martes, julio 09, 2013

Análisis de metadatos en la contabilidad filtrada del PP

Antes de comenzar a leer este artículo, quiero dejar claro que esto no es más que un ejercicio técnico de revisión de documentos, y que un informe pericial podría sacar mucha más información. Es cierto que con tal cantidad de documentos filtrados, era imposible no pensar en analizar los metadatos de todos ellos para ver qué se podía extraer en global de todos ellos, pero desconocemos si fue la misma persona la que los escaneó, los empaquetó en ficheros .ZIP y la que los filtró en Internet. Vamos a hacer un pequeño análisis forense digital, a ver qué sale.

Figura 1: Vídeo-Tutorial de Forensic FOCA


Para este ejercicio que formará parte de los ejemplos ejemplares de análisis forense de metadatos supondremos que todas son personas distintas - hasta que se demuestre lo contrario - y solo se hace un ejercicio de análisis de metadatos para ver qué sale. Por supuesto, para hacer esta tarea de análisis de más de 5GB de datos nada mejor que Forensic FOCA que para esto se creó.

Los ficheros comprimidos

Los documentos se publicaron en ficheros .ZIP comprimidos, en los que aparecían archivos de miniaturas Thumbs.db, lo que podría significar que se habían creado con un Windows XP o anteriores. En el último de ellos, relativo a la contabilidad de 2011 aparecía sin embargo, entre la compleja estructura de carpetas, un fichero .DS_Store, típico de sistemas operativos Mac OS X, lo que parece que se podría haber hecho desde varios ordenadores el empaquetado de los documentos. Así que hemos de suponer que la persona que los empaquetó, o era una con dos equipos distintos, o fueron dos personas distintas.

Figura 2: Thumbs.db en ZIP de año 1999

Los ficheros descomprimidos

Si se descomprimen los ficheros, aparecen más de 400 documentos en formato PDF. Todos ellos son copias escaneadas de documentos originales, pero tenemos la ventaja de que no han sido limpiados de metadatos, por lo que se puede extraer mucha información de ellos. Para analizarlos con Forensic FOCA se extraen todos y se arrastran a la herramienta. El resto se hace solo.

Figura 3: Lista de documentos publicados

Que aparezcan los ficheros comprimidos con archivos de miniaturas y los documentos PDF con metadatos podrían hacernos pensar que la persona que filtró los documentos en Internet o no es la misma que los escaneó y comprimió - y por tanto no le importa la info que de ahí se pueda extraer - o no tiene un perfil técnico alto, lo que haría pensar más en una filtración de alguien con acceso a los documentos en lugar de un ataque hacktivista.

Las rutas a carpetas

Si miramos al estructura de carpetas que aparecen, es curioso ver unidades como m: o t:, lo que significa que se está utilizando algún tipo de sistema de almacenamiento en red NAS para guardar todos los documentos mientras se escanean. Si hubiera que especular sobre el sistema, parece un scaner/digitalizados/multifunción que come documentos y genera los PDF, pero hay cosas que generan diferencias más adelante.

Figura 4: Rutas a carpetas encontradas en los documentos PDF

El software utilizado

Esta información sí que es relevante, pues además de software muy común como Adobe Acrobat o Adobe Distiler, aparecen versiones de software muy concretas, como EFI Cyclone o Developer Express Inc.

Figura 5: Software de creación de documentos PDF encontrado

La primera de ellas es especialmente llamativa, pues es software de impresión profesional que se usa en impresoras de gama alta utilizadas en centros de reprografía de documentos. La lista de equipos que incorporan estas librerías de EFI puede consultarse en la web del fabricante. Nitro PDF Professional tampoco es un software demasiado común, y la versión 6 es bastante antigua.

Las fechas de creación de los documentos

Tras analizar cuándo se crearon y modificaron los documentos, puede verse como se crean y modifican los ficheros PDF. Esto es algo típico de documentos creados página a página, es decir, se digitaliza la página 1 y se crea el documento, luego se digitaliza la página 2, y se modifica el documento PDF anterior.

Figura 6: Sección de fechas de creación y modificación de documentos

Las fechas de creación de estos documentos digitalizados comienzan a hacerse en serie a partir del 8 de Febrero de 2013 en adelante, lo que parece que se hizo a conciencia, ya que hay miles de páginas entre todos los documentos.

Figura 7: Algunos documentos creados el 7 y 8 de Julio

Los usuarios

No aparecen usuarios en casi ningún documento, pero hay 4 de ellos en los que sí. En uno de ellos aparece un genérico Administrador, pero en otros tres documentos aparece el nombre de un usuario MAGomezc.

Figura 8: Usuarios encontrados en documentos PDF

Este nombre, que parece algo similar a Miguel Ángel Gómez C., Marco Antonio Garmendia Crespo o cualquiera de ese estilo, aparece en tres documentos digitalizados en el año 2008, es decir, hace 5 años, pero que podría indicar a una persona concreta.

Figura 9: Un documento digitalizado por MAgomezc en el año 2008

Por supuesto, este metadato sólo dice que se escaneo desde un equipo en el año 2008 en el que el usuario que estaba trabajando con ese Adobe Acrobat PDF Maker 7.0 era MAgomezc.

Al final, serán los investigadores de este caso los que tendrán que casar software con equipos personales de personas o tiendas, modelos de impresoras/digitalizadoras con dueñas, y nombres de usuarios con personas, pero esa ya es labor policial y queda lejos de nuestro objetivo por ahora.

Saludos Malignos!

40 comentarios:

Anónimo dijo...

¿Es posible que acabéis de haber destapado al que los filtró, ese tal Miguel Ángel Gómez?

Puede que le hayáis hecho una señora put*da.

Kiko dijo...

Yo discrepo sobre la putada. Ya que si es real la contabilidad, la putada es para todos los españoles de a pie que vamos pagando impuestos y trabajamos para poder disfrutar un poquito mientras estos cabrones viven a cuerpo de rey.
Siempre se deriva la atención al chivato y no se presta atención al que comete el delito grande...

Gran trabajo el que se puede realizar con FOCA, creo que es una gran y muy útil aplicación

Anónimo dijo...

No es ninguna "putada". Eso los informáticos forenses lo sacarán (y mucho más) lo que ha hecho chema es un muy simple análisis.

Grande Chema!

David M.

Anónimo dijo...

http://www.yuncos.es/index.php?option=com_content&view=article&id=81&Itemid=98

Ya sabemos quien es el politico con principios.

Anónimo dijo...

Puede ser solo el que lo escaneo

fossie muppet dijo...

Así es Anónimo, buscandolo en google sale esa web que comentas pero tal vez no sea él.

Alejandro Amo dijo...

Personalmente apuesto por Mª Ángeles Gomez:
http://ppmostoles.org/daniel-ortiz-presenta-el-nuevo-comite-ejecutivo-del-pp-un-equipo-cohesionado-y-con-experiencia-para-hacer-frente-a-los-retos-de-futuro-de-mostoles/

Maligno dijo...

Ojo que MAGomezc Puede ser Marco Antonio Gómez o Manuel Alberto Gómez u otra combinación…

Alejandro Amo dijo...

Claro Chema, de ahi que utilizo claramente la palabra "apuesta", pero nótese que la lista de integrantes del PP son relativamente accesibles.
El cotejamiento de datos está servido.
Esta señora lleva tiempo ahi, e abierto un casefile para tratear un poco, y ya tengo documentos oficiales que la situan en las filas del PP en 2003, siendo de las pocas personas cuyo nombre completo encaja con este username.
http://postimg.org/image/qsaq9hln1/
Solo podemos hablar heurísticamente, pero por arrojar teorias , siempre que tengan cierto fundamento, que no quede }:)

@Lironcareto dijo...

Hombre, deducir por la letra de unidad M o T que se usa un NAS o almacenamiento en red me parece, como poco, arriesgado. Yo tengo unidades locales con letras como R, T y Z. Es importante ser rigurosos y no empalmarse haciendo afirmaciones gratuitas y tan tan tan fáciles de echar abajo.

Alejandro Amo dijo...

@Lironcareto
Creo que Chema ha sido muy claro en su exposición como para que tú realices semejante comentario.
Estamos hablando de muchos indicios que apuntan a un centro de repografia. No a tu casa, donde tú, como usuario avanzado, tienes letras de unidades que obviamente la inmensa mayoria de usuarios de PC en oficinas no tiene.

@Lironcareto dijo...

Insisto, PRUEBAS en vez de ESPECULACIONES, es lo que hace que una afirmación sea tenida en cuenta o se tome por una simple habladuría. Nada más.

@Lironcareto dijo...

Igual de especulativo que lanzar al aire el nombre de Miguel Angel Gómez C. Cuando hay decenas de combinaciones de nombres que pueden responder a M.A. (María de los Angeles, María Antonia, María Angustias, Manuel Alberto, Marco Antonio...) Cuando la información está tan débilmente sustentada, es mejor no ofrecerla.

Alejandro Amo dijo...

El problema del cerebro humano y su típica bipolaridad y necesidad de verdades absolutas.

En las investigaciones, en el trading, en la gestión de riesgos de todo tipo, en el análisis científico, y cuando usas el sentido común en general, primero se parte de una HIPOTESIS, que tiene un PORCENTAJE razonable de ser cierta en base al análisis de los datos que tienes.
Gracias a eso, existe la heurśitica, que protege tu máquina de código malicioso no conocido, y otros algoritmos sin cuya existencia tu vida sería mucho mas compleja.

Eso es todo lo que expone aquí Chema.
No sufras más por el tema, muchacho, no participes del debate, quédate a la zaga y espera que la policia publique los resultados más adelante.

Anónimo dijo...

Miguel Ángel Gómez Castaño, esa es mi apuesta, procurador de Salamanca.

@Lironcareto dijo...

Me vas a perdonar, pero es que las únicas verdades, son las absolutas. Una verdad a medias ni es verdad ni es nada. :) La certeza, como la muerte, es un término ABSOLUTO. No se puede estar MUY muerto, o POCO muerto. Siempre se está ABSOLUTAMENTE muerto. Y cuando algo es cierto, lo es (absolutamente), o no lo es (de ninguna manera).

Si a ti te parece que simplemente conociendo las iniciales M.A. hay un porcentaje razonable (me ha encantado esta expresión tan subjetiva) de ser cierto que responden al nombre de MIGUEL ANGEL, pues me sorprende tu cálculo de probabilidades. Mucho. Afortunadamente el algoritmo heurístico tu antivirus hila más fino que tú o de lo contrario no podrías ejecutar ni el notepad.exe.

En fin, zanjando el tema. Que es que yo prefiero la información veraz y rigurosa, lejos de bulos, habladurías y rumores infundados. Pero me consta que hay gente que no valora tanto el rigor y se cree cualquier cosa (por eso se venden como rosquillas las PowerBalance) ya que piensan que a fin de cuentas una verdad "no absoluta" tendrá algo de verdad… Craso error por lo que expliqué más arriba. Pero ca' uno es ca' uno. ;)

Buenas noches.

Alejandro Amo dijo...

Mira que es sencillo...

Y mira que la cuadratura del círculo os da para gastar tinta...

Exposición de los datos, que obviamente son verdades absolutas, y de sus posibles significados, que obviamente no lo son, pero que son NECESARIOS porque a partir de ellos se construyen lineas de investigación (en el caso de que estuvieramos actuando profesionalmente para las FCSE, que no es el caso porque aquí lo estamos haciendo de forma oficiosa).

Todo lo demas es un defecto de comprensión del lector. Querer usar un tamiz de razonamiento inadecuado pra procesar un contenido que, convenientemente enmarcado, no solo es razonable ni en absoluto merece descalificación alguna, sino supone un potencial aporte de valor de cara a esa búsqueda de la verdad.

habida cuenta de tus "preferencias", si te provoca urticaria la especulación y te produce temor o sentimiento de tabú el manejo de lo incierto, puedes visitar los períódicos donde la información ya ha sido contrastada y sin lugar a dudas ya es veraz...

¿o quizas no? }:-)

Anónimo dijo...

En el video sobre la foca que has puesto también sale un Magomez... casualidad?

Anónimo dijo...

Si con esto no dimite el Gobierno,
ya no habrá esperanza para el país

Anónimo dijo...

https://twitter.com/magomezc

Anónimo dijo...

¡Vaya debate se ha generado entorno a si es verdad o no!

Está claro que es un simple ejemplo, de los datos que se podrían sacar con forensic foca, nada más. No hay que darlo más vueltas.

Saludos!

David M.

GoRaGu dijo...

@Lironcareto, o no puedo entender, como alguien con esa capacidad de razonamiento (o es, o no lo es!, estoy de acuerdo), no puede ver mas alla de los primeros arboles para ser capaz de ver el bosque...

La cuestion es, aqui hay personas, que ofrecen su tiempo de ocio para instruir al personal y poder hacer mas "maldades" como estas (hay quien lo calificaria de "terrorismo", palabra con la que desearia que entraras tambien a debate, ¿que es terrorismo? jovenes quemando cajeros, contenedores, etc; policias abriendo las cabezas de manifestantes que si hablaban de paz con el corazon; dar dinero a quienes desahucian a familias sin piedad alguna; hacer negocios con esos mismos bancos, dandoles dinero publico a cambio de.... cuentas no tan transparentes, y este es el tema que nos ocupa, por cierto...), sigo, y tu pretendes hacer perder el tiempo en un debate en el que quienes participan se ve claramente que buscan la verdad, la ABSOLUTA verdad?

Porque no usas esa mente tan "filosofica" para ayudar a llegar a esa verdad, deborando la informacion, procesandola y dandonos tus conclusiones, o hipotesis, para que sigamos avanzando juntos en un mismo sentido??

Observa el bosque, y no a esa rama que recien empieza a "oscurecer" tu camino.... unete al lado oscuro!!

(es la primera vez que comento en este blog, un fuerte abrazo a ese tal "txema" por su gran labor y aportacion en este y otros muchos temas con los que finalemente he terminado topandome en este blog)

Nauar dijo...

Hola, tengo una duda. Presento mis disculpas si ya se ha tratado con anterioridad. ¿Cuán fiables son los metadatos? ¿Cómo podemos asegurar que un documento Word se ha escrito en una determinada fecha si, por ejemplo, el que lo crea y lo guarda antes de dicha acción modifica la fecha del sistema a un año antes? De igual modo, si yo me logueo en un sistema con un usuario impersonal (como "usuario" o "admin"), ¿también puedo esquivar a la Foca?

Con todo esto no quiero quitar mérito a todo el trabajo del equipo de la FOCA, que me parece apasionante, muy logrado e innovador.

Gracias y un saludo.

naraná naná dijo...

No creo que el/la tal MAGomezc tenga nada que ver con la filtración.

Según nos cuentas, ese usuario sólo aparece en ficheros escaneados en el 2008, y "para mí" (recalco lo de "para mí") eso significa que sólo es un trabajador que hizo ese escaneo en esa fecha, y que ese documento quedó guardado en su día.

La persona que luego copió y filtró los documentos es seguramente otra, incluso aunque sea la misma que escaneó los documentos con fecha 2013.

Un saludo.

Anónimo dijo...

La polícia judía que ayudaba a los nazis en los guetos también tenían buenos argumentos para justificar su trabajo, pero sin su ayuda nunca se podría haber llegado a los niveles que alcanzó el exterminio. Pero para eso hay que entender algo más que de ordenadores. Esperemos que ese ciudadano responsable supiese de metadatos porque sino le habrás jodido bien.

Manu, The Java Real Machine dijo...

Estoy con @Lironcareto, ojo con las afirmaciones o medias verdades porque en internet cualquier cosa puede tener una gran repercusión y terminar provocando que se apunte con el dedo a quien no tiene nada que ver por una mera coincidencia.

La entrada es un bonito ejercicio de cómo sacar información a partir de los metadatos, pero nada más que eso.

En Informática todo puede ser manipulado, posiblemente incluso esos metadatos por alguien con conocimientos.

Por eso los peritajes informáticos hay que cogerlos con pinzas, porque en el mundillo digital no hay verdades absolutas.

Anónimo dijo...

Iba a decir lo mismo que "naraná"
Independientemente de que el análisis está muy bien y se ve los datos que se pueden conseguir de forma "sencilla", que es el objetivo..

Yo creo que donde mas patinais es pensar que el usuario que los escaneó en 2008 es el que los filtró... hace 5 años de eso, es posible incluso que ese usuario fuera un temporal, un becario, o similar, que escaneara unos documentos que alguien le solicitara, para que los guardara en una unidad de red a la que podría acceder el que lo encargó y cogerlos de allí (por ejemplo)... pensar que ese usuario es quien lo filtró es muy muy aventurado

Alejandro Amo dijo...

Gente...

Como ya ha dicho Chema, y como indica el sentido comun, primero hay que partir de la premisa de que las personas que construyen y las que roban los documentos no son las mismas. Es lo más lógico y lo mínimo que hay que suponer, especialmente por el hecho de que tantisimo volumen de documentos no es nada facil se escanear en circunstancias de subterfugio; hay muchas mas probabilidades de que se escanease como parte de un proceso administrativo normal y guardados en una unidad de red al uso, donde se almacenase la docmentacion, como solemos tener todas las empresas minimamente ordenadas.

A foca no se la burla, técnicamente hablando. Foca extrae los metadatos, si los hay, o no extrae nada si no los hay. ALgunos de estos metadatos son más faciles de burlar alterando fechas en los PCs, pero otros como los nombres de usuario son, simplemente, los que ponen ahi, pero dando una vuelta de tuerca dentro de lo razonable, es tambien posible que el nombre de usuario logueado en una maquina puediera perfectamente no pertenecer a la persona que está usando fisicamente el PC.

Pero si en una oficina con principios y normas básicas de seguridad una persona ha usado el login de otra para realizar un proceso administrativo de semejante volumen durante tanto tiempo... seria para repartir collejas.

Todo apunta más bien a que los documentos se reprografiaron de forma natural como parte de un proceso de la oficina, y por tanto nadie tendria que usar logins ajenos para esconderse de nada, porque nada malo estaría haciendo.

Respecto al comentario:
"Si con esto no dimite el Gobierno,
ya no habrá esperanza para el país"

yo creo que es todo lo contrario...

TENDREMOS "ESPERANZA" PARA RATO! }:-)

Anónimo dijo...

He leido en varios sitios que se han dedicado a analizar los datos filtrados, que asumen que el archivo .DS_Store implica que hay un MacOS de por medio.

Tengo un NAS Icy Box NAS4220-B que también genera un archivo con ese mismo nombre en el directorio raiz compartido. Supongo que habrá otros modelos que también lo harán.
Y eso cuadraría con la suposición de que se ha usado un NAS que hace Chema en el artículo.

Protouni dijo...

Una pregunta, nada que ver con el tema... Donde se te puede escuchar Chema? Aca en Argentina son 5 hs menos = 6:45 y no te encuentro en la radio D:

Anónimo dijo...

MUY MAL, ¿perseguir a quien puede evitar la corrupción en españa para que sigamos siendo una psi de pandereta y solo por unos pocos euros? MUY MAL esta claro que en españa eso de los valores hacker esta muy pero que muy lejos de ser una realidad, esto es un antro de fascistas y crackers a sueldo.

Anónimo dijo...

Me parece muy logrado el trabajo, y se ha de reconocer que Foca es una excelente, majestuosa y espléndida herramienta de código cerrado.

Sólo quiero aclarar que hay otras herramientas de código abierto (totalmente gratuitas), como exiftool, peepdf, pdfparser y muchas más, que no son tan espléndidas, ni tan majestuosas, ni tan bien 'posicionadas', pero hacen exactamente lo mismo que la Foca.

Felicidades por el trabajo.

JoseM C.F.S.L dijo...

ya me gustaría a mi ver no solo lo del pp , también lo de todos y cada uno de los partidos y políticos de este país desde que comenzó esto de la política para que de una vez se diese cuanta el ciudadano de a pie quien son y para que viven estos tipos, y eso de que no todos los políticos son iguales y no tienen las mismas pretensiones que se lo cuenten a otro, en el momento que obtienen un cargo hacen uso y abuso de el. por ejemplo ya soy concejal mi familia y amiguetes favorcitos. Ah por cierto por si alguno le interesa soy del ((ppa partido de las papas aliñas)), jamás he botado ni botare digan lo que digan me da igual todos absolutamente todos son iguales. pena no se pueda demostrar tan fácil, como ellos hacen las leyes ummm difícil pillarlos.

Anónimo dijo...

¡Madre mía si esto todavía sigue!

Maligno, al final vas tú a la cárcel por hacer este ejemplo!!!! jajajaja


David M.

Anónimo dijo...

Qué lio se ha formado con el analisis de estos documentos... para información de los despistados que leo por aquí, estos documentos son PUBLICOS y cualquiera puede analizarlos y sacar las conclusiones que quiera.

Por cierto, muy pocas verdades absolutas hay, si acaso los dogmas de fe de las religiones.

Muy buen trabajo Chema y adelante con el blog.

David dijo...

Todo muy bonito, pero la verdad es que no se tiene ni idea si los datos son verdaderos. Por una cuenta de Twitter se ponen unos ficheros y todo el mundo piensa que son verdaderos y las pruebas... ninguna, me quedo perplejo. Los podría haber puesto cualquiera. No dejes que la verdad arruine una bonita historia, ¿no?

De hecho es increíble el debate sobre los metadatos, cuando ni si quiera podemos comenzar suponiendo que los documentos son reales, incluso se podrían haber creado con esos metadatos a propósito. De hecho los metadatos no revelan nada interesante e incluso el nombre al que ya relacionan con uno del PP es tan vago que cualquiera podría ser. En contra lo que dice Alejandro Amo, no veo la hipótesis razonable ni de cerca.

Me parece que hay mucho cazador de ovnis aquí y mucho conspiranoico, ya que yo podría partir del hecho de que son inventados y alguien se está partiendo la caja.

Esto no es la primera vez que pasa,
http://www.youtube.com/watch?v=bWKfyRPf8gM

y hay gente que aun se lo cree.
Tengo que recordar falsos documentales de extraterrestres o la guerra de los mundos...

Bueno, pues la fuente de los datos no es para nada fiable y si de los metadatos sacaramos algo con suficiente fundamente, algo que sólo pudiera conocer alguien dentro del partido del PP... porque que se hizo con una reprografía, que fueron varios tíos, que utilizaron programas relacionados con el escaneo de documentos, y que hay poco más que unas siglas... no parece gran cosa no.

Anónimo dijo...

o M. Asunción Gómez Campillejo (Durando, Municipales Durango) http://t.co/4pOtQgKDwC … y curra en UPM (Neg. de Gastos) http://t.co/zHukFreI34 …
También fue en las listas del PP en Gorliz (Vizcaya, Municipales 2007) http://t.co/DLligaGnNr …

Alejandro Valdezate dijo...

Después de lo del NAS por tener unidades de red ya me has dejado KO. Del resto, trivialidades e interpretaciones.

Anónimo dijo...

En la última imagen (figura 9) hay un dato que se pasa por alto, y es la clave para saber desde dónde se filtró la información. C

strel dijo...

Archivos que faltaban y metadatos completos:
http://www.meneame.net/story/tomos-aun-no-has-visto-contabilidad-filtrada-pp

Entradas populares