jueves, mayo 22, 2008

Interpol y los computadores de las FARC

¿ Como se puede PROBAR MAS ALLÁ DE TODA DUDA que los documentos de un memoria usb (o disco duro externo o Computador Portátil) no han sido modificado en los últimos 10 días cuando la fecha que bajo operación normal se usa para estos documentos es la del reloj del computador y esta es fácilmente modificable por un usuario ?





Hasta que alguien no me responda esta pregunta yo creeré que es TÉCNICAMENTE IMPOSIBLE que interpol compruebe si alguien modifico o no los documentos que se encontraba en las memorias usb, discos duros externos y computadores portátiles del guerrillero Raul Reyes



Si usted quiere en la pagina de la interpol puede descargar el informe: INTERPOL’s forensic report on FARC computers and hardware seized by Colombia

11 comentarios:

wilfred_com dijo...

Como le dije por el Jabber, esto de verdad es una payasada, ese informe no tiene credibilidad alguna.
Si dieran datos técnicos que se pudiesen valodar hasta de pronto, pero tiene muchas inconsistencas.
Eso se podría resumir en una frase algo como "informe de ususarios de Windows ... para usuarios de Windows", aunque creo que hasta para los usuarios de Windows esto es una ofenza :-D

wilfred_com dijo...

Vale la pena aclarar que yo no estoy ni a favor ni en contra de Chávez y sus ideas, pero también desde el punto de vista nétamente técnico veo que el informe no es válido, incluso desde cuando se presentó se notan las inconsistencias y ahora leyendolo reafirmo mi opinión

Cronopio dijo...

Tienes toda la razón, es absurdo como el gobierno y además la gente en general se coma semejante cuento que echaron por televisión.

Yo leí el informe y muy claramente dice que los dispositivos externos (Discos USB, Memorias) fueron conectados directamente a computadores después de la operación (del 1 de mayo al 3 de mayo). Sabiendo que para análisis forense esto es dañar la evidencia.

Además si basan toda su investigación en lo que decida el reloj de Raul Reyes entonces apoyo lo de TECNICAMENTE IMPOSIBLE.

Saludos!!

Manuel Cerón dijo...

Yo creo que decir que es "técnicamente imposible" porque las fechas se pueden modificar, es lo mismo que si alguien dice que es imposible saber quien es el asesino sólo por un pelo.

La informática forense es toda una ciencia, y los científicos forenses se basan en un millón de cosas más que la fecha de modificación para dar sus veredictos. Hay miles de pistas, especialmente información del disco, un buen científico analiza la información en crudo, aquí ya se pueden observar patrones de modificación, si se borra un archivo sigue quedando su información en el disco y se puede recuperar, si se altera la información el patrón de ubicación cambia y se podría detectar un intento de falsear la fecha y saber si los datos fueron alterados, la información SMART del disco también da pistas más allá del reloj, usen smartmontools y verán toda la información que pueden conseguir y que nos se imaginaban.

Adicionalmente el sistema operativo guarda muchos logs de todo tipo.

Son miles de piezas del rompecabezas que tiene que encajar perfectamente. A mi juicio de ver, lo realmente casi "técnicamente imposible" es que alguien falsee la fecha y engañe a un buen científico forense.

Anónimo dijo...

La INTERPOL debe tener mucha información de las FARC y de inteligencia con respecto a sus contactos (tal vez algunos identificados ya pero no capturados). Yo tampoco creo lo de técnicamente imposible sólo por la fecha. La informática forense se basa en muchas cosas.

wilfred_com dijo...

Del informe:
"92. Los especialistas de INTERPOL descubrieron asimismo que uno de los ordenadores portátiles (prueba no 28) y los dos discos duros externos decomisados (pruebas no 30 y 31) contenían archivos cuyas marcas de tiempo eran erróneas, ya que indicaban una fecha futura.
93. La prueba no 28 contiene:
Un archivo cuya fecha de creación es el 17 de agosto de 2009
94. La prueba no 30 contiene:
668 archivos cuyas fechas de creación oscilan entre el 7 de marzo de 2009 y el 26 de agosto de 2009;
31 archivos cuyas fechas de última modificación varían entre el 14 de junio de 2009 y el 26 de agosto de 2009.
Estos archivos contienen música, vídeos e imágenes
95. La prueba no 31 contiene:
2.110 archivos cuyas fechas de creación oscilan entre el 20 de abril de 2009 y el 27 de agosto de 2009;
1.434 archivos cuyas fechas de última modificación varían entre el 5 de abril de 2009 y el 16 de octubre de 2010"

Kmilo dijo...

Manuel Cerón: El ADN es algo que identifica con un grado de error muy pequeño si un cabello pertenece a alguien o no, eso es totalmente diferente a una fecha en un dispositivo de almacenamiento que se puede cambiar por cualquier usuario.

Manuel Cerón & Anónimo: Un ejemplo sencillo, tomo una memoria USB le hago un borrado seguro según lo recomienda el DOD o mejor aun la compro nueva, luego la conecto a un computador cuya fecha es del 10 de enero de 1983 y empiezo a poner archivos dentro de la memoria.

¿ Como se comprobaría que eso lo hice hoy o mañana o dentro de un mes o que realmente fue en el 10 de enero de 1983 ?

¿ Acaso hay una forma de hacerlo que sea del conocimiento del publico o simplemente debo creer en que los investigadores de interpol lo hacen con sus super poderes ?

san-damian dijo...

Yo también he visto CSI, durante algunas temporadas, y para no ser técnico, sino decir las cosas con sentido común, hasta Grissom sabe que se puede plantar evidencia, algo como un cabello, una huella parcial, una memoria USB, por decir algo ¿no?, y según he aprendido de la misma serie la evidencia pierde credibilidad si no se toman los cuidados pertinentes o no se procesa adecuadamente.

Eso solo hablando de la evidencia física, pero que se puede decir del contenido de los computadores estos, que acaso la guerrilla fue tan precavida de dejar un mensaje en caso de perdida que los relacionara, "En caso de perdida, por favor contacte a Raul Reyes", o como se describe en psicobyte, estudiaron las fotos digitales de Reyes con un portátil y concluyeron que el numero de serie coincidia con el del laptop

Hay mejor evidencia, y hasta mas creible en el programa El Lavadero que en el informe de la Interpol

san-damian dijo...

Pregunta: se le puede hacer pruebas de Carbono 14 a los archivos de computador?

Manuel Cerón dijo...

Camilo: Un ejemplo válido para este caso sería el siguiente: Teniendo una memoria USB con información. ¿Podría yo usar una técnica antiforense como la que mencionas para modificar, eliminar, o crear nuevos archivos de tal forma que pase desapercibido para algún analizador posterior? Yo creo que es bien difícil.

Primero consideremos el caso de eliminar un archivo. Lo sistemas de archivos no borran en realidad, sólo marcan como borrado. El archivo se puede recuperar. Si se usara una técnica de borrado seguro igual quedarían rastros de que algo se borro.

Ahora consideremos la creación de un archivo. Modificamos la fecha del computador y creamos un nuevo archivo. Podría funcionar, sin embargo, los archivos de sistema también viene con la fecha. Nuevos archivos de sistema con fechas anteriores son detectables fácilmente. Además, la posición en los bloques del disco no sería bastante sospechosa. La modificación es un proceso bastante similar.

Por supuesto que habrían maneras de falsear. Por ejemplo se podría editar la información en crudo del disco. Aunque esto tremendamente difícil, habría que tener concordancia byte a byte. Quien haya modificado ROMs de SNES o similares sabe de qué le hablo. Dado el volumen tan grande de datos y el poco tiempo, es demasiado difícil que la policía colombiana haya podido alterar los datos sin que los de INTERPOL se dieran cuenta.

Kmilo dijo...

¿ y como se darian cuenta los de interpol sobre posibles cambios en las fechas ?