lunes, julio 15, 2013

¿Podrían ser falsos los SMS de Barcenas y Mariano Rajoy?

Decir si los mensajes SMS publicados por el periódico El Mundo es algo difícil sin un análisis completo. Aún así es posible explicar algunas cosas para que esto sea un poco más fácil de entender por alguien menos experimentado en estas lides con el fin de que tenga un poco más de información sobre este caso. Todo esto, teniendo presente que nadie aún ha dicho que sean falsos, pero con la vista puesta en ver si tendrían validez en caso de querer usarlos como prueba.

Figura 1: Doña Dolores de Cospedal le enseña algo en el iPhone a Don Mariano Rajoy 

Los SMS y los iMessage

A pesar de que ha salido por todas partes que los mensajes son SMS, hay que tener presente que podrían haber sido iMessages. Esto es curioso porque en las capturas aparece el botón de enviar en color azul, lo que indica que el destinatario de la conversación tiene un iPhone con iMessage - como se explica en el artículo de "Todos los iPhone del presidente", pero sin embargo los bocadillos no son azules, lo que podría significar que se ha configurado la opción de enviar SMS, o que el emisor además de iPhone tuviera otro móvil con la SIM duplicada y enviara mensajes SMS.

Figura 2: Primeras capturas. Los bocadillos de color verde hacen ver que han sido SMS

Los fakes de mensajes de iPhone

Hemos de suponer que las capturas que se publican en el periódico han sido tomadas directamente de los terminales, y que no habrán sido entregadas como ficheros gráficos, ya que falsificar una conversación de mensajes en iPhone es tan fácil como tirar de Photoshop o algo más simple como iFakeText, que se usa para hacer bromas a la gente. Es de entender que han sido tomadas directamente del terminal.

Figura 3: Fake SMS en iPhone con iFakeText

La manipulación de la base de datos de mensajes

Si el terminal estuviera en posesión de alguien que quisiera manipular esos mensajes, podría hacerlo. La base de datos es un fichero que se encuentra dentro del terminal y que puede ser manipulada. Como se explica en el libro de Hacking iOS: iPhone & iPad, la base de datos es un fichero de SQLite - analizables los mensajes borrados con Recover Messages - que se encuentra en la ruta /var/mobile/Library/SMS con el nombre sms.db.

Figura 3: Acceso a sms.db de un iPhone con SQLite Data Browser explicado en LifeHacker

Alguien podría, teniendo acceso al terminal, meter en esa base de datos cualquier información de mensajes entrantes y salientes sin que estos hubieran sido enviados y/o recibidos. No es trivial, pero tampoco algo extremadamente difícil.

La manipulación del remitente de los mensajes

Al ser SMS, y un terminal iPhone, es conocido desde hace tiempo que es posible enviar mensajes abusando del protocolo con la dirección del remitente spoofeado. Esto es algo que denunció hace tiempo Pod2g y es conocido por todos los profesionales de la seguridad. En la NoCONname se dio la siguiente charla que explica los fundamentos del SMS Spoofing.

 
Figura 4: SMSspoofing: fundamentos, vectores de ataque y salvaguardas.

Investigación de los mensajes

En todas las imágenes - exceptuando en la imagen sexta que no tiene el PIN introducido - se puede ver que la red es Movistar, pero eso no quiere decir que se enviaran por esa red. Habría que ver qué operadores se utilizaron en las fechas de envío y recepción de esos mensajes, por lo que si el juez quiere investigar la veracidad o no de esos SMS debería después comprobar si los registros de envío y recepción de esos mensajes coinciden con los datos de las operadoras utilizadas.

Figura 5: Segunda remesa de capturas publicada

La captura con el PIN sin introducir

Lo de que todas las capturas tengan la red, exceptuando la última que pide el PIN deja una duda curiosa. ¿Se hicieron las capturas en momentos distintos? ¿Se hicieron las capturas en terminales distintos? ¿Se entregaron capturas al periodista?

Dicho esto, si hubiera que hacer un análisis forense de este terminal habría que tener en cuenta toda esta información, porque al no existir un informe pericial publicado es difícil confirmar que lo que aparece son datos auténticos. Aunque nadie lo haya negado aún.

Saludos Malignos!

16 comentarios:

  1. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  2. Qué bien explicado todo! Muchas gracias

    ResponderEliminar
  3. Si os fijáis bien hay 2 nubes de los mensajes deformadas como si lo hubiesen estirado.

    ResponderEliminar
  4. Cierto todo lo que comentas, pero Moncloa ya ha confirmado que los mensajes son reales. Tendría h****s que tambien mintieran en eso...

    ResponderEliminar
  5. Otro dato a tener en cuenta es el encabezamiento en el que figura el destinatario.

    En unas capturas figura con nombre y en otras el teléfono. Además por el contenido se puede concluir que ha habido 2 interlocutores diferentes además de Rajoy (Bárcenas y su mujer). Apuesto a que al menos existen dos terminales. Sobre la autenticidad... el propio PP la confirma implicitamente.

    Saludos







    ResponderEliminar
  6. sergipy, no, nadie ha confirmado ni ha negado la veracidad de los mensajes, tendrá que hacerlo rajoy ya que es su movil, veremos que dice hoy lunes.

    ResponderEliminar
  7. sergipy, nadie ha confirmado ni ha negado la veracidad de los mensajes sino que lo tendrá que hacer rajoy ya que el movil es suyo, veremos que dice hoy lunes

    ResponderEliminar
  8. De esto lleva todo el día de ayer hablándose...
    Si te fijas en la portada, son fotos al móvil, pero dentro han creado los pantallazos de sms ya que las fotos son de baja calidad.
    Esto lo pone el mundo en el reportaje. Pero es que nadie lo ha leído.

    ResponderEliminar
  9. ¿Cuales de las acciones que describes requieren un móvil no actualizado a la última versión y/o jailbreak?

    Saludos.

    ResponderEliminar
  10. Ese es el tema, que nadie lo ha negado. El juez debería dar orden ya de que se extraiga la información de la propia operadora para certificar la veracidad.

    ResponderEliminar
  11. Al menos no usan Whatsapp jaja.

    ResponderEliminar
  12. ¿Nadie se ha dado cuenta en la barra superior de la captura el texto de la hora es blanco cuando debería ser negro?

    ResponderEliminar
  13. ¿Y qué? Soy yo o a este no es el mejor tema para hoy? Portada de los periódicos, que Barcenas le dio 90.000€ a Rajoy y Cospedal y que las cuentas B del PP, dinero negro, son verdaderas y lo hizo él.

    Si fuera un país desarrollado esta España y no una república bananera, habría dimitido todo el mundo. En USA por una mamada te empapelan y en otros lugares por copiar una tésis dimiten.

    Aquí ni de coña, es que no tienen ni estudios superiores ni idiomas, ridículos hablando Francés e Inglés, y de tésis, ni hablemos.

    Pues eso, como que lo montaron con el paint.

    ResponderEliminar
  14. Y ya me he dado cuenta yo al leer. "tesis".

    ResponderEliminar
  15. Hola @anónimo, este post se escribió el domingo por la tarde, antes de el Telediario Noche y de la portada de El Mundo de hoy. Es un post técnico y ni me he leído el contenido de los SMS para hacerlo...

    Saludos!

    ResponderEliminar
  16. Después de las últimas revelaciones del extesorero del Partido Popular implicando directamente al presidente del gobierno y a toda la cúpula del PP en la trama mafioso-corrupta de sobresueldos, comisiones ilegales, malversación de caudales públicos y demás delitos, si en este país funcionara la justicia, hoy el presidente del Congreso de los Diputados debería haber recibido un suplicatorio del fiscal anticorrupción para poder encausar a Mariano Rajoy y demás altos cargos del gobierno. http://diario-de-un-ateo.blogspot.com.es/2013/07/la-guardia-civil-y-el-fiscal.html

    ResponderEliminar