Problema legal: Demostrar borrado

engel lex · 6 Febrero 2020, 21:28 PM

Cita de: @?0!,5^34 en 6 Febrero 2020, 21:25 PM
Existe la posibilidad de recuperarlos con la última fecha de modificación pero debe ser realizado por alguien cualificado. Si lo haces tú no tienen ninguna validez legal, debe hacerlo un perito informático forense.

Deberías enviarle los 2 discos, el que formateaste incluido porque puede que tengas algunas carpetas tipo windows.old con logs del sistema.

el tune up que el indica tiene una aplicacion de undeleter, debería ser imposible recuperarlos especialmente en hdd de las ultimas generaciones y absolutamiente imposible en cualquier ssd

Boogie · 7 Febrero 2020, 00:20 AM

Gracias a todos. En tal caso quedaré a expensas de lo que dicte el juez y cualquier prueba pericial que quieran hacer. De nuevo, gracias a todos por el interés.

@XSStringManolo · 7 Febrero 2020, 03:02 AM

Cita de: Boogie en 7 Febrero 2020, 00:20 AM
Gracias a todos. En tal caso quedaré a expensas de lo que dicte el juez y cualquier prueba pericial que quieran hacer. De nuevo, gracias a todos por el interés.

Si sabes que se filtraron y fue él, yo demostraría eso, no que yo los borré, porque te los pudieron robar de tu equipo antes de borrarlos, filtrarse por usar protocolos inseguros, pudiste enviarlos antes de borrarlos, pasarlos a un usb, imprimirlos, y escannearlos en otro equipo, o lo que sea.

Depende de como de importante sea el juicio y sobre todo, cuanto dinero se mueva será más o menos fácil demostrar ciertas cosas.

FJDA · 7 Febrero 2020, 09:51 AM

SIP con un Notario y un perito informático que corrobore y certifique legalmente que lo has hecho.

https://peritoinformaticocolegiado.es/blog/diferencia-entre-un-acta-notarial-de-presencia-y-un-peritaje-informatico/

engel lex · 7 Febrero 2020, 10:02 AM

Cita de: FJDA en 7 Febrero 2020, 09:51 AM
SIP con un Notario y un perito informático que corrobore y certifique legalmente que lo has hecho.

https://peritoinformaticocolegiado.es/blog/diferencia-entre-un-acta-notarial-de-presencia-y-un-peritaje-informatico/

XD a menos que puedas viajar atras en el tiempo no es posible... si el notario da fe que observó el archivo siendo borrado, quiere decir que no lo habias borrado... si el perito da fe que un archivo no existe en tu computadora desde hace X tiempo (especialmente borrado por un undeleter) quiere decir que miente (o no sabe lo que dice)

un notario no puede dar fe de presencia de algo que no sucedió en su presencia
un perito informatico no puede demostrar la inexistencia de un archivo

FJDA · 7 Febrero 2020, 12:43 PM

Cita de: engel lex en 7 Febrero 2020, 10:02 AM
XD a menos que puedas viajar atras en el tiempo no es posible...

Claro que sí, con las computadoras es posible viajar en el tiempo, guardan registro de todo lo que hacemos con ellas.

Serapis · 7 Febrero 2020, 18:41 PM

El caso es que sí eres tú el que acusa, debes ser tú quien demuestre fehacientemente que fue el acusado quien compartió el contenido, algo harto difícil... es decir aunque tu sospechas sean más que fundadas debes demostrarlo, pués al final es tu palabra contra la suya.

Tú dices que fue él (intencionadamente o no) y él dice que tú (intencionadamente o no). ¿Quién tiene razón, si ninguno tiene pruebas ni confiesa voluntariamente?. El juez desestimará tu acusación sin pruebas que refuten tu acusación.

No importa que tú hayas eliminado dichos ficheros, siempre se puede alegar que antes de eso, hiciste copia, y como puedes demostrar tú que eso no es cierto ???. Tampoco puedes demostrar (igual que él), que tuvieras una instrusión y antes de eliminarlo, ya lo hubieran copiado.

Mi consejo a futuro, es que hagas una última cosa:
- Cuando pases los ficheros a un cliente... en tu equipo que sean ABCDEF... cuando se transferan al cliente que sean ABCDE(cliente(F)), es decir al momento de pasárselo ejecutas un programa que modifique ciertos datos de dichos ficheros de modo que sean personalizados al cliente así ni siquiera dos o más clientes tendrían exactamente los mismos ficheros (los ficheros clave, se entiende), así tras una filtración podrías demostrar quien lo hizo toda vez que esa personalización sucede siempre en la parte del cliente y nunca en tu equipo, y es única y exclusiva de cada cliente... por supuesto hacer que esa personalización sea necesaria o si no, no funciona (no funciona si es un programa o descifrando los ficheros si no son aplicaciones).

engel lex · 7 Febrero 2020, 19:01 PM

Cita de: FJDA en 7 Febrero 2020, 12:43 PM
Claro que sí, con las computadoras es posible viajar en el tiempo, guardan registro de todo lo que hacemos con ellas.

esto es una total falsa creencia...

no las computadoras no guardan registro de todo lo que haces, ya que el registro crecería enormemente y muy rápido (mas aun si sería todo click y tecleo, sin contar acciones resultantes de ello, pero igual si no los incluye)

el log de windows basicamente nada mas incluye erroes y comportamientos extraños, es decir, solo incluye aquello necesario para que un tecnico pueda tener una idea del por que falló

no, no guarda log de lo que haces con los programas, eso sería un riesgo de privacidad
no, no guarda log de archivos creados, movidos entre carpetas, ni eliminados
no, no guarda log de acciones individuales

puedes ver el log abriendo inicio y escribiendo "visor de eventos", allí estará lo que almacena windows

por favor no digas cosas que desinformen a los usuarios o si me equivoco por favor provee los pasos para mostrar donde están almacenadas dichas cosas

@XSStringManolo · 7 Febrero 2020, 23:35 PM

Cita de: engel lex en 7 Febrero 2020, 19:01 PM
esto es una total falsa creencia...

no las computadoras no guardan registro de todo lo que haces, ya que el registro crecería enormemente y muy rápido (mas aun si sería todo click y tecleo, sin contar acciones resultantes de ello, pero igual si no los incluye)

el log de windows basicamente nada mas incluye erroes y comportamientos extraños, es decir, solo incluye aquello necesario para que un tecnico pueda tener una idea del por que falló

no, no guarda log de lo que haces con los programas, eso sería un riesgo de privacidad
no, no guarda log de archivos creados, movidos entre carpetas, ni eliminados
no, no guarda log de acciones individuales

puedes ver el log abriendo inicio y escribiendo "visor de eventos", allí estará lo que almacena windows

por favor no digas cosas que desinformen a los usuarios o si me equivoco por favor provee los pasos para mostrar donde están almacenadas dichas cosas

La gente hace auténticas burradas, en el buen sentido. El visor de eventos guarda info útil tipo redes wi-fi conectadas, pendrives, actualización de drivers, actualizaciones, reinicios... No solo errores.

FJDA · 8 Febrero 2020, 02:56 AM

Cita de: engel lex en 7 Febrero 2020, 19:01 PM
esto es una total falsa creencia...

no las computadoras no guardan registro de todo lo que haces, ya que el registro crecería enormemente y muy rápido (mas aun si sería todo click y tecleo, sin contar acciones resultantes de ello, pero igual si no los incluye)

el log de windows basicamente nada mas incluye erroes y comportamientos extraños, es decir, solo incluye aquello necesario para que un tecnico pueda tener una idea del por que falló

no, no guarda log de lo que haces con los programas, eso sería un riesgo de privacidad
no, no guarda log de archivos creados, movidos entre carpetas, ni eliminados
no, no guarda log de acciones individuales

puedes ver el log abriendo inicio y escribiendo "visor de eventos", allí estará lo que almacena windows

por favor no digas cosas que desinformen a los usuarios o si me equivoco por favor provee los pasos para mostrar donde están almacenadas dichas cosas

Aquí te dejo unos enlaces donde puedes encontrar dichas cosas. Te recomiendo que veas todas y cada una de ellas, especialmente la información que se puede conseguir claro que ya me dirás que ya las tenías.

https://www.nirsoft.net/computer_forensic_software.html

https://techtalk.gfi.com/top-20-free-digital-forensic-investigation-tools-for-sysadmins/

File Carving
https://www.incibe-cert.es/blog/file-carving

https://www.seguridadpublica.es/2010/12/informatica-forense-generalidades-aspectos-tecnicos-y-herramientas/

Citar2.3.3 Análisis de Discos
La clave de la computación forense es el análisis de discos duros, disco extraíbles, CDs, discos SCSI, y otros medios de almacenamiento. Este análisis no sólo busca archivos potencialmente incriminatorios, sino también otra información valiosa como passwords, logins y rastros de actividad en Internet. Existen muchas formas de buscar evidencia en un disco. Muchos criminales no tienen la más mínima idea de cómo funcionan los computadores, y por lo tanto no hacen un mayor esfuerzo para despistar a los investigadores, excepto por borrar archivos, que pueden ser recuperados fácilmente. Cuando los usuarios de DOS o Windows borran un archivo, los datos no son borrados en realidad, a menos que se utilice software especial para borrar.
Los investigadores forenses, utilizan herramientas especiales que buscan archivos "suprimidos" que no han sido borrados en realidad, estos archivos se convierten en evidencia. En las siguientes secciones, se explican algunas de las características poco conocidas del almacenamiento de la información en un computador, que son explotadas por los expertos en informática forense para recuperar datos que se creían eliminados.

Forense TOR en Windows

Cita de: https://www.informaticoforense.eu/forense-tor-en-windows/
Cómo saber si se ha instalado TOR en un equipo con Windows:
Continuando con el preámbulo a la forense a TOR, que titulamos "El Sr. Locard y La Red TOR", en el artículo de hoy intentaremos encontrar un patrón de búsqueda en diversas áreas del sistema operativo, que nos permita averiguar si un ordenador tiene o ha tenido en algún momento instalado el entorno de navegación Web "TorBrowser", que como todos sabemos está basado en el proyecto TOR, de navegación en modo anónimo.

Este último enlace muestra como averiguar si se ha instalado TOR en un sistema, o sea en el pasado. No es algo que esté en un archivo LOG.

Cita de: https://www.informaticoforense.eu/forense-tor-en-windows/
La primera coincidencia (término tor), la encontramos en el fichero "AgRobust.db". Estas coincidencias pueden verse en las capturas correspondientes a las imágenes que veis a continuación. En estas imágenes queda reflejado cómo se hace referencia al nombre del fichero de instalación del paquete TorBrowser.

Cita de: https://www.informaticoforense.eu/forense-tor-en-windows/
... Hemos dejado comprobado que a lo largo de esta forense, los rastros que deja TOR tras su instalación son abundantes, independientemente de si el usuario ha podido eliminar la carpeta en que fue instalado en su momento. Además, lo peligroso de modificar ciertos ficheros (como pagefile.sys, o ntuser.dat), hace especialmente difícil ocultar por completo los rastros de la instalación, amén de que es preciso eliminar todos los ficheros de la carpeta prefetch.

La informática forense está muy avanzada