Diarios de las Estrellas

Política, ciencia, tecnología, la vida, el universo y todo lo demás.

ATENCIÓN: A partir de ahora, las nuevas entradas de este blog están en
diariosdelasestrellas.com

Peritajes informaticos

¡La instrucción es intachable!, nos dicen. ¡No se puede dudar de la profesionalidad de nuestra policía!, aseguran.

Veamos lo que sucedió ayer en el juicio. Resulta que los islamistas tenían, en Leganés y en la casa del "Chino", ordenadores personales. En esos ordenadores personales, nos dijeron, encontraron pruebas abundantísimas de la frenética actividad internauta-jihadista de los terroristas: manuales de uso de armas, instrucciones para crear una célula terrorista, documentos de exhortación a la Jihad...

Faltaban las instrucciones sobre cómo fabricar bombas con móviles, pero supongo que pudieron haberse perdido. Ya es bastante suerte recuperar tanta información de un disco duro y unas memorias USB encontradas entre los escombros de Leganés, Claro que también tenían el portátil de Jamal Ahmidan, que encontraron en su domicilio en perfecto estado y que contenía la mayor parte de los documentos relevantes. Pero seguramente el Chino borró accidentalmente el fichero con las instrucciones y por eso ya en el siguiente atentado tuvieron que fabricar una bomba activada con una mecha larga y no con un teléfono móvil.

No importa, aunque falte eso, queda claro que los terroristas usaban Internet, y que de ahí tenían toda la información necesaria para organizar los atentados. ¿No?

Pues resulta que hay un "pequeño" problema. La fecha de algunos archivos del ordenador encontrado entre los escombros de Leganés es posterior a la fecha en que Jamal Ahmidan y sus compinches se suicidaron. Preguntada la perita por este detalle, responde que puede responder a la fecha de recuperación del archivo, y no a la de creación. Pero resulta que hay otros ficheros con otras fechas anteriores al 3 de Abril.

Según dijo la perito, ella trabajó con unos CD que contenían el volcado del disco duro. Pero si eso es cierto, en ese volcado debería aparecer la fecha de creación del fichero, no la de su inclusión en el CD. Un fichero, en Windows, tiene asociadas tres fechas: la de creación, la de la última modificación y la del último acceso. Si han recuperado un fichero del disco duro, han tenido la ocasión de averiguar esta información. Es más. Se guardan más datos, por ejemplo información acerca del "propietario" del fichero, es decir, del usuario que lo guardó por primera vez. Se guarda información de los permisos asociados a distintos grupos de usuarios. Por ejemplo, puede que sólo el "propietario" tenga permisos de acceso, o de modificación. Si los peritos fueran medianamente profesionales, en su informe aparecería una relación de ficheros encontrados, junto a los metadatos asociados.

En técnica forense informática, esto es lo menos que se puede hacer. En este artículo (en inglés) podeis ver una descripción de las pruebas que se suelen realizar y las herramientas que se usan para ello. Se puede tener información, por ejemplo, de quién ha usado el ordenador, cuando lo ha hecho, cuando se conectó a Internet, por donde ha navegado... Absolutamente nada que ver con lo que se presentó ayer como pruebas contra los supuestos autores del 11-M.

Un CD con ficheros supuestamente descargados de Internet es, sencillamente, inaceptable como prueba. Y presentar unos ficheros con la fecha modificada es equivalente a encontrar las huellas dactilares del policía en el arma del crimen. Si se ha hecho así, solo puede ser porque los peritos son unos incompetentes o porque están ocultando información.

Comentarios


"¡La instrucción es intachable!, nos dicen."[ADAMSELENE]

¿Quién lo dice?

"¡No se puede dudar de la profesionalidad de nuestra policía!, aseguran."[ADAMSELENE]

¿Quién lo asegura?

Inventarse a alguien que dice lo que nosotros queremos que diga es feo.

Después más, a lo mejor.


Tranquilos. No pasa nada. Esa es la información que hay. Que se les escapó que los muertos modificaron los archivos después de ser suicidados, no problem, buscamos más archivos, o más ordenadores, o más lo que sea.

No passssa nadaaaaaa.

Sabiendo que el cerebro de los atentados era El Egipcio, más conocido como EL Superegipcio 86 fiufiubenditoseaienelnombredeyavejarnopidor con su súper secador asesino de masas y su máquina para cambiar las huellas dactilares a voluntad. Todo lo demás son eso... pequeños detalles...

Lo mismo nos sorprende con un aspirador capaz de transformar la Goma 2 ECO en Titadyne, o con un cortasetos que hace aparecer mochilas en Vallecas fiu fiu benditoseai.

Lo último es el cepillo de dientes eléctrico que inhibe el olfato de los perros detectores de explosivos.

Todo es posible.

fiu fiu benditoseai... y andando.

Aquí podeis ver a los peritos explicándonos los siguientes planes del malvado Superegipcio 86. Sus exaustivas investigaciones no dejan lugar a la duda.

Una vez más la teoría de la conspiración totalmente aniquilada.

http://www.youtube.com/watch?v=8gWmTCY-zAU


Que pillada mas buena; al final somos los frikis los que solventamos la realidad, a pesar del desprecio de la gentuza en genral


Adam Selene, lo tuyo es cojonudo:

Empiezas con:

"La fecha de [b]algunos[/b] archivos del ordenador encontrado entre los escombros de Leganés es posterior a la fecha en que Jamal Ahmidan y sus compinches se suicidaron."

Y terminas con:

"Un CD con ficheros supuestamente descargados de Internet es, sencillamente, inaceptable como prueba. Y presentar unos ficheros con la fecha modificada es equivalente a encontrar las huellas dactilares del policía en el arma del crimen."

Aquí la prueba es el contenido de los ficheros. No su fecha. Aparte que parece que obvias todo el proceso para recuperar los ficheros(en el que pudo perderse información).

Admites que es muy dificil recuperar información en esas condiciones y después pegas un salto sorprendiendote por un fallo en la fecha en algunos ficheros(no dices cuantos, ni son muchos o pocos, ni tampoco porque el resto de ficheros de repente dejan de tener validez), a mi personalmente me parece un razonamiento poco consistente.


"Un fichero, en Windows, tiene asociadas tres fechas: la de creación, la de la última modificación y la del último acceso. Si han recuperado un fichero del disco duro, han tenido la ocasión de averiguar esta información. Es más. Se guardan más datos, por ejemplo información acerca del "propietario" del fichero, es decir, del usuario que lo guardó por primera vez. Se guarda información de los permisos asociados a distintos grupos de usuarios. "

¿Sabe usted el sistema operativo del ordenador?
Se lo digo porque si estamos hablando de un windows 95/98 , ya puede ir olvidandose de propietarios ,accesos, permisos y demás .


Otra cuestión, yo no veo que aclares en ninguna parte de donde han salido esos archivos con mala fecha, ¿del portatil del Chino, de los sticks usb?.


No veo dónde está lo raro. Es probable que el disco duro de donde se recuperaron los archivos estuviera dañado, y que algunos ficheros se pudieran recuperar directamente (filesystem copy) mientras que otros hubiera que recuperarlos bit a bit (surface scan + bitstream copy).

Los primeros conservarían todos los metadatos originales, incluyendo fecha de creación, modificación, etc, mientras que los segundos serían archivos nuevos con fecha de creación lógicamente posterior al 3 de Abril.

En cuanto al hecho de que los ficheros se pasaran a CD, dudo mucho que ello plantee algún problema procesal. No veo cómo iban a analizar los agentes los archivos directamente en el disco duro original si éste estaba dañado. La prueba no es el CD, sino el análisis pericial más (supongo) los soportes originales.

Es como si se toma una muestra de sangre de una moqueta, se guarda en un frasco, se lleva a analizar y el abogado defensor protesta porque la sangre analizada era de un frasco, no de la moqueta. En fin.


Admites que es muy dificil recuperar información en esas condiciones y después pegas un salto sorprendiendote por un fallo en la fecha en algunos ficheros(no dices cuantos, ni son muchos o pocos, ni tampoco porque el resto de ficheros de repente dejan de tener validez), a mi personalmente me parece un razonamiento poco consistente.

Castigador, ese es el problema.

Por un fallo en la fecha de algunos ficheros la prueba apesta, mayormente porque los muertos no usan ordenadores, pero bueno un fallito…

Por un fallo en el olfato de los perros no detectaron los explosivos.

Por un fallo en la detección de un bulto de quince kilos no encontraron la mochila de Vallecas hasta la comisaría.

Por un fallo en los análisis resulta que la Goma 2 ECO tiene los componentes del Titadyne.

Por un fallo en los testigos Zougham estaba en tres trenes distintos a la vez.

Por un fallo en el tiroteo de Leganés no había casquillos ni manaba sangre de los restos de los suicidados.

Etc, etc, etc, etc, etc, periodo...

Y así hasta el infinito.

Ya basta de pequeños fallos para grandes chapuzas.

NO CUELA.


Exactamente, Ikke. De la misma forma que ayer, en el juicio, los mismos peritos dijeron que no manipularon los documentos originales sino fotocopias, ya que los originales estaban muy dañados.

En todo caso, Adam, si la policía está "ocultando" información estamos ante un delito gravísimo. ¿A qué esperas para ir a denunciarlo ante las autoridades competentes? Mira que si no lo haces eres reo de encubrimiento...


Por cierto, los peritos citados, como insistió en todo momento Bermúdez ante la insistencia de algunos letrados, son los responsables de ANALIZAR la información que les dan otros colegas. No tienen ninguna responsabilidad sobre la integridad de dichas pruebas.

Si tal integridad estuviera realmente en entredicho, la ley marca lo que hay que hacer: se cita a los que recuperaron la información del disco (es muy probable que ya estén citados) y se les pregunta por qué razón aparecen esas fechas posteriores. Y se espera a ver qué contestan antes de saltar a conclusiones.


Wnit: es que no tiene por qué tratarse de un "fallo" en la fecha de creación de los archivos. Hay información que se recupera "en bruto", sin metadatos -a veces, sin el nombre del archivo siquiera-, ¿qué fecha de creación le vas a asignar?

De la lista que das, algunos son, efectivamente, fallos -el olfato de los perros no es infalible, por ejemplo-, y otros fruto de tu imaginación -los análisis, los testimonios sobre Zougam, los casquillos, la sangre, etc., etc., etc.-.

Y el "fallo" en la fecha de creación de los archivos tiene todos los visos de tratarse, efectivamente, no de un "fallo", sino de un dato más sin relevancia alguna.

Saludos.


Por eso algunos estamos algunos tan tranquilos. Estos inútiles no sabrán encender los ordenadores si nos matan. Y ahora ¿quien se va con un abogado a impugnar el juicio si "eso" se acepta como prueba?. ¿Tal vez debería hacerlo el PP si escuchara a sus bases y si nos hicieran caso?. Que pasan de nosotros y algunos ya nos estamos cansando de que encima de que los defendemos tengamos que aguantar ver como meten a progres en los puestos claves. Los mismos progres que hacen campaña contra ellos.


Wnit, a ver si puedes explicar esto que dices "Por un fallo en los análisis resulta que la Goma 2 ECO tiene los componentes del Titadyne." porque no queda nada claro. Dicho así lo único que parece es que no te has enterado de nada. Sácame de este error.


Hartosdezporky (por favor, no huya),

Si quiere le acompaño a poner la denuncia. Eso sí, la pone con su nombre ¿Por qué espera que algún partido político haga algo? Hágalo usted mismo! Los Peones Negros son el movimiento Cívico y Ciudadano más importante de la Historia de España (y si me apura, de la Historia de la Humanidad) seguro que el juez les hará caso! ¿Por qué no han presentado ellos la denuncia? La VO ha sido demolida en multitud de ocasiones y el prevaricador Bermúdez en vez de anular el juicio y dejar en libertad a los falsamente imputados continúa el mismo MALDITO! Vamos 'hartosdezporky' DENUNCIE!


Bla, bla, bla...

Si la película ya nos la sabemos. La Teoría de la Casualidad. Toooodo es casualidad, puede ser, es posible... Lo dicho, si al final Roca tiene razón y le tocó la lotería ocho veces en seis meses, los perros fallan de dos en dos y las balas de un tiroteo entran todas por el mismo agujero.

Que aparece DNT y Nitroglicerina... Goma 2 ECO...claro...!!! No me toque los poros Tuppence.

Y si no... El Superegipcio 86, el CEREBRO de los atentados nos presentará lo último en gadgets para héroes calamitosos. Olvídense del zapatófono y el chorro de tinta por el tubo de escape.

El que quiera denunciar que lo haga, mentiras en el juicio ya van unas cuantas. Eso sí que luego se atenga a las consecuencias, que lo mismo está desayunando con su madre y le ven en cinco trenes a la vez. Ah, pero puede ser… casualidades…

Consejo, busquen otro cerebro de la trama, este no cuela. Tenían que haberlo mirado un poco más. En la banca saben de estas cosas. Las culpas al último que se murió. Era la idea de Leganés. Busquen por ahí, lo mismo encuentran un ADN huérfano que se le pueda atribuir a un morito borracho y putero, eso sí, integristiiiiiiiisimo.

Por cierto, los peritos citados, como insistió en todo momento Bermúdez ante la insistencia de algunos letrados, son los responsables de ANALIZAR la información que les dan otros colegas. No tienen ninguna responsabilidad sobre la integridad de dichas pruebas. (Clouseau)

La idea es buena unos responsabilizan a los peritos y los peritos trabajan con la información de estos. La casa sin barrer. Medalla. Pensión. Y como dice Rugal el que venga detrás que arree.

Lo de meter las cosas con calzador aquí ya está superado, aquí se meten con secador.


Jaaaajaaajaaaa... Una vez más Adam vuelve a dejar a los defensores de la VO en evidencia. Si es que no hay nada como estar informado y tener profundos conocimientos informáticos, como acaba de mostrar. ¡Es la hora de la VERDAD, temblad, discípulos de Lareán!.

Adam, lo que dices es IRREFUTABLE, así que ahora mismo deberíamos ir a DENUNCIARLO, es lo que nos corresponde como ciudadanos conocedores de nuestro DEBER y de lo que nos obliga la Ley. Es la Hora de los CIUDADANOS.

Saludos,

Usi.

PS: ¿has visto mi mensaje -del 8 de mayo a las 8:37- en este hilo tuyo?:

http://adamselene.redliberal.com/El%20taller%20evanescente.html#comments

Lo digo porque ahora que nos ha fallado Luis, puedes ser la nueva guía de un MOVIMIENTO CÍVICO CIUDADANO, una nueva REVOLUCIÓN que conduzca a nuestra Pervertida Sociedad hacia un mundo donde los valores de la Razón, la Perseverancia, la Fe y la Virtud iluminen a nuestros hijos y puedan así construir un mundo mejor.

Gracias por todo. Siempre gracias, siempre.


"Lo de meter las cosas con calzador aquí ya está superado, aquí se meten con secador."

Genial, Wnit, ahí les has dado!! Jajajajaja...

Saludos,

Usi.


Señor Wnit, ¿quien ha hablado de casualidades?. Algunos comentaristas han dado datos técnicos acerca de lo de los registros informáticos. Diga en que se equivocan en vez de hacerse la víctima hablando de Teorias de las casualidades(cosa absurda por otra parte, porque una cosa es un error, algo normal en cualquier proceso en el que intervenga el ser humano, o un detalle en el que sólo se fijaría un paranoico, y otras cosas distintas las casualidades que en lo de los registros informaticos nadie hablo de ello. Ni en el caso de la dinamita, sobre la cual se dice, y es cierto, que habia dinamica con y sin nitroglicerina en manos de Trashorras, señor que presuntamnete vendió la dinamita a los terroristas.


Wnit:

A ver si podemos ceñirnos al tema del hilo. No sé por qué, en todos los hilos anteriores, quienes sostienen la misma postura que Adam Selene y son incapaces de argumentar en favor de la misma se dedican a sacar todo el rato temas que no están relacionados.

Ya hay varios hilos sobre explosivos. Éste es sobre los registros informáticos.

¿Tienes algo que objetar a las explicaciones que hemos dado varios comentaristas al asunto de la fecha? ¿No? Bueno, pues no pasa nada, vámonos al hilo correspondiente a hablar de explosivos, si quieres.

Saludos.


Pues va a ser que no.

No todos los archivos borrados son recuperables y depende de muchas variables poder recuperar todo lo que hay en un disco duro o cualquier soporte de almacenamiento de datos. Si los archivos se han "machacado" muchas veces es casi imposible y si a eso le añades que hayan sufrido un deterioro físico, entonces puede resultar imposible.

Pero es que además, aunque se recuperen muchas veces tampoco se pueden recuperar los metadatos.

Y es muy posible que el programa que han usado los peritos no ha podido recuperar metadatos de algunos archivos borrados. Sin ir más lejos, en el mismo sumario aparece que el ordenador del Chino había pertenecido probablemente antes a un coreano y los archivos borrados del coreano que recuperaron tienen fecha del 07/05/2004, que debe de ser la fecha en la que se recuperaron.


Los Cds, junto con los informes, son perfectamente válidos como prueba del contenido que había en los diferentes discos duros u memorias USB. Y eso de que las pruebas que se han aportado no tienen los datos que comentas sólo demuestra un profundo desconocimiento del sumario. Hay una cantidad de datos abrumadora. De la página 403 a la 513.

Claro que lo del coreano también puede ser porque los malos malísimos de los peritos ocultaban la implicación en el 11-M del régimen de Kim-Jong ...

País, que diría Forges.


Página 433 del sumario

8.- ESTRUCTURA DEL DIRECTORIO RECUPERADOS.- (1a PARTE)

8.1.- Estructura del subdirectorio doc-
Dentro de la carpeta 1 existen un total de 369 objetos, ficheros con la extensión doc, siendo estos los siguientes: {consta en los 369 documentos la fecha
07/05/2004, y las horas entre las 13:06 y las 13:20). (...)
De los ficheros anteriormente mencionados, y sobre los que se ha podido acceder a su contenido debemos destacar los siguiente datos de interés:
Se tratan de documentos relativos a la compañía Vodafone, entre los que se incluyen varios documentos (informes), agenda de reuniones o encuentros de personal de dicha compañía, propuestas etc. Junto a ello existen vahos documentos escritos en lengua coreana, muy posiblemente pertenecientes al propietario anterior de dicho portátil (probablemente un individuo coreano), antes de que su usuario fuese JAMAL AHMIDAN.



Adam: "Pues resulta que hay un "pequeño" problema. La fecha de algunos archivos del ordenador encontrado entre los escombros de Leganés es posterior a la fecha en que Jamal Ahmidan y sus compinches se suicidaron."

No entiendo muy bien lo que quieres decir, o más bien lo que no entiendes o pretendes demostrar acerca de la respuesta de la perito. A ver si me lo aclaras.
¿El pequeño problema es que los documentos del ordenador son falsos y por tanto alguien los ha fabricado? Pero vamos a ver ¿A quién se le ocurre que un conspirador va a "fabricar" adrede documentos de lo que sea y a la vez no les pone la fecha correcta, sino una posterior que apunta claramente a la "fabricación" y por tanto a él mismo? Un poco de seriedad, por favor. ¿O es que el pequeño problema es otro que se me escapa?


Veo que no os habeis tomado la molestia de seguir el enlace que he puesto. Tal vez porque está en inglés. Hay traductores automátios que no lo hacen del todo mal, pero para evitaros incluso eso, traduzco:

"El primer paso en el examen forense del disco duro de un ordenador es casi siempre la creación de una copia, o imagen, "a nivel de bit", que incluye cada bit de información del disco sin importar si es parte o no de un sistema de ficheros existente. La creación de esta imagen sirve para proporcionar una plataforma que puede ser sometida a análisis profundos sin miedo de alterar la evidencia original."

Por eso no es de recibo entregar simplemente un CD con ficheros "copiados y arrastrados" con el ratón, como haría cualquier usuario de a pie si le dijeran "copia toda la información que hay en este ordenador". Un profesional sabe que hay mucha información en sitios que un usuario ni siquiera puede ver.


Tuppence, el problema, como en otros casos, es que como mínimo es una chapuza. Si un fichero aparece con la fecha cambiada, es porque el "perito" se la ha cambiado. Pero la fecha es un atributo del fichero, como el nombre o su contenido. Es decir, el "perito", al analizar la prueba, la ha alterado. De tal manera, que ya no podemos saber en qué momento se creó.

Y aquí no sucede como en el caso de un análisis químico, que a veces tienes que provocar reacciones que modifican el objeto a analizar. Aquí un profesional competente, utilizando la técnica que describo en el comentario anterior (y que conoce cualquiera que tenga unos conocimientos técnicos mínimos) podría haber preservado la fecha original de creación del fichero.


Adam: yo sí he seguido el enlace, interesante, por cierto.

El problema es que una copia bit a bit no permite consultar los archivos borrados o dañados, puesto que en el soporte original tampoco se pueden consultar.

Es lógico pensar -aunque desconozco el método utilizado por la Policía Científica- que una vez obtenida esa copia de seguridad bit a bit, lo que se hizo fue utilizar un programa para recuperar esos archivos -como existen muchos, yo mismo programé uno para NTFS no hace tanto-. Y la única manera de "recuperarlos" es volviéndolos a crear con la información que se haya podido salvar. Si no se ha podido obtener la fecha original del archivo, habrá que asignarle alguna, lo normal es que sea la actual, ¿no crees?

Saludos.


Con respecto a eso de "recuperar el nombre de fichero pero no la fecha". No es imposible, pero sí extremadamente improbable.

Veréis, los metadatos como el nombre del fichero, la fecha de modificación, o el propietario, no se guardan en el propio fichero. En el caso de NTFS (el sistema de ficheros de Windows NT, 2000, XP y Vista) se guarda en unas estructuras llamadas árboles, que están todas juntitas. Si el árbol está incompleto porque el disco duro se ha dañado, sería extraordinariamente raro que se hubiera conseguido mantener intacta la información suficiente como para recomponer la estructura de ficheros, y sus nombres, pero no sus fechas. Algo así como lanzar un dardo a mil dianas y que en todas se clave exactamente en el mismo punto.


Adam, yo no he leído el enlace, básicamente porque si es muy técnico no voy a entender nada y si no lo es supongo que será tan generalista que tampoco servirá para mucho más que para generalidades. el gran problema es que aparentemente tú no lees a tus comentaristas. A estos yo sí los he leído, lo suficiente como para saber que no todo sale siempre igual de bien que cómo explica ese articulito tan bueno del google. Nada nuevo bajo el sol.


Adam:

No es nada improbable que se encuentre el archivo y no la fecha, aunque se trate de NTFS. Si ejecutaras ahora mismo uno de los programas a los que me refiero, encontrarías en tu ordenador infinidad de archivos sin fecha ni nombre ni nada -a no ser que lo formatees todos los días, cosa que dudo-.

Las estructuras de las que hablas (MFT records), con los metadatos, se almacenan en un lugar del disco, y los datos del archivo en otro -en varios, de hecho-.

Pero es más, la información de los metadatos también puede corromperse parcialmente -puede conservarse el nombre y perderse la fecha perfectamente, a mí me ha ocurrido con muchos archivos- incluso en discos en buen estado, y estamos hablando de discos dañados.

Saludos.


"Tuppence, el problema, como en otros casos, es que como mínimo es una chapuza. Si un fichero aparece con la fecha cambiada, es porque el "perito" se la ha cambiado. Pero la fecha es un atributo del fichero, como el nombre o su contenido. Es decir, el "perito", al analizar la prueba, la ha alterado. De tal manera, que ya no podemos saber en qué momento se creó."

¿Pruebas de que es una chapuza?. Te he leido hablar de condiciones teóricas, pero no las condiciones reales de la obtención de datos. Por ahí hablas de arboles, etc, etc. Y obvias la propio estructura de los archivos, etc, etc. Además, obvias el hecho de que son solo ALGUNOS archivos, NO TODOS LOS ARCHIVOS. Y hablas de chapuza, ¿por?. Si es un atributo del fichero, puede ser perfectamente posible que haya sido afectado por un sector del disco en mal estado. Simple y llanamente. Además, hablas de NTFS pero no sabes si fue NTFS o FAT32 o EXT3 o REISERFS, si nos ponemos técnicos. Hablas a ciegas.


Con respecto a cómo se que Jamal Ahmidan no usaba Windows 95/98. No lo sé. Incluso eso es un problema, porque es un dato muy relevante a la hora de saber qué información puedo tener sobre el uso del ordenador.

En Leganés se encontraron dos portátiles (un Compaq y un DELL) y un ordenador de sobremesa (que si no estoy equivocado es del que se ha conseguido recuperar información). Apareció también un trocito de plástico con la inscripción Windows XP, pero vamos a suponer que no tiene nada que ver con el PC en cuestión.

Buscando en Google, leo que en Abril de 2004 el sistema operativo de los que buscaban en Google era en un 70% Windows NT, 200 o XP, y en un 22% 98/95, Por tanto, y a falta de otros datos, es probable que Ahmidan y compañía usaran un ordenador con NTFS, que guarda la información completa de ficheros y usuarios.

Si no tenemos esta información, y nadie dice que se debe a que el ordenador usaba Windows 95/98, sólo puede deberse a que los peritos no han hecho bien su trabajo.


Tuppence, haces mal en fiarte más de mis comentaristas que de la persona que ha escrito el artículo. El que ha escrito el artículo sabe de lo que habla. Castigador y Mangeclous no.

Ejemplo. Dice Castigador:

"Además, hablas de NTFS pero no sabes si fue NTFS o FAT32 o EXT3 o REISERFS, si nos ponemos técnicos. Hablas a ciegas."

En el comentario anterior he explicado por qué es más probable que fuera NTFS y no FAT. Pero Castigador acaba de buscar en Google esto de los sistemas de ficheros, y no sabe que ext3 y ReiserFS son sistemas de ficheros que usa Linux (y otros UNIX, si os ponéis puristas). Ciertamente, no sé si Ahmidan era usuario de Linux, pero apostaría algo a que no.


Adam Selene: quien dice que no se obtuvo esa información eres tú, porque sólo algunos de los ficheros no tenían la fecha original. Y, como te he explicado, no sólo no es extraño que se recuperaran archivos sin fecha, sino que es lo normal y aún lo esperable.

Saludos.


"En el comentario anterior he explicado por qué es más probable que fuera NTFS y no FAT. Pero Castigador acaba de buscar en Google esto de los sistemas de ficheros, y no sabe que ext3 y ReiserFS son sistemas de ficheros que usa Linux (y otros UNIX, si os ponéis puristas). Ciertamente, no sé si Ahmidan era usuario de Linux, pero apostaría algo a que no."

Bien Adam, veo que sigues con tu costumbre de hablar sin saber y prejuzgar.

Siento decirtelo, soy administrador de sistemas Unix, se perfectamente que es un sistema de ficheros EXT3, y REISERFS, jounaling y demás, y no soy espexto en NTFS, pero después de leer el articulo de security focus no se si el que tiene idea de lo que dice eres tu. El articulo que has puesto es para el analisis de la máquina, pero no habla de recuperación de datos, y si es posible recuperalos o no. Es un articulo a nivel muy genérico que sólo habla de digest md5, 4 herramientas para mirar el disco y la papelera de reciclaje, y pretendes con ese articulo decir que no se puede perde. Aparte que existen herramientas para reparar un sistema de ficheros dañado, en cualquier distro linux estandar(desmontando la partición antes claro, o te pasará como a mi). Claro está, los problemas que tienen los linux(no existe desfragmentación), no es el de windows, pero por esa desfragmentación, se puede haber perdido los atributos d eun fichero, y recuperar solo parte de ALGUNOS ficheros.

Ahora dinos, ¿como has pasado del ALGUNOS sin saber de donde proceden esos ALGUNOS y calificar de chapuza cuando no tienes conocimientos suficientes de que se ha hecho?.


Yo como si leo chino, vamos que no entiendo nada, Adam, así que no te esfuerces mucho conmigo en ese sentido. Me costó dos días cambiar las DNS de mi ordenador y eso que tenía instrucciones bien precisas. Alguno de por aquí te lo puede confirmar. Así pues, haré el resumen para legos (me voy a especializar, se me da bien).

¿Qué es más probable?

a) que a veces no se pueda recuperar la información completa
b) que varios peritos "machaquen" datos por incompetencia
c) que exista una conspiración mundial en la que varios peritos falsifican documentos de ordenador y se olvidan de falsificar la fecha.

A esta opción c) hay que añadir los peritos que falsifican informes de explosivos, los peritos que falsifican skodas, los peritos que falsifican kangoos, mochilas de vallecas, etc, etc, etc ya que estas conspiraciones vienen en lote.

Tú aparentemente asumes la opción b) y aseguras para argumentarla que siempre, siempre, es posible recuperar toda la información. Aunque no dices ninguna de las dos cosas abiertamente, lo que para los poco versados en este tema, como yo, sería muy de agradecer.

Pues eso. Ahí queda. Dedicado a todos los que de informática ni fú ni fá. A veces no hace falta meterse en muchos tecnicismos.


Aclaro, la fragmentación es muy pequeña, en ext3.

Una cosa, ¿por que los moritos no pueden usar linux?.


Castigador, como experto informático administrador de sistemas UNIX. ¿Cual crees tú que es el sistema de ficheros más probable en el ordenador de Ahmidan?


Por cierto, ayer no pude ver nada de la comparecencia de los peritos. ¿Alguien es tan amable de transcribir o enlazar el momento en que se produce esta declaración que menciona Adam? Es por no hablar por hablar completamente. Gracias.


"Castigador, como experto informático administrador de sistemas UNIX. ¿Cual crees tú que es el sistema de ficheros más probable en el ordenador de Ahmidan?"

Siento decirtelo, no suelo hacer cábalas sobre cosas que no se. Lo que si se es que quien acusa tiene la carga de la prueba. Y ni siquiera a partir de NTFS tu razonamiento es sólido. Y si me disculpas respondeme a la siguiente pregunta como experto de sistemas de ficheros NTFS: si sólo algunos archivos van con la fecha en el futuro, ¿puede o no puede ser posible que sus atributos no lograsen recuperarse?.

Sinó es posible recuperar archivos dañados sin la fecha, espero que me pongas algun documento.


Tuppence, yo no he dicho que siempre se puede recuperar toda la información. En el porta´til que la policía cogió en la casa de Ahmidan, sí que se puede. En un disco recuperado de la explosión de Leganés, lo que me extraña es que se pueda recuperar algo. Pero supongamos que el disco está dañado en parte.

Voy a intentar explicarlo de la manera más sencilla que pueda:

Los metadatos son atributos del fichero como su nombre, su tamaño, el propietario del fichero, fechas de creación o acceso... distintos sistemas de ficheros guardan distintos metadaatos.

FAT, el sistema de ficheros de Windows 95/98 (y MS/DOS, y el de las memorias USB) no guarda más información que el nombre, el tamaño, la fecha de creación y la fecha del último acceso.

NTFS guarda además datos sobre su propietario, fecha de modificación, listas de control de acceso y otros datos. Si queréis hacer una prueba, y usais XP, selecciona una carpeta con ficheros, pulsad el botón derecho, seleccionad "Ver->detalles" y en la etiqueta donde pone "Nombre", por ejemplo, volved a pulsar el botón derecho. Aparecerá una lista con un montón de metadatos que pueden tener asociados los ficheros.

Estos metadatos se guardan en sitios distintos al propio fichero. Es decir, en función de dónde se haya dañado el disco, es posible que tengamos todo o parte del contenido del fichero, pero no sus metadatos. O es posible que tengamos unos metadatos, pero se haya perdido el contenido del fichero.

Insisto, para analizar la información del disco, por mucho que se empeñe Castigador, lo primero que hay que hacer es tener una copia fiel del disco a analizar, de manera que no se destruya ni un solo bit de la prueba original.

Si partimos de esta copia, encontraremos tres tipos de ficheros:

1. ficheros completos, con todos sus metadatos: su fecha de creación, su fecha de modificación y su fecha de último acceso, tal cual estaban antes de nuestra intervención. En el caso de Leganés, no pueden tener fechas posteriores a la explosión.

2. Ficheros completos, que se pueden recuperar con técnicas de recuperación del disco, pero que han perdido sus metadatos. En este caso, no tenemos fechas, y no tiene sentido ponerles fechas posteriores. El informe debería reflejar esta realidad, e incorporar una lista de ficheros sin atributos, pero nunca asignarles una fecha posterior.

3. Fragmentos de ficheros de los que peude extraerse información útil. Es muy posible que si el disco está dañado, lo único que podamos recuperar de un fichero sea uno o más fragmentos de la información. Aquí no es que no sepamos la fecha, sino que ni siquiera sabemos el nombre del fichero (el tipo lo podemos deducir por el contenido). En el informe debería aparecer una relación de estos fragmentos de información. Por supuesto, sin fecha asociada, porque no podemos conocerla.

Por eso, es mosqueante encontrarse con que lo que se obtiene del ordenador siniestrado es un CD con ficheros. Todos completitos, con su nombre y su extensión. Y algunos con una fecha posterior a la explosión, lo que, descartados los viajes en el tiempo, solo puede explicarse por la intervención de los "expertos informáticos" de la policía.

¿Que por qué sólo algunos tienen fecha posterior? Y yo qué se. Tal vez había dos expertos, uno torpe y otro meticuloso. O había un experto que llegaba dormido por las mañanas y cometía errores. Yo no estaba allí. Lo que sí se es que es un error innegable.



Una cosa... ¿en Diciembre de 2003 de qué capacidad máxima eran las memorias USB?


¿pero estamos hablando de un informe pericial sobre recuperación de datos o sobre su análisis? Ya digo que ayer no vi nada, tenía entendido que era lo segundo.


"Insisto, para analizar la información del disco, por mucho que se empeñe Castigador, lo primero que hay que hacer es tener una copia fiel del disco a analizar, de manera que no se destruya ni un solo bit de la prueba original."

Bien, espero que me señales ahora mismo donde he dicho yo tal cosa. Y también, una copia fiel de un disco DAÑADO, TIENE DATOS DAÑADOS. Así que hay bits o bytes DESTRUIDOS, estarán igual en la COPIA.

Tio, que manera de enredar las cosas:

"2. Ficheros completos, que se pueden recuperar con técnicas de recuperación del disco, pero que han perdido sus metadatos. En este caso, no tenemos fechas, y no tiene sentido ponerles fechas posteriores. El informe debería reflejar esta realidad, e incorporar una lista de ficheros sin atributos, pero nunca asignarles una fecha posterior."

Bien, ¿nos podrías poner el informe y si están o no consignadas las fechas?.

Y machote, te contradices:

"NTFS guarda además datos sobre su propietario, fecha de modificación, listas de control de acceso y otros datos."

Lo único que tu has puesto es que los datos tienen fechas DISTINTAS, y el SISTEMA MISMO CREA LAS FECHAS para esos archivos según tu definición. No serían archivos válidos sin determinados campos a la hora de copiarlos, PUNTO, y entonces no se podrían copiar ni en un CD ni en ninguna parte, ¿y como se los presentas a alguien, por ciencia infusa, telepatía?.


Otra cosa, por lo que he entendido, hablas de que se les ha consignado una fecha posterior, ¿en donde aparte de en el soporte del CD?(que tiene que estar por cojones).


Otra opción.
Que el ordenador no sea de quien nos han dicho y lo han colado de matute para hacernos creer que los fiambres visitaban ciertas páginas que parece que ahora es delito.

Por que nos tenemos que poner siempre en el caso más favorable para la Teoría de la Casualidad y encima siempre hay que cogerlo todo con alfileres y justificando en casualidades??

Cuadra mucho más lo opuesto a la Teoría de la Casualidad y además es mucho más probable.


Castigador: "Lo único que tu has puesto es que los datos tienen fechas DISTINTAS, y el SISTEMA MISMO CREA LAS FECHAS para esos archivos según tu definición. No serían archivos válidos sin determinados campos a la hora de copiarlos, PUNTO, y entonces no se podrían copiar ni en un CD ni en ninguna parte, ¿y como se los presentas a alguien, por ciencia infusa, telepatía?."

Eso mismo quería decir yo :D

Si lo de ayer era una pericial sobre el análisis de la información y no sobre la información en sí (si estaba muy dañada, si estaba entera, cómo se recuperó) entonces ¿qué tiene de raro que en el soporte que le pasas a los expertos se genere un dato sobre la fecha en la que creas ese soporte?


Si partimos de esta copia, encontraremos tres tipos de ficheros:

"2. Ficheros completos, que se pueden recuperar con técnicas de recuperación del disco, pero que han perdido sus metadatos. En este caso, no tenemos fechas, y no tiene sentido ponerles fechas posteriores. El informe debería reflejar esta realidad, e incorporar una lista de ficheros sin atributos, pero nunca asignarles una fecha posterior."

Cuando se utilizan programas de recuperación de archivos de este tipo, lo que se hace es convertirlos de nuevo en archivos accesibles y, para ello, se les asigna un nombre -FICHERORECUPERADO000001.txt, por ejemplo-. El sistema operativo asigna la fecha actual a los ficheros creados.

Por cierto, el nombre del fichero forma parte de los metadatos.

Para poder acceder al contenido de esos ficheros -vídeos, sonido, documentos de Word- es necesario convertirlos en ficheros normales que los programas puedan reconocer. Por eso en el CD están todos completitos. No hay error ni incompetencia en esto.

Saludos.


Wnit, perdona pero tu opción d está incluída en mi opción c) que exista una conspiración que se dedica a fabricar documentos informáticos falsos blablabla. Tú sólo apuntas un método de fabricación, aunque seguiría siendo una estupidez incluir archivos con fechas cantosas.

Así que a Wnit le apuntamos la c.


"Para poder acceder al contenido de esos ficheros -vídeos, sonido, documentos de Word- es necesario convertirlos en ficheros normales que los programas puedan reconocer. Por eso en el CD están todos completitos. No hay error ni incompetencia en esto."

Coño, Mangeclous, menos mal que tu te explicas mejor, jejejje.


También sería una estupidez atribuirle la autoría de los atentados a un menda que dice que puede cargarse a medio país con un secador y en esas estamos.


Wnit, ¿que quieres decir, que un terrorista no puede decir soplapolleces?. ¿Están exentos de ello por alguna ley natural?.


Matizo.

Un soplapollas no es un buen terrorista.

Lo del 11 M está bien hecho.

Le cuelas los ordenadores a los peritos y que se busquen la vida para justificar los... detalles.

No saben pero actúan para la causa.


Hombre, es que ese menda dijo que él era el autor intelectual de los atentados, mayormente. Lo del secador, vete tú a saber si no se estaba refiriendo a esparcir cepas de antrax (por poner un suponer) en una peluquería. Desde luego sería bastante peligroso y se podría hacer con un secador. Y además es bien facilito.


Ves?

Lo dicho.

Y nos lo tenemos que creer.

Anda ya!!

Go to Parla.


Os dejo el enlace a un comentario de 'jopi' en el foro de Desiertos Lejanos. Este usuario tiene dos mensajes que creo resultarán interesantes a cualquiera que, como yo, sea lego en estas materias.

http://foro.desiertoslejanos.com/viewtopic.php?pid=19835#p19835


"Matizo.

Un soplapollas no es un buen terrorista."

O sea, todos los terroristas son inteligentes. Algo absurdo. ¿Los terroristas suicidas palestinos tienen que ser inteligentes?. Va a ser que no.

"Lo del 11 M está bien hecho"

¿?, ¿está mal hecho por tener que poner fechas en archivos de un cd?.

"Mientras

Le cuelas los ordenadores a los peritos y que se busquen la vida para justificar los... detalles."

Detalles que pasarían desapercibidos en cualquier otra causa sin tantos intereses políticos.

"No saben pero actúan para la causa"

¿?.¿Que causa?, ¿la de Polanco?...


Ah, no, no te lo creas. Es cierto, es mucho más dificil creer que un maestro en cierto modo iletrado habla con su aún más iletrado discípulo simplificando ciertos datos para que no se le pierda (¿ántrax? ¿inhalación? maestro ¿no era nosequé del paraíso y las vírgenes?) y para no perderse él con las campanas que ha oído, y de paso hacerse el listo que para eso es el maestro, que pensar en una conspiración mundial de peritos que cuelan documentos informáticos en discos duros hechos polvo y no son capaces de ponerles la fecha correcta. Sí, es obvio.


No le des tantas vueltas. El imbecil que se inmola lo mismo no es muy espabilado. El que lo monta puede ser muchas cosas pero tonto de baba como el del secador no. Y hablamos de algo infinitamente menos complejo que el 11M.

Que no. Que todo no es casualidad.

Más bien casi nada.


"Y hablamos de algo infinitamente menos complejo que el 11M"

¿Donde está la complejidad del 11-M?. Además, de forma totalmente gratuita asignas al Egipcio el haber llevado toda la operación.


¿Pero quién habla de casualidad? Que no hombre, que no, que en este caso la culpa la tiene Bill Gates, que es un capullo que te obliga a poner fechas falsas en los archivos para poderselos pasar a los expertos. Lo metemos en el ajo y punto. ¿O es que lo que fastidia es que una panda de moros subdesarrollados nos hayan matado a 200? Pues déjame decirte que eso es poner a los socialistas con un nivel de CI similar al de los auténticos españoles de bien, o incluso superior, al menos superior al de Acebes. Tal vez esta opción tampoco te guste. Y no me has explicado lo de la goma2 eco esa con componentes de titadyne.


Además no sé porque clasificas al Egipcio de "tonto de baba". Todo el mundo sabe que un buen comunicador se adapta al nivel del que le está escuchando. Claro, el que escucha raramente suele darse cuenta de que el comunicador puede tener capacidad para adaptarse a un auditorio de mayor nivel. Tal vez ese sea tu problema...


Tranquilo.

Lo de la Goma 2 es casualidad. En realidad no tiene nitroglicerina, pero por puro azar pillaron un cartucho de Mina Conchita que estaba al lado de otro explosivo que sí la tenía, que por casualidad llevaba años en el polvorín compartiendo espacio con el material en uso. Por casualidad, después de la explosión, analizaron el resto del trozo de ese cartucho que justamente contactó con el polvo de esxtintor.
Como casualmente no han hecho unos análisis cristalinos para dejar claro que explotó, casualmente tiraron la acetona de los primeros lavados y casualmente no hicieron informe por escrito de los primeros análisis, pues aquí estamos discutiendo del tema. O algo parecido. Se lo dejo a su imaginación retorcida.

Tonterías. Hacemos análisis con restos sin lavar y solucionado.

Pero, oh casualidad. No hay más restos sin lavar y los trenes están desguazados.

Cuando haya casualidad denle la vuelta.

Es todo más natural.



Wnit, les estás dejando sin argumentos, pero verás que te dicen cualquier cosa. Son capaces de soltarte que lo de tirar la acetona no es casualidad, o que hay fotos de Goma 2 EC e informes de ECO contaminada procedentes de esa mina, verás. Como si les conociera, son capaces de lo que sea con tal de tragarse su versión de los hechos.

Adam, la enorme diferencia entre lo que dices tú y lo que te están espetan los hijos de Lareán es que se nota que tú sabes del tema y no especulas en ningún momento. ¿Cuándo vamos a denunciar?

Saludos,

Usi.


Uys, Wnit. Lo siento. Salta a la vista que en química eres un auditorio de nivel bajito-bajito. No pasa nada, yo a los químicos con los que me he topado he tenido que decirles literalmente "bacterias que comen piedra" porque si hablas de litótrofos no se enteran. Por eso sólo pillas las consignas que tu nivel puede descodificar.

Pero no te confundas, por ejemplo eso que dices de que se lavaron los restos con agua y acetona por casualidad no es cierto. O sea, que no fue por casualidad, fue porque se hace así, aunque a tí se te escapen los motivos.

Lo mismo con los análisis cristalinos, ¿a tí no te lo parecen? Lástima. A mi sí. Exactamente igual de cristalino que le ha parecido al Tribunal Supremo el que se desguazaran los trenes.

Ya ves, ejemplos como éstos los que quieras, como hablar con Tuppence de NFTS de esos, no sirve para nada, hay que adaptarse.

En cuanto a la goma2ECO con nitroglicerina. Pues vete tú a saber. A lo mejor hubiera sido más casualidad que una pandilla de moros analfabetos, con un par de linternas y en medio de la noche (creo que además hacía mal tiempo) hubieran tenido la potra de coger los mejores cartuchos de Mina Conchita y no dar con ninguna bolsa chunga. Sobre todo después de ver aquellas bonitas fotos de la Guardia Civil. Lo mismo es que te crees que aquello era como el súper, con todas las señoras manoseando los tomates a ver si están duritos y mirando bien las fechas de caducidad del filete de pollo. No sé. Esto ya depende de lo que uno entienda por casual.


¿Lo ves, Wnit? Afirmaciones imposibles de demostrar (de dónde sacarán eso de que hay fotos o informes con análisis de de Mina Conchita, si ni D. Luis lo nombra), así hacen siempre, y no con argumentos.

Recuerda: Prudencia, Tesón y Razón.

Saludos,

Usi.


Usi, prffffff :P


Adam, es mucho más sencillo que todo lo que planteas.

Los archivos que tienen fecha posterior es porque se las asigna el propio programa de recuperación. Lo de la fecha posterior en el informe es irrelevante, aunque puede dar lugar a inventarse una trama o desprestigiar a los peritos como intentas hacer. Pero si sigues el juicio y vas al sumario te hubiese ahorrado escribir sobre el tema y quedar en evidencia.

Lo que pregunta el abogado griego en el juicio, que se confiesa neófito en el tema, es por una memoria USB encontrada en Leganés que tiene archivos con fecha 23/04/2004. Le contesta un perito "que podría tratarse de la fecha en la que se recuperaron los 158 ficheros". En el sumario está el informe de esa memoria USB de la que hablan y sólo hay un archivo que destaca el sumario. Copio y pego tal y como viene (con (...) incluido), pag. 452:

E).1.a).l.- ESTRUCTURA DE LA USB BEST_BUY64M.
Los archivos contenidos en la misma datan de finales diciembre de 2003. Se han realizado numerosas consultas a Internet, detectándose varios accesos a foros
en árabe de contenido jihadista.
Los archivos en lengua árabe continúan siendo objeto de traducción y estudio. Dicha USB cuenta con un total de 158 objetos, siendo estos los siguientes: (...)

■ Fichero de Video Windows Media Audio denominado "chazirlikl .wmv".
Se trata de un vídeo de contenido jihadista procedente de una web turca, en el que aparece, en primer lugar, un discurso de Osama BIN LADEN y,
posteriormente, detallan las actividades de un campo de entrenamiento de
mujahidines de la Red Al Qaeda.


O sea, un fichero de los que hay cientos en el sumario, sobre temas yihadhistas.

Pero es que además, la perito aclara después cómo hicieron el volcado, no ellos, otros peritos informáticos, y que el hecho de que en esa USB hay archivos con fechas posteriores es porque se trata de archivos borrados. A mí me ha tocado recuperar varias veces tarjetas CF, que para el caso es lo mismo, y pasa tal cual, el programa y he usado uno montón de ellos, te asigna la fecha de recuperación.

Ya ves tú. Si te hubieses tomado la molestia ....



Si esto es muy simple, un fichero no se puede utilizar contra nadie, cuando la fecha de creación es posterior a la muerte del don nadie, por pura lógica.


Atroma: en el caso de esos archivos borrados o perdidos, se trata de la fecha de recuperación de la información. No tiene nada que ver con que puedan ser usados o no contra alguien, pero sí, es muy simple.

Saludos.


Estoy tan seguro de que es simple, que hasta se cierto que usted no lo admitiría como prueba inculpatoria, en una hipotética acusación contra usted.

No venga con la fecha de recuperación, que a efectos legales, no se puede diferenciar entre recuperación o creación.


Atroma:

En una hipotética acusación contra mí, lo que yo admitiera o dejara de admitir como prueba contra mí es completamente irrelevante, pues no soy yo quien tiene la potestad de valorar esa prueba, sino un tribunal. Aunque yo me pusiera en huelga de hambre, por ejemplo, eso no cambiaría la valoración que el tribunal haría de esa prueba.

¿Qué es eso de que "a efectos legales" no se puede diferenciar entre recuperación o creación? Los archivos provienen del ordenador de El Chino, y eso es incontestable mientras no se demuestre lo contrario -las FyCSE tienen presunción de veracidad-.

Por lo demás, te recomiendo que releas lo instructivos comentarios de Horacio sobre este tema.

Saludos.


Señor mangeclous, es irrelevante porque es hipotético, no porque usted no pueda decidir sobre su inculpación, de hecho puede, si usted decide autoinculparse. Mientras que en su defensa, nadie puede presentar el arma del crimen con las huellas de otro, y no me venga con otras consideraciones, que solo es eventual.

No me cabe la menor duda, que las FyCSE han hecho su trabajo debidamente, no lo cuestiono. Digo que no sirve como prueba de nada, ya que nadie puede decir lo contrario a la fecha de la “creación”. Es decir, es un fichero manipulado, o bien para restablecerlo, o bien de base, pero en cualquier caso, manipulado, y eso es exclusivamente lo que dice la fecha de creación.


Atroma:

Pero es que la fecha de creación de esos archivos sin metadatos no es tomada en consideración, obviamente. Lo indiscutible es que esos archivos estaban en el ordenador, y la información que contienen es la que contenía el ordenador, y se puede comprobar copiando de nuevo el disco duro, si fuera necesario.

Saludos.


Iginacio, Cazuza, DyK VOLVED! SUPLÍCOOSLO!

QUEREMOS SEGUIR SABIENDO CONOCER ESPERAR ENCONTRAR LA VERDAD


atroma, creo que haría usted bien en leerse los post en el foro de desiertos lejanos que le enlazaron antes. Me parece que los que hacen "informática forense" saben muy bien como soslayar esos pequeños impedimentos que usted teme.
Si es que os preocupais por ná, debe ser horrible vivir con tal angustia.

Un saludo


¡Gracias por tus cumplidos, Mangeclous! ;-)

Atroma:

Claro que sirven de prueba, son ficheros recuperados delante de una autoridad judicial. Y como le dice Mangeclous, en caso de duda, se puede comprobar volviendo al soporte original.


Tuppence,

"prffffff :P"

Si pretende desconcertarme con sus latinajos, lo tiene claro. La gente sencilla no necesita de sus complejos razonamientos para ver que están todos ustedes mintiendo. Adam ahora mismo desmontará los argumentos de Horacio y todos los demás, como hace siempre, y les pondrá en evidencia.

Saludos,

Usi.


Se me olvidaba: Amor, Justicia, Pasión y Nación.

Saludos,

Usi.


Usi, se ha dejado usted unas cuantas en el tintero.

Fuerza, Destreza, Inteligencia, Intuición, Resistencia, Carisma, Percepción, Puntos de vida, Maná, Abundancia, Frecuencia, Apariencia, Sigilo, resistencia a las borracheras +3, +5 en detectar venenos, +1 en descativar trampas, Ver en la oscuridad, Mascota, Hípica, un juego de ganzúas, Liderazgo y Champú anticaspa para Elfos.


Usi: tururú, que es cristiano. :D

Joer, Lior, tú oyes latinajo de refilón y te falta tiempo...Hay que fastidiars. XDDD


Ustedes riánse, pero cuando Adam muestre las mentiras y falacias de sus comentarios, a ver si tienen el valor de volver por aquí.

Tenacidad, Firmeza, Constancia, Tesón, Fuerza, Perseverancia, Paciencia, Empeño, Persistencia, Intuición, Percepción, Visión, Conocimiento, Clarividencia, Discernimiento, Perspicacia, Penetración, Sagacidad, Sutileza, Astucia, Finura, Lucidez, Viveza, Inteligencia, Juicio, Cordura, Sensatez, Reflexión, Madurez, Seso, Cálculo, Meditación, Instropección, Cavilación, Valentía, Valor, Arrojo, Bravura, Intrepidez, Esfuerzo, Bizarría, Temeridad, Brio, Energía, Arresto, Arrojo, Ardor, Voluntad, Carácter, Osadía...

Saludos,

Usi.


(Me lo voy a aprender en orden alfabético, acabo de decidirlo)

Saludos,

Usi.


Ahora mismo Adam os rebate todas las mentiras. Ahora mismo, veréis.

Saludos,

Usi.


Ya falta menos, ya...

Saludos,

Usi.


Ya falta menos, ya...

Saludos,

Usi.


Ya mismo está aquí.

Saludos,

Usi.


Usi ¿de verdad cree usted que tengo que rebatir algo? ¿Por ejemplo, a quien dice, "son las fechas de recuperación", que aparecen en el CD pero no en el informe?

Ustedes serían capaces de negar que el sol calienta, si un perito así lo hubiera escrito en un informe.

Yo les explico por qué un volcado de ficheros a un CD, en el que se cambian algunas fechas es (en el mejor de los casos) una chapuza, y ustedes, en lugar de reconocer que los peritos podían haber sido más finos, se dedican a escribir memeces.

Insisto ¿cree usted que merecen respuesta?


"se dedican a escribir memeces"

Dices bien, Adam, como cuando sagazmente descubriste que el tal Castigador buscaba en Internet (eso que dice él de que sabe del tema no nos lo creemos, ¿verdad?, hiciste bien en no responderle a lo último que te escribió), o el tal Horacio, que se nota que de esto sabe menos que tú.

Y es que después de leer posts tan inteligentes como el tuyo sobre los explosivos y la ciencia, ¿para qué perder el tiempo con gente que no sabe pensar?

Saludos,

Usi.


En el juicio se habla de las fechas posteriores de algunos archivos que están en una memoria USB. Hay 3 posibles opciones (quizás haya más, pero no se me ocurren):

1. No se ha podido recuperar la fecha de creación y/o la fecha de modificación del archivo porque eran archivos borrados. Al ser una USB el sistema es FAT por defecto (NTFS no tiene sentido ya que da problemas). La fecha consignada en el informe es la fecha de recuperación de esos archivos

2. La memoria USB la conectaron en alguna ocasión a un ordenador con la fecha del sistema operativo cambiada

3. La fecha ha sido modificada por los peritos por oscuras razones

La lógica me hace pensar en la opción 1. Los peritos, al no tener la fecha de creación del archivo, han puesto en el informe la fecha que normalmente asignan los programas de recuperación de datos. Podían no haber puesto nada, pero la duda sería parecida: ¿Por qué unos archivos tienen fechas y otros no? Quizás deberían de haberlo aclarado en el informe, pero de ahí a pensar que son unos chapuzas es una nimiedad en comparación con otras chapuzas policiales y políticas

La opción 2 es posible pero poco probable

La opción 3 podría tener algún sentido si los archivos de fecha posterior fueran trascendentales para el desarrollo del juicio, pero son sólo unos archivos más, de los que hay cientos de ellos, sobre páginas web yihadhistas que visitaban.

El "pecado" de los peritos es poner la fecha y no explicarlo en el informe ¿Habría que condenarles a la hoguera? Ahí dejo la cuestión.


No entiendo porque unos terroristas cuya intencion no fue la de inmolarse en el atentado (y deduzco que tampoco querian ser pillados) no prendieron fuego a los portatiles y a toda prueba que los pudieran implicar en el atentado.

Una celula terrorista, miembro de una red que llevan años matando y conociendo los metodos periciales, dejando pistas que hasta un niño de 6 años podria relacionar con el terrorismo islamico, si hubieran sido las FARC cafe se habria de encontrar.

Ya le preguntaron a los culpables si fue todo en venganza por lo de Irak?, solo eso faltaria.


Hoplita,

mejor del atentado fallido en las líneas del AVE nos olvidamos, ¿no?

Y también nos olvidamos de que, efectivamente, 7 persnas se suicidaron en un piso de Leganés.

Y también nos olvidamos que esas personas tenían pensado seguir matando según documentación recuperada y los documentos de reivindicación.

Ah! D
esmemoria, querida amiga!


Hombre, Usi, por fin un comentario con el que estoy de acuerdo. Sí, se nota que Horacio sabe menos que yo. Y en cuanto al argumento de autoridad de Castigador "soy administrador de sistemas UNIX", pues qué quieres que te diga. Es como si yo digo que tenéis que creer cualquier información que os de sobre el Alzheimer porque soy neurocirujano.

Yo no he usado el argumento de autoridad, sino que he puesto un enlace donde cualquiera puede informarse. Y si quieres saber mis cualificaciones en tecnologías de la información, no tienes más que preguntarle a Google.


Hola, Adam:

Me gustaría saber si estás de acuerdo en que el asunto de la fecha no tiene por qué deberse a incompetencia o irregularidad alguna, sino a una consecuencia lógica del proceso de recuperación de archivos.

Saludos.


Muy bien, Adam, es estupendo: "se nota" que Horacio sabe menos que tú. No tenemos por qué dar explicaciones a quienes escriben memeces, ¿verdad? "Se nota", jajaja, muy bueno...

Sobre Castigador, me refería a cuando sagazmente descubriste que no sabía esas cosas, sino que las había buscado en el Google. Pero está bien que insistas en ello, que quede claro que le desenmascaraste.

Por lo demás, ¿para qué responder a las memeces que te han puesto? Con tu post sobre las ropas en la furgoneta mostraste lo que significa la palabra "sensatez".

Saludos,

Usi.


Mangeclous, por enésima vez: no.

¿Que un programa de recuperación de archivos borrados le pone al archivo la fecha en que ha sido recuperado? Sí.

¿Debían los "expertos peritos" haber usado ese programa? No. Podían haber usado uno que recuperase también las fechas originales, por ejemplo, este:
http://www.pcworld.com/downloads/file/fid,23069-order,1-page,1-c,utilities/description.html

Ya que no fueron capaces de conservar la fecha original, ¿debían haber puesto la nueva fecha en el informe? No. Podían abstenerse de poner fecha, o podían haber incluido una nota advirtiendo del problema. Pero no asignar a ningún archivo un dato que no correspondiera a su exacta situación cuando el ordenador fue encontrado.



Bueno, pues ya hemos expuesto todos nuestros argumentos y, nuevamente, somos incapaces de llegar a ninguna parte. No obstante, no deja de ser entretenido, Adam, gracias por el debate.

Saludos.



Simplemente para no perder la perspectiva.

únicamente se han señalado la existencia de archivos no claramente identificados con fechas posteriores al 3 de Abril de 2.004 en la memoria USB Best_buy64M. La señalada memoria contiene 158 archivos... de entre varias decenas de miles de archivos recuperados en otros soportes informáticos. La USB tampoco tiene archivos de contenido relevante y el Ministrio Fiscal en su escrito de acusación se limita a señalar que existe, sin mencionar nada de su contenido en apoyo del relato de la acusación. En el auto se menciona únicamente uno de los archivos.

En caso de haberse producido un error en el volcado de esta memoria -cosa que ninguno sabremos hasta que declaren los peritos de grupo de Periciales Informáticas-, únicamente afectaría a su contenido, a esos 158 archivos. No son "archivos del ordenador encontrado entre los escombros de Leganés", y su recuperación y volcado se realizó de forma independiente; todos los archivos del ordenador de Leganés seguirán siendo pruebas válidas a todos los efectos sea cual sea la suerte procesal que corran estos 158. Espero que esto tranquilice a quienes han podido pensar que un error de los peritos podía haber puesto en cuestión la validez de toda la prueba informática. No es así, ninguno de los archivos significativos se vería afectado por la irregularidad -en caso de existir- ¿No es tranquilizador? Bueno, extrañamente para algunos quizá no lo sea.



No me lo creo, Isócrates. Si Adam ha dedicado todo un post a este tema, quiere decir que tiene que ser mucho más lo manipulado (¿me dice en serio que es menos de un 0,3% del total a lo que se refiere este post?) y que debe ser relevante para el juicio.

Ya de hecho, cuando Adam dice eso de que "[..] queda claro que los terroristas usaban Internet, y que de ahí tenían toda la información necesaria para organizar los atentados. ¿No? Pues resulta que hay un "pequeño" problema.[...]" nos está indicando que todo pierde credibilidad a raiz de esos archivos, así que esto debe ser muy gordo. Un post completo se hace para esas cosas importantes, ¿no? Y si no responde a las memeces de los demás, tiene que ser porque está muy seguro de ello.

Saludos,

Usi.


Adam,

Todos los programas que he usado para recuperar datos, creo que habré usado unos 10 programas, entre ellos el que comentas, recuperan la fecha original. Repito, todos. Cuando no he conseguido recuperar datos es porque eran archivos borrados, incompletos o corruptos. Algunos programas consiguen recuperar más archivos borrados que otros, unos mantienen el nombre original del archivo, otros lo cambian ....

Deducir que, porque hay unas fechas posteriores en algunos archivos de una memoria USB, los peritos son unos incompetentes u ocultan información es presuponer demasiado. Y más si no conoces la instrucción, ni quién y ni cómo se recuperaron los datos.

Cuando uno descalifica y no rebate los argumentos suele ser síntoma de no estar muy seguro como dice Usi.


¿Alguien sabe si en el piso de leganés tenían estos tipos conexión a internet? Y en caso de que sí la tuvieran, de qué tipo? ¿Algún perito mencionó algún detalle sobre estudios periciales de las veces que se conectaron desde leganés? ¿O es que lo llevaban todo hecho de casa? Y, ¿de qué casa?

¿Alguien ha mirado en el domicilio de Jamal Ahmidán si tenía conexión allí? ¿Y en Morata de Tajuña?

Es que creo que nadie lo ha dicho. Al menos, no me suena.

No sé , debe de ser tan obvio. Será por eso.


Palíndroma: Conectarse a internet no es tan díficil, hay locutorios, cybercafes, casas de amigos, etc...

No recuerdo ninguna mención en el auto a una conexión a internet en el piso de Martin Gaite. Que se puede mirar, si recuerdo que tenian un ordenador con material informático y demás efectos. En fin, quien quiera que lo mire... da igual.

Efectivamente la instrucción es intachable.


Es más tratandose de la guarida de los lobos, donde se reunian para preparar atentados y demás fanatismos adyacentes. Está claro por simple lógica que no tenian telecomunicaciones exceptuando las tarjetas que les habían sobrado y utilizaron intercambiandolas en el único móvil que tenian ese aciago día. Además no iban muy sobrados de presupuesto, eso sí ganas muchas.


http://foro.desiertoslejanos.com/viewtopic.php?id=750

Política, ciencia, tecnología, la vida, el universo y todo lo demás.