«
»

Desmenuzando una descarga P2P

By indignado7777

Esto son dos simples diagramas de tiempo desde que un cliente P2P o rastreador, inicia la solicitud de descarga de un archivo en la red P2P Edonkey2000 – la utilizada por el popular eMule:

PASO1 - OBTENCIÓN DE FUENTES

Es evidente que, llegados a este punto, en ningún momento ha existido conexión entre la IP investigada y el rastreador. Es como si buscáramos un teléfono en las páginas amarillas y no llamásemos para comprobar que realmente ofrecen el servicio que buscamos.

Es un Servidor P2P el que facilita al rastreador múltiples direcciones IP de las posibles fuentes disponibles, pero eso  no significa que todas estén activas, ni que esas fuentes tengan el archivo, ni tampoco que lo estén difundiendo.

En favor del rastreador Híspalis de la Guardia Civil,  he de decir que antes de señalar a un internauta, agrupa por HASH de Usuario eDonkey2000 para contar hasta un número determinado de apariciones como fuente de archivos ilegales. Pese a ello, se constata que no es perfecto (ver caso internauta Tarragona)

No todas las fuentes disponibles están activas. Muchas son metadatos caducados. Cabría la posibilidad de que el Servidor P2P sea un Fake Server.  Pero aún así, vamos a ver qué ocurre cuando una de estas fuentes estuviera activa:

PASO2 - COMPROBAR METADATOS CLIENTE

Pese a todo, todavía faltaría un PASO3: que se iniciara la descarga, en otras palabras, comprobar la difusión efectiva desde la IP del internauta.

Este paso es el que podría fundamentar el indicio racional de la tenencia y difusión por parte del internauta, pero no descartaría las posibles descargas accidentales.

El indicio racional, presentado ante un juez por los agentes, para que éste fundamente las órdenes de entrada y registro consiste en: Una IP pública y una fuente (metadato) sin difusión efectiva.

Detrás de una IP pública (clase A) pueden existir uno o varios ordenadores, uno o varios usuarios, uno o varios eMules, wifis abiertas, troyanos, spoofing, …  Por tanto la IP pública no identifica al infractor sino al titular de la línea afectada.
Un fuente se identifica por la IP pública y  el HASH DE ARCHIVO. Este HASH de archivo consiste en un MD4.  Un algoritmo resumen de contenido obsoleto y vulnerado académicamente.  Detrás de un mismo HASH de archivo podrían existir  contenidos distintos no delictivos.

FUENTES DE ESTA INFORMACIÓN

1) Este completísimo informe sacado de Torrent Freak , nos muestra un procedimiento de investigación contratado por una Empresa creadora de un videojuego, para detectar usuarios británicos que estaban compartiendo uno de sus productos en la red eDonkey2000 y Gnutella.  Esta investigación llega al paso2 de la fase de una descarga.
2) El ANEXO II empleado por la BIT, en mi caso, para explicar el proceso técnico del Bazooka,  llega igualmente al paso 2. Como se puede apreciar se centra en la versión  eMule Plus v.1.1f ,  surgida en Agosto de 2005, por lo que se intuye que este informe ha sido de uso general en más procedimientos.
3) Sentencia del Supremo sobre el caso de la Internauta de Tarragona vs Híspalis.

Etiquetas: , ,

Esta entrada fue publicada el a las Octubre 23, 2008 y está archivada bajo las categorías P2P. Puedes seguir las respuestas de esta entrada a través de sindicación RSS 2.0. Puedes dejar una respuesta, o trackback desde tu propio sitio.

7 comentarios para “Desmenuzando una descarga P2P”

  1. La difusión P2P es un dato medible en el eMule « INDIGNADO Dice:
    Noviembre 1, 2008 a las 10:10 pm | Responder

    [...] INDIGNADO La pornografía infantil es un material execrable « Desmenuzando una descarga P2P [...]

  2. Agente encubierto ¿nueva arma contra la pornografía infantil en la red P2P? « INDIGNADO Dice:
    Noviembre 10, 2008 a las 1:54 pm | Responder

    [...] Civil con su ya “antigua” arma el “Rastreador Híspalis“, que contempla la aparición como fuente de un número determinado de archivos ilegales por internauta,  y por otro lado la Policía [...]

  3. Falacias en el anexo II de la BIT « INDIGNADO Dice:
    Noviembre 12, 2008 a las 11:56 am | Responder

    [...] Falacias en el anexo II de la BIT En España han sido detenidos más de 1000 internautas de la red P2P por delitos relacionados con la Pornografía Infantil. Debemos tener presente que estamos en el ámbito de la red eDonkey2000, la red P2P usada por el popular eMule. Una red que se basa en Servidores P2P, cuya labor principal consiste en facilitar los enlaces – metadato – hacia las fuentes de los archivos. Recomiendo la lectura del artículo “Desmenuzando una descarga P2P eDonkey2000“ [...]

  4. ¿Cómo distinguir a un internauta P2P despistado de un pedófilo? « INDIGNADO Dice:
    Diciembre 16, 2008 a las 12:15 am | Responder

    [...] Ambas investigaciones se limitan al paso1 (aparecer como fuente) de los 3 posibles al desmenuzar una descarga P2P. [...]

  5. SOS Internautas P2P (I) - Origen de la operación « INDIGNADO Dice:
    Febrero 7, 2009 a las 4:49 pm | Responder

    [...] Debes solicitar a un perito informático que revise si en la INVESTIGACIÓN REMOTA se comprobó la DIFUSIÓN EFECTIVA DESDE TU IP. [...]

  6. ** Dice:
    Abril 15, 2009 a las 8:56 pm | Responder

    A qué se debe lo que pones en ** en el paso 2. Te refieres a que el internauta no ha actualizado el emule, y por ese motivo el cliente p2p sigue informando de lo que ya no tiene, no?

    • indignado7777 Dice:
      Abril 16, 2009 a las 9:05 am | Responder

      Si, pero además de esa situación (EMULE NO REFRESCADO), pueden existir otras posibilidades como la posibilidad de suplantación de la IP, nombre con el que el usuario comparte un archivo, etc…

      Esta suplantación podría suceder únicamente en la primera solicitud de posicionamiento QR donde se podría obtener un FALSO QR.

      En las siguientes actualizaciones de la posición de la QR (cada 30 minutos aprox. o cuando alcancemos QR0), la fuente sería inválida y desaparecería.

      En cualquier caso, una investigación, aún llegando al PASO3 comprobación de la DIFUSIÓN EFECTIVA nunca podría descartar la ACCIDENTALIDAD.

Escribe un comentario