Foro de elhacker.net

Hola a todos. Necesito vuestra ayuda para intentar demostrar esta situación.

Yo envié a un cliente unos archivos, generados exclusivamente para él. Una vez enviados, los eliminé de mi PC utilizando un sistema de de seguridad que tenía TuneUP.

Ahora esos archivos han sido distribuidos sin autorización.

Existe algún modo de demostrar que yo eliminé esos archivos (hace un año, tras enviárselos) y que los únicos archivos existentes son la versión que tiene el cliente?

En este tiempo mi PC ha sido formateado varias veces, pero los archivos los eliminé de una partición que no he formateado.

Gracias por la ayuda

Si esa partición no ha sido formateada y no se ha sobreescrito en los clusters que contenian esos archivos, cabe la posibilidad de recuperarlos con alguno de los programas que existen para tal efecto.

Esto a nivel "domestico", una empresa de recuperación de datos tiene herramientas más sofisticadas.



Aunque pudieras demostrar que borraste esos archivos, cosa dificil, podran alegar que los pudiste difundir antes de eliminarlos.
 Existe una duda razonable de que esto hubiera podido suceder.



Saludos.

Hola, de poder demostrar que borraste esos archivos es difícil, aunque igual es irrelevante ya que por más que comprueben que vos los borraste, pero podrías tener una o varias copias de esos archivos antes de borrarlos y las copias no se puede saber si X archivos han sido copiados.

De todas maneras aunque comprueben que has borrado esos archivo y comentado lo anterior, también cabe la posiblidad de que luego de borrarlos, los hayas recuperado con algún programa tipo Recuva:

Recuva es un programa de licencia gratuita, desarrollado por Piriform, para Microsoft Windows. Es capaz de restaurar archivos que han sido permanentemente borrados y que han sido marcados por el sistema operativo como espacio libre

Por otro lado... cabe también la posiblidad de que el mismo cliente lo haya distribuido por internet o que tu PC haya sido infectada por un virus y haya extraído esa información y vos ni siquiera saberlo.

Con esto quiero decir que aunque comprueben el borrado de esos archivos, pero hay varias más posibilidades por las que hoy en día están en internet y van a seguir estando porque cuando algo hacen publico, es imposible eliminarlo.

En casos como estos que son archivos que te pueden comprometer legalmente, debes usar un programa para destruirlos completamente, es decir que además de borrarlos, no se puedan recuperar.


Saludos

por otro lado recuerda que la evidencia de la prueba no recae en el culpado sino en el acusador... es decir, no hay forma de juzgarte si esos archivos no existen en tu pc, el acusador tiene que dar evidencia suficiente, comprobable y que fuera de duda demuestre que la fuente de la filtracion eres tu, es decir, un correo, una transferencia de archivo, una ip que corresponda en tiempo con la tuya, etc...

no importa el medio que fueran distribuidos, siempre y cuando no haya una evidencia solida que tus equipos personales no fueran el origen de los mismos

por cierto, fomal y legalmente la unica forma de demostrar que esos archivos fueron borrados de tu pc, es que no existen en tu pc

Manda ese cliente a freír monos por andar acusándote de algo que es culpa de el  mismo...

 :rolleyes: :o :rolleyes:

Debes aprender a formalizar cada cosa, primeramente... hay algún documento o contrato que diga explicitamente que tu tenías esos archivos? si no es así entonces nadie puede demostrar que tu tenías los archivos, por lo cual no pudiste haberlos distribuido, ais que legalmente no podrían acusarte, por otro lado, si hay un documento que dice que si tenías esos archivos entonces tenias que haber firmado un documento de tipo NDA donde tu te comprometes a la no divulgación de la información y listo, da lo mismo si habías borrado o no la información porque una cosa es que tengas los archivos y otra totalmente diferente es que tu los hayas divulgado.

Saludos.

Hola a todos. Gracias por las respuesta. El demandante soy yo, ya que el cliente no debería haber distribuido los archivos, eran para uso exclusivo y personal. Todo se formalizó mediante contrato y con factura.

No obstante, me quiero adelantar al momento de la posible defensa, o como ya han mencionado, duda razonable, ya que el propio cliente reconoció la brecha de su lado, no obstante, durante unos 10 minutos, cuando yo generé esos archivos para el cliente y se los envié, durante ese lapso de tiempo ambos tuvimos los archivos. Luego yo los eliminé con TuneUp. No obstante, quisiera poder demostrar de algún modo que esos archivos fueron eliminados.

Ya he elegido abogado pero hasta el lunes no tengo la cita. En ella preguntaré si yo, como acusador, tengo que demostrar que yo no fui fuente de filtración o si es el acusado el que debe demostrar que fui yo o que no fue él. Como he dicho, él ha reconocido por email una posible filtración, pero cuando se vea obligado a buscar un abogado puede que este le aconseje buscar la duda razonable argumentando que tal vez yo filtré los archivos.

Tenía la esperanza de que la papelera de windows, en algún lugar, conserve un historial de archivos eliminados, o algo así.

Gracias :)

La "paperera" de Windows no es más que una carpeta de tu Sistema Operativo y reside en tu maquina y es por asi decirlo un archivo temporal, mientras no lo vacies esta disponible la info, una vez vaciada yá no.


Saludos.

no, no hay registro e archivos eliminados, eso mismo ocuparía espacio (todo lo opuesto al causar una eliminacion), por otro lado todos los archivos de registros que tuvieras pueden haber sido falsificados, a menos que desde el momento clave y sin posible previa preparacion de parte tuya el equipo se haya asegurado para evitar alteraciones... (desde el punto de vista legal)


por otro lado tener prueba de que un archivo fue borrado es una "prueba diabólica", es decir, demostrar la inexistencia de un objeto que no se posee, cosa que es argumental y lógicamente imposible

Existe la posibilidad de recuperarlos con la última fecha de modificación pero debe ser realizado por alguien cualificado. Si lo haces tú no tienen ninguna validez legal, debe hacerlo un perito informático forense.

Deberías enviarle los 2 discos, el que formateaste incluido porque puede que tengas algunas carpetas tipo windows.old con logs del sistema.

el tune up que el indica tiene una aplicacion de undeleter, debería ser imposible recuperarlos especialmente en hdd de las ultimas generaciones y absolutamiente imposible en cualquier ssd

Gracias a todos. En tal caso quedaré a expensas de lo que dicte el juez y cualquier prueba pericial que quieran hacer. De nuevo, gracias a todos por el interés.

Si sabes que se filtraron y fue él, yo demostraría eso, no que yo los borré, porque te los pudieron robar de tu equipo antes de borrarlos, filtrarse por usar protocolos inseguros, pudiste enviarlos antes de borrarlos, pasarlos a un usb, imprimirlos, y escannearlos en otro equipo, o lo que sea.

Depende de como de importante sea el juicio y sobre todo, cuanto dinero se mueva será más o menos fácil demostrar ciertas cosas.

SIP con un Notario y un perito informático que corrobore y certifique legalmente que lo has hecho.

https://peritoinformaticocolegiado.es/blog/diferencia-entre-un-acta-notarial-de-presencia-y-un-peritaje-informatico/

XD a menos que puedas viajar atras en el tiempo no es posible... si el notario da fe que observó el archivo siendo borrado, quiere decir que no lo habias borrado... si el perito da fe que un archivo no existe en tu computadora desde hace X tiempo (especialmente borrado por un undeleter) quiere decir que miente (o no sabe lo que dice)

un notario no puede dar fe de presencia de algo que no sucedió en su presencia
un perito informatico no puede demostrar la inexistencia de un archivo

Claro que sí, con las computadoras es posible viajar en el tiempo, guardan registro de todo lo que hacemos con ellas.

El caso es que sí eres tú el que acusa, debes ser tú quien demuestre fehacientemente que fue el acusado quien compartió el contenido, algo harto difícil... es decir aunque tu sospechas sean más que fundadas debes demostrarlo, pués al final es tu palabra contra la suya.

Tú dices que fue él (intencionadamente o no) y él dice que tú (intencionadamente o no). ¿Quién tiene razón, si ninguno tiene pruebas ni confiesa voluntariamente?. El juez desestimará tu acusación sin pruebas que refuten tu acusación.

No importa que tú hayas eliminado dichos ficheros, siempre se puede alegar que antes de eso, hiciste copia, y como puedes demostrar tú que eso no es cierto ???. Tampoco puedes demostrar (igual que él), que tuvieras una instrusión y antes de eliminarlo, ya lo hubieran copiado.

Mi consejo a futuro, es que hagas una última cosa:
- Cuando pases los ficheros a un cliente... en tu equipo que sean ABCDEF... cuando se transferan al cliente que sean ABCDE(cliente(F)), es decir al momento de pasárselo ejecutas un programa que modifique ciertos datos de dichos ficheros de modo que sean personalizados al cliente así ni siquiera dos o más clientes tendrían exactamente los mismos ficheros (los ficheros clave, se entiende), así tras una filtración podrías demostrar quien lo hizo toda vez que esa personalización sucede siempre en la parte del cliente y nunca en tu equipo, y es única y exclusiva de cada cliente... por supuesto hacer que esa personalización sea necesaria o si no, no funciona (no funciona si es un programa o descifrando los ficheros si no son aplicaciones).

esto es una total falsa creencia...

no las computadoras no guardan registro de todo lo que haces, ya que el registro crecería enormemente y muy rápido (mas aun si sería todo click y tecleo, sin contar acciones resultantes de ello, pero igual si no los incluye) 

el log de windows basicamente nada mas incluye erroes y comportamientos extraños, es decir, solo incluye aquello necesario para que un tecnico pueda tener una idea del por que falló

no, no guarda log de lo que haces con los programas, eso sería un riesgo de privacidad
no, no guarda log de archivos creados, movidos entre carpetas, ni eliminados
no, no guarda log de acciones individuales

puedes ver el log abriendo inicio y escribiendo "visor de eventos", allí estará lo que almacena windows

por favor no digas cosas que desinformen a los usuarios o si me equivoco por favor provee los pasos para mostrar donde están almacenadas dichas cosas

La gente hace auténticas burradas, en el buen sentido. El visor de eventos guarda info útil tipo redes wi-fi conectadas, pendrives, actualización de drivers, actualizaciones, reinicios... No solo errores.

Aquí te dejo unos enlaces donde puedes encontrar dichas cosas. Te recomiendo que veas todas y cada una de ellas, especialmente la información que se puede conseguir claro que ya me dirás que ya las tenías.

https://www.nirsoft.net/computer_forensic_software.html (https://www.nirsoft.net/computer_forensic_software.html)

https://techtalk.gfi.com/top-20-free-digital-forensic-investigation-tools-for-sysadmins/ (https://techtalk.gfi.com/top-20-free-digital-forensic-investigation-tools-for-sysadmins/)

File Carving
https://www.incibe-cert.es/blog/file-carving (https://www.incibe-cert.es/blog/file-carving)


https://www.seguridadpublica.es/2010/12/informatica-forense-generalidades-aspectos-tecnicos-y-herramientas/ (https://www.seguridadpublica.es/2010/12/informatica-forense-generalidades-aspectos-tecnicos-y-herramientas/)


Forense TOR en Windows (https://www.informaticoforense.eu/forense-tor-en-windows/)
Este último enlace muestra como averiguar si se ha instalado TOR en un sistema, o sea en el pasado. No es algo que esté en un archivo LOG.

(https://www.informaticoforense.eu/wp-content/uploads/2016/10/TorEnAdRobust.Db_-300x135.png)


La informática forense está muy avanzada

en este caso por lo menos el usuario no indica una instalacion, tal actividad si quedará en el registro de windows y habrá unos cuantos indicios para rastrear, sobre los archivos recuperables, el usuario indica que usó el undeleter de tuneup, este programa como cualquiera equivalente, no solo eliminará el archivo de la tabla de archivo, sino que sobre escribirá los bytes donde se ubicaba el archivo para destruir las posibilidades de recuperacion de la informacion, sobre el resto (el archivo.db, pagefile.sys y ntuser.dat) te darán indicacion de instalacione y acciones importantes que pueden alterar el registro (y hasta cierto grado dumpeo de la ram, pero usualmente esto cambia con el uso inmediato) o secciones importantes, sin embargo, no sobre archivos, todo esto se sale totalmente del contexto descrito

un ejemplo simple... por ejemplo mi pc, windows 10, sin modificaciones y solo caon actualizaciones basicas, sin simpliezas extras mas alla de vaciar la papelera...

si se guardaran los registros de archivos borrados el log sería astronomico, he tenido que manejar millones de archivos (literalmente) porque los debo generar, procesar, comprimir y luego eliminar, estos archivos tienen nombre cerca de 35 caracteres de largo (10 digitos para fecha + 2 separadores, 6 digito para tiempo+1 separador, 8 cifras para el id del registro ) , si se almacenaran los nombres serían 35 bytes, por cada millon 35mb, al ser algo que hago un par de veces por semana hace mas de un año el orden estaría en los GB de discoduro solo en esos registros... y con un disco de 250GB inflaría archivos "fantasma" enormemente