Wikileaks y Cómputo Forense: La computadora de Manning

642
Compartir

\""

Como lo comenté en el podcast 041 de Crimen Digital, aquí está la nota completa sobre el análisis forense a las computadoras de Manning, quien se dice que filtró información a Assange para que fueran publicadas en Wikileaks.

En Diciembre 19 del 2011, se publicó la siguiente nota en WIRED, la cual traduzco íntegramente. Cabe mencionar que la autoría es de . La versión original en inglés se encuentra aquí: Jolt in WikiLeaks Case: Feds Found Manning-Assange Chat Logs on Laptop

Me llamó mucho la atención porque fue cubierto poco por los medios, pero que permite validar elementos probatorios del caso de la fuga de información por parte de Manning a Assange de Wikileaks.


Un experto en cómputo forense que examinó la computadora de la fuente de Wikileaks Bradley Manning, recuperó comunicaciones entre Manning y otro usuario identificado en dicha computadora como “Julian Assange”; el nombre del fundador del sitio de internet que ha publicado cientos de millones de cables diplomáticos de los Estados Unidos.

Investigadores también encontraron un número de teléfono de Assange en Islandia y un chat con un hacker localizado en los Estados Unidos, donde Manning comenta que él es responsable de la fuga del video “Collateral Murder” sobre el helicóptero Apache publicado por Wikileaks en el verano de 2010.

Hasta el lunes pasado, no se han encontrado reportes de que el gobierno tuviera evidencia vinculando a Manning con Assange más allá de un chat que entregó el hacker Adrian Lamo al FBI el año pasado. Assange es investigado por un jurado federal, pero no se le ha consignado por ningún delito debido a que la publicación de información clasificada no es normalmente considerada un delito en los Estados Unidos. Sin embargo, los fiscales pudieron mostrar que Assange mostró a Manning cómo fugar los documentos gubernamentales que después publicó, siendo así que pueda complicar la defensa de Assange de que Wikileaks es simplemente una tarea periodística.

La noticia de los logs de chat entre Manning y Assange llegaron en el cuarto día de la audiencia de Manning que se celebra para determinar si enfrentará una corte marcial en 22 de los cargos de violar las leyes militares por presuntamente abusar de su posición como analista de inteligencia en Irak con el fin de alimentar a un tesoro de documentos clasificados y sensibles a WikiLeaks.

Mark Johnson, un analista forense digital y contratista de  ManTech internacional que trabaja para la Unidad del Ejército en la Investigación de Delitos Informáticos; examinó una imagen de la MacBook Pro personal de Manning y dijo que encontró entre 14 y 15 páginas de chats en el espacio no asignado del disco duro donde se debate sobre información del gobierno entre Manning y una persona que se cree que es Assange, lo que hace específicamente referencia a el re-envío de información.

Mientras que los registros de la charla fueron cifrados, Johnson dijo que él fue capaz de recuperar la contraseña de inicio de sesión de la MacBook desde el disco duro y encontró que la misma contraseña “TWink1492!” también fue usada como la clave de cifrado.

El nombre de Assange se vincula a un usuario de chat “[email protected]” que figura en la lista de amigos de Manning en el programa de chat Adium en su computadora. Esa dirección de Jabber utiliza el mismo nombre de dominio que supuestamente es mencionado por Manning en los registros de chat que el ex-hacker Adrian Lamo entregó al FBI y a Wired.com el año pasado. En esa conversación de chat, Manning estaba haciendo referencia a un dominio que Assange tenía en uso.

En la lista de amigos de Manning también hubo un segundo usuario “[email protected]”, que tenía dos alias asociados a ella: Julian Assange y Frank Nathaniel. CCC.de en el dominio se refiere a la Chaos Computer Club, un club de hackers de Alemania que opera el servidor Jabber.

Cuando se le preguntó acerca de los dos alias, Johnson dijo que era extraño que un usuario pueda asignar dos nombres para una sola cuenta, lo que implica que algún subterfugio podría haber estado en juego.

Los registros del chat mencionan la petición de volver a enviar los datos no especificados, demostrando que las partes habían hablado antes, dijo Johnson, así como la discusión sobre el uso de SFTP para cargar los datos de forma segura a un servidor FTP.

Johnson declaró que también encontró los registros de SSH en el ordenador de Manning que mostraba una conexión SFTP desde una dirección de IP de Verizon Business, que se resolvió a casa de la tía de Manning en los EE.UU., a una dirección IP asociada a un ISP sueco llamado PRQ que se sabe que tienen vínculos con Wikileaks.

En otro chat charla con Eric Schmiedl, que parece ser un fotógrafo, lock picker y miembro de la escena hacker que vive en los EE.UU., Manning confiesa que se filtró el video de ataque Apache, que documentó la muerte de dos empleados de Reuters.

Manning: Are you familiar with WikiLeaks?
Schmiedl: Yeah, I am
Manning: I was the source of the 12 Jul 07 video from the Apache Weapons Team which killed two journalists and injured two kids

Johnson declaró que había encontrado dos intentos de eliminar los datos en la computadora portátil de Manning. En algún momento en enero de 2010, el sistema operativo de la computadora fue re-instalado, borrando información antes de ese tiempo. Luego, en o alrededor de 31 de enero, alguien intentó borrar el disco, haciendo lo que se llama un “zerofill” – un proceso de sobreescritura de datos con ceros. El que inició el proceso de elegir una opción para sobrescribir los datos 35 veces – una opción de alta seguridad que se traduce en la eliminación completa – pero la operación que fue cancelada. Más tarde, la operación se inició de nuevo, pero la persona que eligió la opción de sobrescribir la información sólo una vez – una opción mucho menos seguro y menos profundo.

Todos los datos que Johnson fue capaz de recuperar de espacio no asignado se produjo después de sobrescribirla, dijo.

Johnson dice que él también ha examinado un disco duro externo encontrado en la sala de literas de Manning en Irak, que contenía un archivo de texto llamado wl-PRESS.XML que fue creado el 30 de noviembre de 2009, justo en el momento de que Manning le dijo a Lamo que los primeros contactos con WikiLeaks.

El archivo incluye la línea: “Actualmente, puedes contactar con nuestro editor de investigaciones directamente en Islandia en el 354.862.3481: servicio 24 horas:. Preguntar por Julian Assange”

Durante el proceso con Johnson, el gobierno de abogado Joe Johnson Morrow se refiere a uno de los cargos en contra de Manning que se refiere a los “United States Forces -Iraq Microsoft Outlook / SharePoint Exchange Server global address list belonging to the United States government,”, que supuestamente Manning robó entre 11 hasta 27 may, 2010.

Morrow preguntó a Johnson si encontró alguna evidencia relacionada con la lista global de direcciones (GAL) y él respondió que los investigadores encontraron un archivo de texto en el espacio no asignado que contenía una instrucción de trabajo para obtener la lista global de direcciones para las fuerzas de EE.UU. en Irak. También descubrió miles de direcciones de correo electrónico de Exchange en el equipo. Se le preguntó si había alguna evidencia de que el GAL había sido liberado, Johnson respondió: “Yo no descubrí eso, no.”

Johnson no mencionó ninguna fecha en relación con las pruebas sobre GAL en la computadora de Manning, pero el 7 de mayo de 2010, WikiLeaks twiteó una petición para que la gente enviara direcciones de correo tipo .mil.

“Nos gustaría una lista de direcciones tipo .mil como sea posible. Por favor, póngase en contacto con [email protected] o envíenlos”, dice el Tweet.

También prestó declaración hoy el agente especial David Shaver, quien reveló que él examinó una tarjeta SD encontrada en la casa de la tía de Manning, donde Manning había vivido durante un tiempo, y se encontró un archivo zip encriptado en lo que contiene tres archivos que se pueden abrir, y las referencias a dos archivos que se han suprimido y ya no eran accesibles. Los dos archivos eliminados fueron nombrados “Nathan2_events.tar.br2” y “Nathan2_event”.

De los tres archivos que se pueden abrir, un archivo “Irq_events.csv” fue creado el 5 de enero de 2010 y contenía más de 400.000 informes de la acción de Irak, obtenidos de la Red de Intercambio de Información de datos combinados, o CIDNE. El otro archivo, “Afg_events.csv”, fue creado el 8 de enero de 2010 y contenía alrededor de 91.000 informes de la acción de Afganistán. El tercer archivo, un archivo readme.txt, que parecía ser un mensaje a alguien, al parecer a WikiLeaks.

Items of historical significance of two wars Iraq and Afghanistan Significant Activity, Sigacts, between 00001 January 2004 and 2359 31 Dec 2009 extracts from CSV documents from Department of Defense and CDNE database. These items have already been sanitized of any source identity information.

    You might need to sit on this information for 90 to 180 days to best send and distribute such a large amount of data to a large audience and protect the source.

    This is one of the most significant documents of our time removing the fog of war and revealing the true nature of 21st century asymmetric warfare.

    Have a good day.

Shaver, dijo que era capaz de abrir los archivos cifrados usando la misma contraseña que extrae de la MacBook.

“Tuviste mucha suerte no?”, preguntó el fiscal.

“Sí, señor”, respondió Shaver.

En el verano y el otoño de 2010 WikiLeaks y algunos de sus socios en los EE.UU. y Europa, publicaron lo que WikiLeaks conoce como el Diario de la guerra de Irak – un conjunto de más de 400.000 informes SIGACT de la guerra de Irak -, ​​así como el Diario de Guerra afgana, un tesoro de unas 91.000 Sigacts de la guerra de Afganistán.


Espero les haya gustado, porque tiene mucho de cómputo forense y cómo puede ser utilizado.

Tu opinión