domingo, febrero 10, 2013

Metadatos en la declaración de renta de D. Mariano Rajoy

Como ya estaba anunciado, ayer se publicaron los documentos de la declaración de la renta y de patrimonio de nuestro presidente del gobierno, D. Mariano Rajoy. Como muchos, desde el día que  se anunció estaba esperando a que los publicaran no para ver si aclaraba algo o no del asunto Bárcenas - cosa de la que estaba convencido no iba a pasar - sino para ver si volvían a publicar documentos con metadatos después de las movidas que hemos visto ya en todos los Ejemplos de cagadas con metadatos.

El resultado fue que los documentos no aparecían limpios de metadatos, y en ellos se pueden leer algunos datos curiosos tras pasarlos por la FOCA o aún mucho mejor la Forensic FOCA,  como se puede ver en esta captura que tomó un amigo en la que aparece un nombre de usuario - ¿quién es i28000hx?, por favor decidle que actualice a Windows 7 o Windows 8 cuanto antes - y un movimiento extraño de fechas, ya que el documento se crea el día 7 de Febrero y un par de horas antes de publicarse el día 9 de Febrero se modifica.

Figura 1: Metadatos en los documentos de Rajoy

¿Sería que aparecía algo que no cuadraba? Y es que al final, con esta publicación debían saber que España entera iba a hacerle una paralela a la renta del presidente, buscando el más mínimo descuido o error, que el cabreo generalizado de la gente es mucho, por lo que... ¿no hubiera sido mejor limpiar los metadatos? Sobretodo tras cuando en el propio Esquema Nacional de Seguridad se dice que hay que tener cuidado con ellos y no es tan difícil de aplicar

Voy a apuntar este caso más a mi lista de Análisis Forense de Metadatos como un ejemplo ejemplar para poner junto al caso del Deficit de la Comunidad de Madrid, el Programa electoral del PP para salir de la crisis publicado por el becario o las Facturas de la trama Gurtel, dignos de recordar como el del escándalo del fallo de seguridad en la web del senado de los 500.000 €.

Saludos Malignos!

34 comentarios:

Iván Eguiguren dijo...

Juas... tremendo. Buen trabajo como siempre

andalinux dijo...

Hombre, tampoco se ha sacado gran cosa: un funcionario (con usuario de red i28000hx) que suelen utilizar XP {si tiene otra cosa está pirateada ;)] que generó el documento en pdf cuando se descubrió el escándalo y que dos días después le dicen que algo no puede salir (o que no deje metadatos) y lo vuelve a generar.

De todos modos me ha encantado ver el artículo; gracias por dedicarnos tu tiempo y despertar mi curiosidad ;)

Anónimo dijo...

http://www.meneame.net/story/metadatos-declaracion-renta-mariano-rajoy

Anónimo dijo...

Pero no les des ideas hombre !
Mira que queremos ver los metadatos que asi se entera uno de la verdad

Anónimo dijo...

Y aún así hay datos que no cuadran...
Muy listos no son

Anónimo dijo...

Como ya se ha dicho el usuario corresponde a un funcionario, más concretamente de la inspección de hacienda en Madrid, por eso empieza por i y sigue por 28. Como se ve en los metadatos lo generó el día 7 por la tarde, lo enviaría a quien lo haya pedido probablemente esa misma tarde o al día siguiente 8, ese día lo revisaría su destinatario, y lo publicaría al día siguiente 9, momento en el que aparece la última actualización. Como se puede ver no hay nada extraño en los metadatos.

Anónimo dijo...

La cosa es que pone modificado el 9, osea que algo se tuvo que cambiar

Anónimo dijo...

¿Title: datos fiscales 2003(P)?
Si que modificarían el archivo por algo...

Anónimo dijo...

Por otra parte no puede actualizar a W7 o W8 porque el sistema operativo que usan los PC de la Agencia Tributaria utilizan W2000 los más antiguos y WVista los más modernos. El actualizar todos los PC de la Agencia, decenas de miles, supone un coste que hoy por hoy no estaría justificado, toda vez que el trabajo se puede hacer perfectamente igual con los SO actuales.

Anónimo dijo...

Increíble que a estas alturas sigan dejando metadatos.
Pero no digáis que no son listos, con lo que roban y tal, son listos de cojones. Ah, y para que quieren quitar los metadatos si a pesar de que hagan lo que hagan seguirán en el poder.

Juan Manuel Dato dijo...

Extremadamente interesante: el juez debería tomarlo en cuenta para considerar hasta dónde llega el ramaje de Bárcenas.

Un ordenador comprado de serie, o de un funcionario, imprime un documento que debería sacarse tal cual. Sin embargo, hay cosas que aún están por no querer mostrar..., cuando el objeto del documento es mostrar que no hay nada que ocultar.

Pues Rajoi, si tenía Vd. cosas que ocultar y pretendía hacerlo, ¿por qué no aclaró lo que sí tenía derecho a ocultar? Esto lo culpabiliza directamente dadas las circunstancias.

Seamos buenos, ¿qué pretendía ocultar? La compra de revistas pornográficas, viajes a emporios sexuales de tirada gay..., ¿y eso lo pudo ver ese usuario desconocido? ¿Pudo borrar las "insidiosas" entradas desde su propio ordenador? ¿Por qué hace declaraciones de la renta tan morbosas nuestro presidente?

Si el juez no toma cartas en el asunto...., mal vamos.

Alakazam dijo...

Bueno, no sé si será así o no, pero yo he visto algunos documentos y el DNI no aparece. Quiero decir, en todos mis documentos parecidos aparece mi DNI, a lo mejor la única edición que se ha hecho es para eliminar esos datos personales (no es que no piense mal ni que defienda a estos chorizos, pero vaya, es una posibilidad).

Saludos

Anónimo dijo...

i28000hx es un funcionario del area de inspeccion de la delegacion 28000, es decir, Madrid.

Rezzonics dijo...

El documento contiene retribuciones y resumen de renta de 2003 a 2011 aportadas por la Agencia Tributaria, y la Moncloa añade las retribuciones de 2012 en la última página, datos de los que supongo no dispone todavía la Agencia.

Rezzonics dijo...

Enlace a documento Retribuciones 2012 de Mariano Rajoy

Mariano Rajoy dijo...

Viva el vinooo

Anónimo dijo...

bueno...es que con tantos politicos-ladrones-mentirosos=la situacion nunca no va a cambiar a mejor en nuestro pais!! Se estan criticando etre ellos pero todos son unos ijos de la gran britaña y todos roban nuestro dinero para vivir en un chalet en la plalla, tener una limuzina de mas de un millon, etc....!Algun dia se encuentrara alguno para poner fin a todas estas cosas. OS dejo un link de consejos muy bueno. jajaj pos yo no creo lo mismo...mentiras-ladrones=chorizos. Con criaturas como nuestros politicos la situacion nunca no va a cambiar!!! Como a dicho rajoy (no le demos mas vuelta) poe no, todos sabemos quien soys y que quiereis. Bueno....me enfado muchisimo con estas noticias...os dejo un link de una pagina web muy buen. http://www.comomania.com/

Eduardo dijo...

andalinux
Un funcionario del Ministerio de Hacienda no puede tener en su estación de trabajo otra cosa que el sistema operativo que se despliega en su equipo desde el servidor, que por supuesto utiliza un 100% de licencias legales, tanto de Windows como del resto del software que utiliza.
El usuario normal casi no tiene privilegios ni para cambiar de mayusculas a minusculas en las políticas de dominio que se le aplican, y por supuesto si tuviera un Sistema operativo pirata no podría unirlo al dominio ni trabajar con el, porque todo eso se controla. Y por supuesto que tienen XP, hasta que finalice el tiempo de soporte, para minimizar los costes de licencias. Me imagino que llevarán varios meses migrando maquinas puntuales no críticas a Windows 7 y durante este año migraran todos los equipos.
Por otra parte estoy seguro de que el usuario no tiene acceso a los puertos usb ni a la unidad de CD, y correo con salida a internet muy poquitos... (y tampoco lo usarán tanto, me imagino que estarán usando Sharepoint)

iwre0 dijo...

Tampoco veo nada malo en los metadatos. Se puede seguir utilizando WXP, el nombre de usuario no dice mucho al mundo exterior y es normal que la fecha de creación y modificación difieran.
Es producto de un trabajo normal que no revela mucho de privacidad.

Webempresa dijo...
Este comentario ha sido eliminado por el autor.
gnumax dijo...

No seas mal pensado, que seguramente se modificó para corregir pequeñas erratas o cifras descuadradas que algún "contable" del reino detectó minutos antes de la presentación pública. :)

...mira que eres mal pensado!!!

Anónimo dijo...

Es que el verdadero documento es este:
https://hotfile.com/dl/193709106/0f0d3c4/datosfiscales2003.pdf.html

Daniel Oprea dijo...

Qué curioso.. todos los documentos se han generado uno tras otro, con un intervalo de 0-5min cada uno..,
Y este usuario "i28000hx" aparece solo en los .doc del Master Rajoy... en todos los demás documentos publicados.. aparece los nombres de otros usuarios...
Lo curioso y lo inquietante es porque se han creado el día 7/02/2013 todos los documentos?
"Mis declaraciones de renta los creo anualmente, por lo tanto, en cada declaración de renta, la fecha de creación corresponde con la del año de la declaración."
Y porque se han modificado todos los archivos igual con un intervalo de 0-5min entre cada justo antes de subirlos a la web?
El orden es:

Ficheros Fecha de modificacion 09/02/2013

datosfiscales2003.pdf 11:14:24
renta2003.pdf 11:15:06
patrimonio2003.pdf 11:17:04
renta2004.pdf 11:17:54
datosfiscales2004.pdf 11:18:44
patrimonio2004.pdf 11:19:21
datosfiscales2005.pdf 11:20:01
renta2005.pdf 11:20:40
patrimonio2005.pdf 11:21:21
datosfiscales2006.pdf 11:22:01
renta2006.pdf 11:22:44
patrimonio2006.pdf 11:23:21
datosfiscales2007.pdf 11:24:00
renta2007.pdf 11:24:56
patrimonio2007.pdf 11:25:32
datosfiscales2008.pdf 11:26:13
renta2008.pdf 11:26:53
datosfiscales2009.pdf 11:27:35
datosfiscales2010.pdf 11:29:06
renta2010.pdf 11:29:47
datosfiscales2011.pdf 11:30:25
renta2009.pdf 11:31:10
renta2011.pdf 11:32:03
=======================================================
Y vamos a analizar la fecha de creación de los ficheros.. que curioso el orden de la creación de los ficheros y en caso de los datos fiscales las horas..
Ficheros Fecha de Creacion 07/02/2013
renta2011.pdf 10:22:29
renta2010.pdf 11:14:49
renta2003.pdf 12:12:42
renta2004.pdf 12:27:55
renta2005.pdf 12:31:09
renta2006.pdf 12:33:28
renta2007.pdf 11:27:03
renta2008.pdf 12:59:05
renta2009.pdf 13:04:12

patrimonio2003.pdf 13:58:37
patrimonio2004.pdf 14:00:57
patrimonio2005.pdf 14:04:50
patrimonio2006.pdf 14:07:41
patrimonio2007.pdf 14:09:59

datosfiscales2003.pdf 19:31:15
datosfiscales2004.pdf 19:32:02
datosfiscales2005.pdf 19:32:43
datosfiscales2006.pdf 19:33:23
datosfiscales2007.pdf 19:34:06
datosfiscales2008.pdf 19:34:45
datosfiscales2009.pdf 19:36:02
datosfiscales2010.pdf 19:36:52
datosfiscales2011.pdf 19:37:33

En fin, esto huele mal...

Manuel Guisande dijo...

Joé tío, me has hecho polvo, he tenido que leer cuatro vecs esto para entender algo de los metadatos. Conclusión me doy cuenta que soy mayor de cojones. Hoy dormiré pensando en los putos metadatos

Daabon Ecologico dijo...

Excelente

Anónimo dijo...

Este post = pérdida de tiempo.

Miguel dijo...

Curioso post, totalmente de acuerdo a que no mostraba nada de Barcenas and company. :)
Un saludo

Anónimo dijo...

Menudo Forensic de mierda que eres. Si con eso ya sacas conclusiones así, mal vas.

Porque vas a pensar que las declaraciones se han sacado del sistema una detrás de la otra, realizadas por un funcionario, pero claro, más sencillo es decir, algo raro.

Si solo se piensa de una forma, se te ve de que pie cojeas.

Anónimo dijo...

Aunque no deja de ser curioso (más que interesante, por lo que comento a continuación), me gustaría hacer dos críticas constructivas (y que conste que no hay nada más lejos de la realidad que que quiera defender a nuestro Graaaan presidente).

(1) No dices de dónde has sacado el documento. Hasta donde yo sé, podrías haberlo cogido de la noticia de un periódico. Quién te dice a tí, que quien haya publicado ese documento, no lo haya modificado e.g., con un editor de PDF (que no cambie la metainformación relacionada con la aplicación creadora del documento). Eso podría dar por tierra con todos tus supuestos, ya que quien lo ha publicado podría no ser siquiera alguien relacionado con el Gobierno.

(2) Lo de la hora me parece demasiado "humo". Diría que no es raro encontrar alguien con la hora mal configurada. Más aún si, como dices, la última modificación se hizo en un XP (que vete a saber si tenía sincronización de hora en red activada).

En conclusión: muy curioso el análisis, pero ni de lejos aporta nada concluyente en cuanto a la fiabilidad de los datos del documento. Que, por otra parte, tampoco aporta nada en cuanto a la inocencia de Rajoy en el tema de los papeles de Bárcenas.

Anónimo dijo...

Que no se vaya el debate por las ramas políticas. Esto es un blog de seguridad informática y el mensaje de Chema no es político, sino: PRECAUCIÓN CON LOS METADATOS

Lo único que usa un ejemplo muy candente para transmitir ese mensaje. Pero como siempre, la subjetividad invade a más de uno.

Moraleja de este post: METADATOS=EXPLOTABLES.

¡Saludos benignos!

DefCON2 dijo...

XP a muerte ... jajajjaja

FluxFluXor dijo...

jajajaja.... son increíbles... Chema como siempre sos un crack...
muy buen informe...menos mal que la metadata no decía; photoshop cs5 XD

Anónimo dijo...

Pero tampoco es cuestión de empezar a "chuparnos las pollas". Quiero decir que no basta con acceder a los metadatos para obtener la verdad absoluta sobre el contexto de un fichero. Hay que analizar el contexto en si mismo (en este caso, es un documento que ha debido pasar por muchas manos, distintos tipos de aplicaciones, etc.). Es más, yo sacaría un colorario a tu ecuación diciendo: METADATOS ANALIZADOS FUERA DE CONTEXTO = PROBABLE EPIC FAIL.

Anónimo dijo...

A ver si aporto algo que aclare el tema:
1) La Agencia Tributaria no utiliza XP. Ese metadato más bien parece el de la versión de PDFCreator 1.6.0 "para" Windows XP.
2) Las horas de creación bien podrían ser fruto de lo siguiente: alguien con mando "ordena" a I28000xx que saque los datos de las rentas y patrimonios de M.R. del Expediente Electrónico y los imprima en PDF con la herramienta corporativa (PDFCreator). I28000xx se pone a imprimir como loco y en el orden que le sale del ratón. Los clientes sí están sincronizados en fecha y hora con el servidor.
3) I28000xx no tiene privilegios ni herramientas para modificar archivos PDF. Como mucho puede unir dos archivos PDF utilizando la cola de impresión del propio PDFCreator. Si la nómina de 2012 se añadió después, eso explicaría la fecha de modificación.
4) Son mangantes, pero no son tan tontos. En una declaración de renta jamás se declara dinero negro, ni Rajoy ni el mecánico de la esquina. Por tanto no habría nada que modificar ya que todo el dinero cobrado en negro jamás se ha declarado.
5) Lo que sí me creo es que nadie haya caído en la cuenta de que los PDF iban con todos sus metadatos y algún día sí podría darles un susto (no más que eso, claro).

Salu2
I08000XX


Eleven Paths Blog

Seguridad Apple

Entradas populares