Las palabras malditas en las redes P2P (nomenclatura pedófila)

Como ya les he contado, el agente de la BIT causante de mi detención, declaró sin pestañear ante el Juez que yo me había descargado un archivo «que se llama niña de 12 años siendo penetrada por niño de 11 años».  La realidad era bien distinta, no solo porque ese archivo nunca apareció en mis ordenadores, sino porque el nombre del supuesto archivo estaba en inglés. El nombre del archivo era exactamente:  pedo – r@ygold 11yr old girl fucked by 12 yr old boy fuck real penetra.mpg .   Un archivo que en la actualidad sigue en el mismo sitio, en la misma red P2P, y que puede ser descargado accidentalmente por cualquier usuario que realice una búsqueda de los términos indicados en verde.   

Hace algún tiempo encontré una investigación del año 2008,  desarrollada por el Laboratorio de investigación informática francés (www.lip6.fr) a cargo de la Universidad de Pierre y Marie Curie y el CNRS,  denominada: Paedophile Keywords Observed in eDonkey (informe02)

Esta Entidad ha desarrollado interesantes investigaciones como por ejemplo esta de 2008: Ten weeks in the life of a eDonkey  server (informe01)

En 2010, este mismo organismo publicó nuevas investigaciones sobre las palabras «pedófilas» en la red eDonkey: Dynamics of Paedophile Keywords in eDonkey Queries (informe03) y esta otra An Empirical Investigation of Paedophile Keywords in eDonkey P2P Network (informe04).

Me parece importante que la comunidad lea las conclusiones de estas investigaciones. Especialmente la conclusión del informe indicado como informe04:

(mi interpretación de la traducción) La mayor sorpresa fue que,  sobre la base de ambos criterios (palabras clave buscadas por el usuario y conexiones con otros archivos e IP) muy pocos archivos y dirección IP, fueron susceptibles de ser catalogados como una acción pedófila.

El ciclo de la pornografía infantil en las redes P2P

¿Quién  y con qué objetivo introduce la pornografía infantil en las redes P2P?

• ¿En qué países se están produciendo detenciones P2P por estos asuntos?
• ¿Qué son los fake server?
• ¿Cuántos servidores falsos existen?
• Quiénes son sus propietarios?
• ¿Podrían ser estos archivos un señuelos (decoying) para mantener entretenidos a nuestros agentes?

 

¿Está el contenido ciertamente  protagonizado por niños?

• ¿Desaparecen estos archivos después de las operaciones policiales en la redes P2P?
• ¿Un nombre execrable de archivo determina su contenido delictivo?
• ¿Suelen estar los nombres de archivo de pornografía infantil en español?
• ¿Podría ser descargado un archivo  mediante la búsqueda individual de cualquiera de las palabras que lo conforman?
• ¿Con qué procedimiento científico se determina  la edad a simple vista de los protagonistas?
• ¿Son analizados estos archivos  por un médico forense antes de iniciar un proceso P2P?
• ¿Existen ficheros falsos (fakes) de pornografía infantil?

 

¿Quiénes y con qué objetivo se descargan estos archivo de las redes P2P?

• ¿A cuántos internautas se les halla el archivo del rastro P2P detectado?
• ¿Existe la difusión accidental de estos lamentables contenidos?
• ¿Existen las descargas compulsivas?
• ¿Tiene conciencia el usuario de todos los archivos que tiene en su ordenador?
• ¿Existe el síndrome de Diógenes Digital?
• ¿Cuántos detenidos han sido los creadores de los archivos difundidos?
• ¿Cuántos eran pederastas? (han abusado de un niño)

 

¿Es correcto el procedimiento de investigación policial sobre las redes P2P?

• ¿Qué cualificación o capacitación técnica tienen los agentes investigadores de las redes P2P?
• ¿Qué fiabilidad tienen los datos arrojados de sus rastreadores P2P?
• Para cazar un conejo se necesita tener una escopeta homologada ¿están cazando usuarios P2P con una escopeta de feria?
• ¿Quién certifica la veracidad de los datos obtenidos de los rastreos P2P?
• ¿Determina la IP pública aparecida en el rastreador al infractor P2P?
• ¿Por qué no existe una unificación de criterios policiales en el número de descargas para distinguir un delito de una imprudencia?
• ¿Cuántos procedimientos se han iniciado por una única descarga P2P?
• ¿Saben nuestros agentes la diferencia entre un pedófilo y un pederasta?
• ¿Cómo se diagnostica la pedofilia de forma remota?
• ¿Cómo se descarta la accidentalidad de las descargas P2P?
• ¿Cuántas notificaciones reciben nuestros agentes de internautas que se han tropezado accidentalmente con pornografía infantil en las redes P2P?
• ¿Por qué centran  gran parte de sus esfuerzos exclusivamente en los rastreos P2P?
• ¿Cómo es posible que el análisis a «simple vista» de archivos pedófilos ocupe más del 50% de la carga de trabajo de nuestros agentes?
• ¿Cómo es posible determinar la incautación de millones de archivos pedófilos al día siguiente de los registros domiciliarios?
• ¿Existe una investigación convencional sobre los detenidos P2P antes del registro domiciliario?
• ¿Se verifica previamente al registro domiciliario si un router tiene la WIFI desprotegida?
• ¿Por qué el interrogatorio del internauta va dirigido a fundamentar el dolo eventual,  en tener conocimientos informáticos y no en la intencionalidad?
• ¿Podrían aparecer sentimientos de culpa en el internauta por el mero hecho de tener que reconocer públicamente la descarga de  pornografía legal?
• ¿Cabe la posibilidad de que las declaraciones de muchos internautas estén motivadas por sentimientos de culpa?

 

¿Qué garantía tiene el Estamento Judicial de estar recibiendo una interpretación correcta de las evidencias informáticas?

• Exceptuando a los agentes, ¿cuentan los jueces con el asesoramiento informático de otros peritos del Estado?
• ¿Qué garantías jurídicas tienen los rastreos P2P?
• ¿Cómo se puede justificar un registro domiciliario mostrando como único indicio una IP pública?
• ¿Cómo se transforman indicios basados en ceros y unos en conductas psíquicas dolosas?
• ¿Por qué se utiliza el «tener conocimientos» informáticos o de Inglés como agravante?
• ¿Por qué la acción de «borrar un archivo»  se utiliza para determinar que se tuvo y no que no se quiso tener?
• ¿Está debidamente fundamentado el dolo requerido en este tipo de delitos? (189.1.B)
• ¿Cuentan los internautas con abogados especializados en delitos tecnológicos?
• ¿Por qué la inmensa mayoría de los juicios terminan con un «trato» del internauta con la fiscalía?
• ¿Podría un internauta P2P declararse pedófilo para eludir la cárcel?
• ¿Se confirma esta parafilia mediante una revisión psíquica del internauta?

 

¿Quién tergiversa la información? ¿el periodista o la fuente?

• ¿Por qué  mezclan un delito tecnológico (sin abuso sexual) con otros delitos carnales?
• ¿Por qué si cazan a un pederasta se generaliza la atribución de ese mismo delito a todos los detenidos?
• ¿Por qué se confunden los términos pedófilos y pederastas?
• ¿Por qué no se respeta mediáticamente la presunción de inocencia de los detenidos P2P?
• Desde el año 2000 han sido detenidos más de 3000 internautas  ¿Existe una epidemia de pedofilia en España?
• ¿Por qué los periodistas no investigan sobre las detenciones P2P?

 

Interpol de Brasil: Desde la IP clase A al registro domiciliario internacional

Este gráfico nace de la noticia Desmantelada una red de pedófilos en Argentina.  En el gráfico muestran los puntos del planeta dónde se han detenido a distintos internautas y detalla las provincias argentinas.   Esta operación policial internacional se inicia desde la Interpol de Brasil, quienes realizaron un rastreo en las redes P2P, facilitando las IP públicas a cada país, de los usuarios que aparecían como fuente de al menos diez  archivos de pornografía infantil. En España este rastreo culminó con la reciente operación Ruleta en Octubre de 2009 de la Brigada de Investigación Tecnológica.

Un año antes,  mismo mes y día, la Brigada de Investigación Tecnológica realizó en España la Operación Carrusel, iniciada también en base a la información procedente de la Interpol Brasileña, esta vez limitada a 3 archivos, que culminó con la detención de 121 propietarios de conexiones a internet.

Jorge Pontes es el Jefe de la Interpol en Brasil. En esta entrevista  publicada en la página web de la Interpol internacional:

SGIP: ¿Cómo coordinó la OCN de Brasilia la operación CARROUSEL?

JORGE PONTES: La Unidad de Lucha contra los Delitos Cibernéticos de la Policía Federal brasileña aunó fuerzas con el Instituto Forense Nacional de Brasil, y juntos centramos nuestras investigaciones en el sistema P2P eMule.  Se identificaron miles de direcciones IP en todo el mundo y se investigó a los sospechosos

JORGE PONTES: Esta investigación fue novedosa para INTERPOL Brasilia ya que requería conocimientos tecnológicos innovadores y una forma específica de coordinación policial. Como se identificaron sospechosos en 77 países, las investigaciones no podían avanzar sin recurrirse a la red policial mundial de INTERPOL. Los resultados permitieron abrir una investigación a escala internacional que se saldó con la detención de cientos de abusadores de menores por Internet en Australia, Europa, Sudamérica y Estados Unidos. Los investigadores brasileños describieron las imágenes como lo peor que habían visto jamás. La operación en curso promete enviar a la cárcel a otros muchos pederastas que actúan a través de Internet.

Solía resultar muy difícil castigar este tipo de delitos en Brasil, pero mi país aprobó recientemente una ley para que la posesión de pornografía infantil fuera un delito penado con hasta ocho años de prisión. Esto supone que, de ahora en adelante, se incrementará significativamente  el número de detenciones que realicemos.

Vean dónde dice «Se identificaron miles de direcciones IP en todo el mundo y se investigó a los sospechosos».

Desconozco qué rastreador ha utilizado la policía brasileña, pero técnicamente es imposible localizar en la red P2P una misma fuente con 10 archivos y difusión efectiva.  Los agentes brasileños en sus rastreos no interceptan las comunicaciones de los internautas P2P.  Su rastreador se limita a convertirse en un peer más dentro de la red P2P eDonkey. Por tanto la investigación se limita a la lectura de 10 metadatos sin difusión efectiva.  Posiblemente mediante la utilización de un rastreador tipo Híspalis como el que emplea la Guardia Civil Española.

En lo que respecta a España (probablemente al resto de naciones afectadas),  la investigación policial se limitó a:

1) Recibir de la Interpol Brasileña las IP públicas españolas que aparecía como fuente de al menos 10 archivos de pornografía infantil.

2) Dar por válido el rastreo remoto brasileño y solicitar a un juez la identificación de los titulares, por parte de las operadoras,  de esas IP en el momento del rastreo de los agentes brasileños.

3) Distribuir a cada provincia los casos para solicitar a un juez la orden de entrada y registro en los domicilios identificados.

Parece que no existió posteriormente ningún tipo de investigación técnica nacional sobre los detenidos entre el punto 2 y 3.

En caso de existir esa investigación técnica,  debió limitarse a un segundo rastreo P2P.

Pero llegados a este punto, analicemos las pruebas técnicas presentadas por los agentes para justificar la identificación y detención de los usuarios a un juez. Los agentes presentan los «rastros» obtenidos en  «rastreos P2P». Técnicamente son metadatos,  datos que apuntan hacia el dato original, que puede existir, no existir o ser falso.  Leer artículo Las evidencias P2P

 

El algoritmo HASH MD4 puede romperse con un cálculo «a mano»

 

Es importante que conozcamos un poco de historia sobre estos algoritmos de «resumen» del contenido. Realmente el HASH utilizado por el eMule es un doble MD4. Este algoritmo de resumen del contenido  fue  creado en 1990 por el criptógrafo Ronald Riverst[1].  El mismo que también creo al poco tiempo el popular MD5 en 1992, que también ha sido vulnerado. (ver demo que duplica el HASH MD5 de dos archivos)

El MD4 quedó académicamente vulnerado  en 1996 por el criptógrafo alemán Hans Dobbertin[2] donde presentó algunas debilidades.

Pero no ha sido hasta el año 2004 cuando un hecho importante ocurrió en la conferencia CRYPTO 2004 celebrada en California. Relataron las crónicas lo siguiente:

«El público respondió a la presentación del chino Dengguo Feng[3], con una ovación de pie, y la dramática afirmación de que las colisiones MD4 se pudieron calcular «a mano«. La aparición de estos ataques no fue una sorpresa repentina, teniendo en cuenta las advertencias de larga data, y las recomendaciones anteriores (Hans Dobbertin desde 1996) para utilizar el SHA1 más segura y estándar».

Pero ¿qué son las colisiones? En patatas y coles,  centrándonos en la red eDonkey, es la posibilidad de que un mismo HASH de archivo pudiera ser asignado a más de dos archivos con diferente contenido o que el HASH de una instalación  eMule pudiera ser asignada en más de una ocasión a otras instalaciones.

A partir de ahora emplearé indistintamente los términos MD4 y HASH como sinónimos ya que estamos tratando específicamente el uso del algoritmo MD4 en la red eDonkey (la del eMule).

¿Qué consecuencias pueden traer esta vulnerabilidad?

1) La primera y más importante consecuencia es que pueden existir en la red eDonkey dos archivos con contenido diferentes y con un mismo identificador HASH.  No estamos ante lo que se conoce popularmente como un Fake file (archivo falso cuyo nombre no hace referencia a su contenido). Estamos ante algo mucho más peligroso, un FAKE HASH.   Imaginemos una red llena de Fake Servers y de empresas cuya labor se centra en llenar las redes de archivos con HASH alterados para desmoralizar a los usuarios en sus descargas, ¿será esta una evolución de sus técnicas de creación de fakes?

2) Sin pretender rizar el rizo,  la red eDonkey también utiliza el tamaño del archivo como señal diferenciadora. Hemos de tener presente que esta red utiliza también el MD4  para cada una de las partes (chunks) descargadas de un archivo.  Cada parte tiene su propio HASH que sirve igualmente para garantizar la integridad.  Empresa como CopeerRight Agency, ofrece entre sus soluciones anti piratería «Crear ficheros clones» o  «Difundir partes de ficheros corruptas»  . Quizás este sea el motivo de que muchas fuentes activas nunca inicien su difusión efectiva.

3) En España mensualmente se acontecen detenciones de usuarios de las redes P2P, relacionados con la difusión de archivos de pornografía infantil.  Las investigaciones policiales se limitan a conectar a la red eDonkey como un simple peer. Los agentes no inician en ningún momento la descarga desde las IP públicas localizadas,  atribuyéndose la difusión a los internautas por el mero hecho de aparecer como fuente disponible de un archivo cuyo HASH ha sido descargado en un momento anterior por «alguien» para confirmar que el contenido era delictivo.  El error de interpretación técnica de los agentes es usar el HASH de archivo como metadato identificador, cuando realmente la función del HASH de archivo es comprobar la integridad una vez ha sido descargado.  ¿Y si detrás de la fuente P2P que anuncia tener ese HASH de archivo existe otro contenido? ¿En cuántos registros domiciliarios encuentran los agentes los archivos investigados?.  La comprobación de la DIFUSIÓN EFECTIVA de al menos una parte (chunk) de 9Mb  es el requisito técnico mínimo para poder acreditar que detrás de esa fuente existe el archivo investigado.  Aquí se presenta una limitación legal, los agentes no pueden inducir al delito y compartir.

4)  Es indudable que estamos en una guerra abierta cuyo frente son las redes P2P.  El Gobierno Español, abducido por la industria de contenidos protegidos por derechos lucrativos de autor,  quiere acabar con las descargas P2P.  La industria mundial de contenidos, en un verdadero acto de piratería informática, toma posesión de las web de algunos populares clientes P2P como Shareaza o Lphant.  Sin ir más lejos, en las listas negras ofrecidas por PeerGuardian se confirma que la inmensa mayoría de servidores falsos pertenecen a la industria de contenidos protegidos por derechos lucrativos de autor. ¿Qué hacen estos servidores falsos en la red P2P eDonkey? ¿alterar HASH de partes de archivo? ¿introducir FAKES? ¿introducir archivos señuelo (decoying)? Si os fijais aquí se presenta una limitación técnico legal para aplicar el modelo Sarkozy a los usuarios de redes como eDonkey. ¿Cómo podrían filtrar los paquetes P2P las operadoras para discrimnar los contenidos protegidos con esta vulnerabilidad del HASH MD4? ¿Qué posibilidad existe de que los usuarios recibieran avisos de sus operadoras sobre archivos que no están bajo protección lucrativa de derechos de autor?

Pero llegados a este punto ¿por qué la red eDonkey sigue manteniendo un algoritmo obsoleto como el MD4 y no ha migrado hacia algoritmos más seguros de encriptación?  Para mi la respuesta es que el eMule sigue siendo muy eficaz  aunque no sea tan eficiente como otros protocolos P2P más modernos. El objetivo es compartir por encima de todo. Si esta descarga fue un fake,  la próxima  será la verdadera.

He abierto un hilo en el foro oficial de eMule al respecto

---

[1] R. L. Rivest, The MD4 Message Digest Algorithm, Request for Comments (RFC)1320, Internet Activities Board, Internet Privacy Task Force, April 1992

[2] H. Dobbertin, Cryptanalysis of MD4, Fast Software Encryption, LNCS 1039, D. , Springer-Verlag, 1996

[3] Dengguo Feng, Collisions for Hash Functions, Agosto 2004, web: http://eprint.iacr.org/2004/199.pdf

La dirección IP es insuficiente para identificar a un usuario P2P

Gracias al amigo que me ha enviado esta noticia 😉

Aquí pueden ver la versión original  en TorrenFreak, ya que esta es una breve traducción corregida via Google.

Written by enigmax on June 15, 2009 Escrito por enigmax el 15 de junio, 2009

La lucha contra la piratería y los abogados de toda Europa están inamovibles –  argumentan que, puesto que se registra una infracción del derecho de autor a partir de una dirección IP, el propietario de la conexión es responsable. Ahora un tribunal de Roma ha dictado lo contrario,  la dirección IP no identifica al infractor,  identifica una determinada conexión.

Tal y como les contaba en un post anterior, técnicamente una IP no es la matrícula de un internauta en el ámbito de las redes P2P.  En el caso de la red P2P eDonkey (la del eMule), el identificador único sería el HASH de usuario (aunque es similar, no confundir con HASH de un archivo).  Cada instalación de un eMule tiene su único y exclusivo HASH de usuario.

El artículo 189 del Código Penal,  penaliza la difusión intencionada de pornografía infantil en las redes P2P. La ley no penaliza tener o difundir, penaliza tener para uso propio y difundir con intencionalidad libidinosa  ¿Cómo pueden justificar nuestros agentes,  en sus investigaciones previas,  la intencionalidad requerida en el artículo 189, de una descarga  desde un  HASH de usuario ? Técnicamente y en base a la topología de las redes P2P – como la eDonkey – parece una tarea imposible.  Los agentes en sus investigaciones se convierten en un peer mas dentro de la red.  No tienen privilegios para elegir desde qué peer pueden recibir, y la red eDonkey limita la transmisión a un único archivo entre dos pares.   A todo esto debemos sumar que en sus descargas previas para confirmar que el archivo no es un fake y es pornografía infantil,   no pueden evitar el riesgo de compartir en algún momento,  incurriendo en el mismo delito por el que persiguen a los internautas.

Lo peor que es una vez y entran en la casa del internauta,  no existe un protocolo riguroso.  En muchos casos ni se revisa el HASH del usuario,  en otros ni se revisa el registro o caja negra de un eMule,  en otros muchos si quiera encuentra en los registros domiciliarios el archivo que origina la operación policial.

Algunas sentencias que evidencian este despropósito:
ID Cendoj: 28079120012008100213,  28079120012009100051, 28079120012008100359 (Aquí pueden descargarlas)

irección IP insuficiente Solo Para Identificar pirata, Court Rules

Written by enigmax on June 15, 2009 Escrito por enigmax el 15 de junio, 2009

Anti-piracy groups and lawyers across Europe are unmovable – they say that since they logged a copyright infringement from a particular IP address, the bill payer is responsible. Lucha contra la piratería y abogados de toda Europa están inamovible – dicen que, puesto que registra una infracción del derecho de autor a partir de una dirección IP, el sujeto es responsable. Now a court in Rome has decided that on the contrary, an IP address does not identify an infringer, only a particular connection. Ahora un tribunal de Roma ha decidido que por el contrario, una dirección IP no identifica a un infractor, sólo una conexión.

Right across Europe, many countries are being targeted by anti-piracy evidence gathered by outfits such as Swiss-based Logistep. En toda Europa, muchos países están siendo blanco de la lucha contra la piratería pruebas reunidas por los equipos como con sede en Suiza Logistep. After tracking alleged infringers, legal action is taken to force ISPs to hand over the identities of the person who pays the bill on the particular account linked to the allegedly infringing IP address. Tras el seguimiento de los presuntos infractores, que se tomen medidas legales para obligar a los ISP a entregar las identidades de la persona que paga la factura en la cuenta especial vinculada a la supuesta infracción de la dirección IP. Lawyers operating in tandem with companies like Logistep, such as ACS:Law in the UK, insist that since they have an IP address, this automatically means that the bill payer is the copyright infringer or at least liable for the infringement. Abogados que actúan en conjunto con empresas como Logistep, como ACS: Derecho en el Reino Unido, insisten en que, dado que tienen una dirección IP, esto significa automáticamente que el sujeto es el infractor del derecho de autor o, al menos, responsable de la infracción.