Desmenuzando una descarga P2P

Esto son dos simples diagramas de tiempo desde que un cliente P2P o rastreador, inicia la solicitud de descarga de un archivo en la red P2P Edonkey2000 – la utilizada por el popular eMule:

Es evidente que, llegados a este punto, en ningún momento ha existido conexión entre la IP investigada y el rastreador. Es como si buscáramos un teléfono en las páginas amarillas y no llamásemos para comprobar que realmente ofrecen el servicio que buscamos.

Es un Servidor P2P el que facilita al rastreador múltiples direcciones IP de las posibles fuentes disponibles, pero eso  no significa que todas estén activas, ni que esas fuentes tengan el archivo, ni tampoco que lo estén difundiendo.

En favor del rastreador Híspalis de la Guardia Civil,  he de decir que antes de señalar a un internauta, agrupa por HASH de Usuario eDonkey2000 para contar hasta un número determinado de apariciones como fuente de archivos ilegales. Pese a ello, se constata que no es perfecto (ver caso internauta Tarragona)

No todas las fuentes disponibles están activas. Muchas son metadatos caducados. Cabría la posibilidad de que el Servidor P2P sea un Fake Server.  Pero aún así, vamos a ver qué ocurre cuando una de estas fuentes estuviera activa:

 

 

Pese a todo, todavía faltaría un PASO3: que se iniciara la descarga, en otras palabras, comprobar la difusión efectiva desde la IP del internauta.

Este paso es el que podría fundamentar el indicio racional de la tenencia y difusión por parte del internauta, pero no descartaría las posibles descargas accidentales.

El indicio racional, presentado ante un juez por los agentes, para que éste fundamente las órdenes de entrada y registro consiste en: Una IP pública y una fuente (metadato) sin difusión efectiva.

Detrás de una IP pública (clase A) pueden existir uno o varios ordenadores, uno o varios usuarios, uno o varios eMules, wifis abiertas, troyanos, spoofing, …  Por tanto la IP pública no identifica al infractor sino al titular de la línea afectada.
Un fuente se identifica por la IP pública y  el HASH DE ARCHIVO. Este HASH de archivo consiste en un MD4.  Un algoritmo resumen de contenido obsoleto y vulnerado académicamente.  Detrás de un mismo HASH de archivo podrían existir  contenidos distintos no delictivos.

FUENTES DE ESTA INFORMACIÓN

1) Este completísimo informe sacado de Torrent Freak , nos muestra un procedimiento de investigación contratado por una Empresa creadora de un videojuego, para detectar usuarios británicos que estaban compartiendo uno de sus productos en la red eDonkey2000 y Gnutella.  Esta investigación llega al paso2 de la fase de una descarga.
2) El ANEXO II empleado por la BIT, en mi caso, para explicar el proceso técnico del Bazooka,  llega igualmente al paso 2. Como se puede apreciar se centra en la versión  eMule Plus v.1.1f ,  surgida en Agosto de 2005, por lo que se intuye que este informe ha sido de uso general en más procedimientos.
3) Sentencia del Supremo sobre el caso de la Internauta de Tarragona vs Híspalis.

7 comments

  1. A qué se debe lo que pones en ** en el paso 2. Te refieres a que el internauta no ha actualizado el emule, y por ese motivo el cliente p2p sigue informando de lo que ya no tiene, no?

    1. Si, pero además de esa situación (EMULE NO REFRESCADO), pueden existir otras posibilidades como la posibilidad de suplantación de la IP, nombre con el que el usuario comparte un archivo, etc…

      Esta suplantación podría suceder únicamente en la primera solicitud de posicionamiento QR donde se podría obtener un FALSO QR.

      En las siguientes actualizaciones de la posición de la QR (cada 30 minutos aprox. o cuando alcancemos QR0), la fuente sería inválida y desaparecería.

      En cualquier caso, una investigación, aún llegando al PASO3 comprobación de la DIFUSIÓN EFECTIVA nunca podría descartar la ACCIDENTALIDAD.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s