser cierto que responden al nombre de MIGUEL ANGEL, pues me sorprende tu cálculo de probabilidades. Mucho. Afortunadamente el algoritmo heurístico tu antivirus hila más fino que tú o de lo contrario no podrías ejecutar ni el notepad.exe.
En fin, zanjando el tema. Que es que yo prefiero la información veraz y rigurosa, lejos de bulos, habladurías y rumores infundados. Pero me consta que hay gente que no valora tanto el rigor y se cree cualquier cosa (por eso se venden como rosquillas las PowerBalance) ya que piensan que a fin de cuentas una verdad "no absoluta" tendrá algo de verdad… Craso error por lo que expliqué más arriba. Pero ca' uno es ca' uno. ;)
Buenas noches.
En el video sobre la foca que has puesto también sale un Magomez... casualidad?
ResponderEliminarSi con esto no dimite el Gobierno,
ResponderEliminarya no habrá esperanza para el país
https://twitter.com/magomezc
ResponderEliminar¡Vaya debate se ha generado entorno a si es verdad o no!
ResponderEliminarEstá claro que es un simple ejemplo, de los datos que se podrían sacar con forensic foca, nada más. No hay que darlo más vueltas.
Saludos!
David M.
@Lironcareto, o no puedo entender, como alguien con esa capacidad de razonamiento (o es, o no lo es!, estoy de acuerdo), no puede ver mas alla de los primeros arboles para ser capaz de ver el bosque...
ResponderEliminarLa cuestion es, aqui hay personas, que ofrecen su tiempo de ocio para instruir al personal y poder hacer mas "maldades" como estas (hay quien lo calificaria de "terrorismo", palabra con la que desearia que entraras tambien a debate, ¿que es terrorismo? jovenes quemando cajeros, contenedores, etc; policias abriendo las cabezas de manifestantes que si hablaban de paz con el corazon; dar dinero a quienes desahucian a familias sin piedad alguna; hacer negocios con esos mismos bancos, dandoles dinero publico a cambio de.... cuentas no tan transparentes, y este es el tema que nos ocupa, por cierto...), sigo, y tu pretendes hacer perder el tiempo en un debate en el que quienes participan se ve claramente que buscan la verdad, la ABSOLUTA verdad?
Porque no usas esa mente tan "filosofica" para ayudar a llegar a esa verdad, deborando la informacion, procesandola y dandonos tus conclusiones, o hipotesis, para que sigamos avanzando juntos en un mismo sentido??
Observa el bosque, y no a esa rama que recien empieza a "oscurecer" tu camino.... unete al lado oscuro!!
(es la primera vez que comento en este blog, un fuerte abrazo a ese tal "txema" por su gran labor y aportacion en este y otros muchos temas con los que finalemente he terminado topandome en este blog)
Hola, tengo una duda. Presento mis disculpas si ya se ha tratado con anterioridad. ¿Cuán fiables son los metadatos? ¿Cómo podemos asegurar que un documento Word se ha escrito en una determinada fecha si, por ejemplo, el que lo crea y lo guarda antes de dicha acción modifica la fecha del sistema a un año antes? De igual modo, si yo me logueo en un sistema con un usuario impersonal (como "usuario" o "admin"), ¿también puedo esquivar a la Foca?
ResponderEliminarCon todo esto no quiero quitar mérito a todo el trabajo del equipo de la FOCA, que me parece apasionante, muy logrado e innovador.
Gracias y un saludo.
No creo que el/la tal MAGomezc tenga nada que ver con la filtración.
ResponderEliminarSegún nos cuentas, ese usuario sólo aparece en ficheros escaneados en el 2008, y "para mí" (recalco lo de "para mí") eso significa que sólo es un trabajador que hizo ese escaneo en esa fecha, y que ese documento quedó guardado en su día.
La persona que luego copió y filtró los documentos es seguramente otra, incluso aunque sea la misma que escaneó los documentos con fecha 2013.
Un saludo.
La polícia judía que ayudaba a los nazis en los guetos también tenían buenos argumentos para justificar su trabajo, pero sin su ayuda nunca se podría haber llegado a los niveles que alcanzó el exterminio. Pero para eso hay que entender algo más que de ordenadores. Esperemos que ese ciudadano responsable supiese de metadatos porque sino le habrás jodido bien.
ResponderEliminarEstoy con @Lironcareto, ojo con las afirmaciones o medias verdades porque en internet cualquier cosa puede tener una gran repercusión y terminar provocando que se apunte con el dedo a quien no tiene nada que ver por una mera coincidencia.
ResponderEliminarLa entrada es un bonito ejercicio de cómo sacar información a partir de los metadatos, pero nada más que eso.
En Informática todo puede ser manipulado, posiblemente incluso esos metadatos por alguien con conocimientos.
Por eso los peritajes informáticos hay que cogerlos con pinzas, porque en el mundillo digital no hay verdades absolutas.
Iba a decir lo mismo que "naraná"
ResponderEliminarIndependientemente de que el análisis está muy bien y se ve los datos que se pueden conseguir de forma "sencilla", que es el objetivo..
Yo creo que donde mas patinais es pensar que el usuario que los escaneó en 2008 es el que los filtró... hace 5 años de eso, es posible incluso que ese usuario fuera un temporal, un becario, o similar, que escaneara unos documentos que alguien le solicitara, para que los guardara en una unidad de red a la que podría acceder el que lo encargó y cogerlos de allí (por ejemplo)... pensar que ese usuario es quien lo filtró es muy muy aventurado
He leido en varios sitios que se han dedicado a analizar los datos filtrados, que asumen que el archivo .DS_Store implica que hay un MacOS de por medio.
ResponderEliminarTengo un NAS Icy Box NAS4220-B que también genera un archivo con ese mismo nombre en el directorio raiz compartido. Supongo que habrá otros modelos que también lo harán.
Y eso cuadraría con la suposición de que se ha usado un NAS que hace Chema en el artículo.
Una pregunta, nada que ver con el tema... Donde se te puede escuchar Chema? Aca en Argentina son 5 hs menos = 6:45 y no te encuentro en la radio D:
ResponderEliminarMUY MAL, ¿perseguir a quien puede evitar la corrupción en españa para que sigamos siendo una psi de pandereta y solo por unos pocos euros? MUY MAL esta claro que en españa eso de los valores hacker esta muy pero que muy lejos de ser una realidad, esto es un antro de fascistas y crackers a sueldo.
ResponderEliminarMe parece muy logrado el trabajo, y se ha de reconocer que Foca es una excelente, majestuosa y espléndida herramienta de código cerrado.
ResponderEliminarSólo quiero aclarar que hay otras herramientas de código abierto (totalmente gratuitas), como exiftool, peepdf, pdfparser y muchas más, que no son tan espléndidas, ni tan majestuosas, ni tan bien 'posicionadas', pero hacen exactamente lo mismo que la Foca.
Felicidades por el trabajo.
ya me gustaría a mi ver no solo lo del pp , también lo de todos y cada uno de los partidos y políticos de este país desde que comenzó esto de la política para que de una vez se diese cuanta el ciudadano de a pie quien son y para que viven estos tipos, y eso de que no todos los políticos son iguales y no tienen las mismas pretensiones que se lo cuenten a otro, en el momento que obtienen un cargo hacen uso y abuso de el. por ejemplo ya soy concejal mi familia y amiguetes favorcitos. Ah por cierto por si alguno le interesa soy del ((ppa partido de las papas aliñas)), jamás he botado ni botare digan lo que digan me da igual todos absolutamente todos son iguales. pena no se pueda demostrar tan fácil, como ellos hacen las leyes ummm difícil pillarlos.
ResponderEliminar¡Madre mía si esto todavía sigue!
ResponderEliminarMaligno, al final vas tú a la cárcel por hacer este ejemplo!!!! jajajaja
David M.
Qué lio se ha formado con el analisis de estos documentos... para información de los despistados que leo por aquí, estos documentos son PUBLICOS y cualquiera puede analizarlos y sacar las conclusiones que quiera.
ResponderEliminarPor cierto, muy pocas verdades absolutas hay, si acaso los dogmas de fe de las religiones.
Muy buen trabajo Chema y adelante con el blog.
Todo muy bonito, pero la verdad es que no se tiene ni idea si los datos son verdaderos. Por una cuenta de Twitter se ponen unos ficheros y todo el mundo piensa que son verdaderos y las pruebas... ninguna, me quedo perplejo. Los podría haber puesto cualquiera. No dejes que la verdad arruine una bonita historia, ¿no?
ResponderEliminarDe hecho es increíble el debate sobre los metadatos, cuando ni si quiera podemos comenzar suponiendo que los documentos son reales, incluso se podrían haber creado con esos metadatos a propósito. De hecho los metadatos no revelan nada interesante e incluso el nombre al que ya relacionan con uno del PP es tan vago que cualquiera podría ser. En contra lo que dice Alejandro Amo, no veo la hipótesis razonable ni de cerca.
Me parece que hay mucho cazador de ovnis aquí y mucho conspiranoico, ya que yo podría partir del hecho de que son inventados y alguien se está partiendo la caja.
Esto no es la primera vez que pasa,
http://www.youtube.com/watch?v=bWKfyRPf8gM
y hay gente que aun se lo cree.
Tengo que recordar falsos documentales de extraterrestres o la guerra de los mundos...
Bueno, pues la fuente de los datos no es para nada fiable y si de los metadatos sacaramos algo con suficiente fundamente, algo que sólo pudiera conocer alguien dentro del partido del PP... porque que se hizo con una reprografía, que fueron varios tíos, que utilizaron programas relacionados con el escaneo de documentos, y que hay poco más que unas siglas... no parece gran cosa no.
o M. Asunción Gómez Campillejo (Durando, Municipales Durango) http://t.co/4pOtQgKDwC … y curra en UPM (Neg. de Gastos) http://t.co/zHukFreI34 …
ResponderEliminarTambién fue en las listas del PP en Gorliz (Vizcaya, Municipales 2007) http://t.co/DLligaGnNr …
Después de lo del NAS por tener unidades de red ya me has dejado KO. Del resto, trivialidades e interpretaciones.
ResponderEliminarEn la última imagen (figura 9) hay un dato que se pasa por alto, y es la clave para saber desde dónde se filtró la información. C
ResponderEliminarArchivos que faltaban y metadatos completos:
ResponderEliminarhttp://www.meneame.net/story/tomos-aun-no-has-visto-contabilidad-filtrada-pp