Sergio Diego Carriquiriborde: Usos del IEF aplicado a la lucha contra la pornografía infantil

En el primer artículo de la serie «Experiencias de Graduados», compartimos el trabajo del Lic. Sergio Diego Carriquiriborde, quien se desempeña como abogado adscrito de la Suprema Corte de la Provincia de Buenos Aires.

IEF – Ares – Pornografía Infantil

El IEF es un programa de exploración de superficie de los dispositivos de almacenamiento de datos no volátiles (https://www.magnetforensics.com/try-internet-evidence-finder-free-for-30-days/). Sirve para buscar y mostrar organizadamente el contenido los archivos temporales de Internet, el historial, las cookies, contraseñas guardas, y en general todo lo que queda grabado luego de usar un programa en Internet. Obtiene datos no sólo de los navegadores, sino también de programas P2P (Peer To Peer) como Ares y Utorrent o de redes sociales como Facebook.

Uso de IEF en forensia informática

IEF es una muy buena herramienta para detectar artefactos de Internet al momento de realizar una pericia informática y en especial, se torna muy útil cuando se quiere determinar si un Ares envió, transmitió o distribuyó determinadas imágenes o videos.

En el ámbito de la informática forense se llama genéricamente artefactos a todos los fragmentos de información que quedan grabados al usar Internet.

Se puede explorar un disco completo, una carpeta, un archivo o crear una imagen forense del disco e ingresarla como entrada al IEF desde un menú gráfico muy intuitivo. Al realizar una imagen forense el usuario se asegura que se analicen todos los volúmenes contenidos en un disco, en especial el volumen de recuperación de Windows y las “shadow copies”. El IEF reconoce los formatos de imagen de disco E01, Ex01, L01y Lx01 de EnCase, las imágenes ad1 del FTK, las imágenes raw, dd, img, ima, vfd, flp, bif, bin, dmg, dmp o imágenes de máquinas virtuales.

También analiza SmarPhones y Tablets, con la limitación de que estos deben estar prendidos, sin contraseña y por lo general el dispositivo debe ser Root.

En https://www.magnetforensics.com/magnet-ief/ se pude ver un video de su uso.

¿Dónde y qué busca IEF?

El IEF busca artefactos referidos a los siguientes programas, redes o servicios:

• Programas de chateo, como Google Talk, ICQ, mIRC, MSN Plus, Omegle, Pidgin, QQ, Skype, TorChat, Second Life, Windows Live Messenger, Yahoo Messenger y otros;
• En aplicaciones clientes de Cloud, entre otros de Dropbox, Google Docs, Google Drive, OneDrive.
• Busca mails con formato EML, Gmail, GMX Webmail, Hotmail, Outlook, Yahoo entre otros.
• Abre archivos encriptados y descubre si el volumen se encuentra cifrado con una herramienta anti forense.
• Busca y visualiza imágenes, videos y fragmentos de video borradas y no borradas.
• Busca dentro de los documentos de Microsoft Office, PDFs, documentos RTF y TXT borrados y no borrados.
• Busca e interpreta backups de Android y de iOS.
• Revisa la lista las búsquedas que se realizaron con los buscadores de Internet.
• Examina los archivos de las redes Peer to Peer como Ares, Torrent, Bitcoin, Emule, Gigatribe v 2 y 3, Limerunner, Limewire, Frostwire, Lukywire, Shareza.
• Devuelve artefactos de redes sociales como Bebo, Facebook, Google+, Instagram, LinkedIn, Twitter.
• Puede analizar el Xbox Internet Explorer.
• Obtiene la información de caché, archivos temporales, historial, cookies, URLs escritas, historial de autocompletado y contraseñas guardadas de los navegadores Internet Explorer, Google Chrome, FireFox, Opera, Safari.
• Separa las URLs de pornografía.

¿Qué tipos de análisis realiza IEF?

Median la activación de determinados parámetros, IEF puede realizar análisis parametrizados o análisis completo. Entre los parámetros posibles se encuentran:

1. El análisis del archivo pagefile.sys, swapfile.sys e hyberfil.sys (de estos archivos recupera artefactos de sistemas que guardan sus datos en la Web),
2. $LogFile,
3. $MTF,
4. Volume Shadow Copies,
5. Clústers no alocados,
6. File slack (espacio sobrante más allá del fin de archivo y antes del fin del cluster).

Los reportes o extracciones de datos hallados se realizan en distintos formatos, ya sea HTML, PDF, Excel, CSV, Tab separados, XML y XML con archivos externos.

Uso de IEF y ciberpornografía

Uno de los usos más eficientes se dio en el descubrimiento de artefactos del Ares. El IEF puede ayudar a dar un paso hacia adelante en la investigación penal del delito de distribución, producción y tenencia de pornografía infantil con fines de distribución, ya que puede determinar qué archivos se enviaron desde Ares.

El Código Penal en su artículo 128 establece que “Será reprimido con prisión de seis (6) meses a cuatro (4) años el que produjere, financiare, ofreciere, comerciare, publicare, facilitare, divulgare o distribuyere, por cualquier medio, toda representación de un menor de dieciocho (18) años dedicado a actividades sexuales explícitas o toda representación de sus partes genitales con fines predominantemente sexuales, al igual que el que organizare espectáculos en vivo de representaciones sexuales explícitas en que participaren dichos menores.

Será reprimido con prisión de cuatro (4) meses a dos (2) años el que tuviere en su poder representaciones de las descriptas en el párrafo anterior con fines inequívocos de distribución o comercialización.

Será reprimido con prisión de un (1) mes a tres (3) años el que facilitare el acceso a espectáculos pornográficos o suministrare material pornográfico a menores de catorce (14) años”.(Artículo sustituido por art. 2° de la Ley N° 26.388, B.O. 25/6/2008).

Pablo Palazzi, un conocido penalista especializado en Derecho Informático, a este artículo le pone el nombre de “Ofrecimiento y distribución de imágenes relacionadas con pornografía infantil, y de tenencia con fines de distribución”. Marcelo A. Riquert, otro penalista distinguido lo llama Ciberpornografía Infantil.

Lo que el artículo transcripto arriba establece como distribución se refiere, en lenguaje informático a “transmisión de una imagen o video”, y en la terminología usada por el Ares se corresponde con la palabra “Envío”.

Funcionamiento de ARES    

Para explicar este uso del IEF es necesario refrescar algunos conocimientos del Ares. Este programa P2P guarda la información que muestra en sus ventanas “Búsqueda”, “Descargas” y “Biblioteca”, en dos archivos de log llamados ShareH.dat y ShareL.dat que se encuentran encriptados. Estos archivos se hallan en la ruta “C:\Users\[nombre del usuario]\AppData\Local\Ares\data”. Los archivos que el usuario comparte se alojan en la carpeta “C:\Users\[nombre del usuario]\Desktop\My Shared Folder”.

El archivo ShareL.dat, guarda la información que se lee en la ventana “Biblioteca”. Contiene: el título de la descarga, el SHA1, el MIME file type, el tamaño del archivo contado en bytes, param1 que tendrá el valor Kbit de calidad si es un MP3, o el valor x de la resolución si es un video; Param2 que tendrá el sampling rate si es un MP3 o el valor y de la resolución si es un video; Param3 contiene el largo en segundos si es un MP3 o la profundidad de colores si es una imagen; luego contiene el Artista, el Álbum, la Categoría, el año, el vidInfo (tipo de video), el lenguaje, la URL, un comentario, el Sha1 de los archivos parcialmente bajados, una marca que indica si el archivo está corrupto o no, y por último contiene la ubicación en el disco local.

El archivo ShareH.dat contiene metadata originada por Ares, en especial una “marca de disponibilidad” que indica si el archivo está compartido actualmente en la Web a fin de que otros lo puedan bajar.

El IEF puede hallar cinco artefactos distintos de Ares:

1. “Ares Download Folder” que se refiere a la ubicación de la carpeta de descargas.
2. “Ares Downloads”, son los archivos bajados por Ares y se encuentran en la carpeta “My Shared Folder”. Estos archivos tienen una propiedad denominada “available for Download by Other Users”. Cuando está en valor Verdadero indica que el archivo está disponible para ser enviado a otro usuario de la rede Ares. No indica que algún otro usuario lo haya bajado efectivamente
3. “Ares Incomplete Downloads”, son los archivos de los cuales no se completó su bajada.
4. “Ares Search keywords”: son las palabras usadas en las búsquedas hechas con Ares. Los pedófilos suelen usar ciertas siglas como “PTHC” (preteen hardcore), “SDPA” con el mismo significado y otras más para hallar pornografía infantil.
5. “Ares Shared Files” son los archivos que efectivamente Ares envió a otro usuario de la red. El artefacto recoge la información que se muestra en el Ares en la ventana “Descargas”,  en su panel inferior donde se ven los archivos que el Ares envía. De no obtener este dato en una pericia, solo quedaría la posibilidad de realizar el razonamiento válido pero débil de que “el que recibe datos en Ares también envía”.

A continuación se muestran los cinco artefactos que IEF puede encontrar al analizar los archivos de Ares:

El Ares utiliza el Sha1 para identificar los archivos con independencia de su nombre y para confirmar si un archivo ha sido bajado completo, es decir número permite chequear la integridad de un archivo una vez que termino su descarga. Al archivo descargado se le calcula el hash y se lo compara con el mismo que había en el nodo del cual se bajó el archivo, si coinciden los hashes el archivo se transmitió exitosamente.

Fuentes:

-Matt McFadden, instructor de Guidance Software, empresa desarrolladora del programa EnCase y del Help del programa Ares Decriptor.

-Pablo Palazzi, Delitos Informáticos en el Código Penal, Abeledo Perrot, 2009. Marcelo A. Riquert, Ciberdelitos, Hammurabi 2014.