Come posso dimostrare che due file sono gli stessi legalmente?


24

Abbiamo avuto qualcuno che rubava alcuni file prima di smettere e alla fine si è concluso in una causa. Ora mi è stato fornito un cd di file e devo "provare" che sono i nostri file abbinandoli ai nostri file dal nostro file server.

Non so se questo è solo per il nostro avvocato o prove per il tribunale o entrambi. Mi rendo anche conto di non essere un terzo imparziale.

Pensando a come "provare" che questi file provengono dai nostri server ci siamo resi conto che dovevo anche provare di avere i file prima di ricevere il cd. Il mio capo ha catturato schermate delle finestre dei nostri esploratori dei file in questione con le date di creazione e i nomi dei file mostrati e li ha inviati via email al nostro avvocato il giorno prima che avessimo ricevuto il cd. Mi sarebbe piaciuto fornire md5sums ma non ero coinvolto in quella parte del processo.

Il mio primo pensiero è stato quello di utilizzare il programma diff Unix e fornire l'output della shell della console. Ho anche pensato di poterlo abbinare alle somme md5 sia dei nostri file che dei loro file. Entrambi possono essere facilmente simulati.

Sono in perdita di ciò che dovrei effettivamente fornire e poi di nuovo in perdita su come fornire una traccia verificabile per riprodurre le mie scoperte, quindi se deve essere dimostrato da una terza parte può essere.

Qualcuno ha qualche esperienza con questo?

Fatti sul caso:

  1. I file provengono da un file server Windows 2003
  2. L'incidente è accaduto oltre un anno fa e i file non sono stati modificati da prima dell'incidente.

da quale sistema operativo provengono questi file?
Jim B,

Windows 2003 Server - Ho aggiornato il post
riconbot

3
Per provare di avere i file nel momento in cui sono stati presi, potresti prendere in considerazione l'invio di nastri di backup (o qualunque altro metodo tu usi) che contengano tali file.
John Gardeniers,

Risposte:


22

I problemi tecnici sono piuttosto semplici. L'uso di una combinazione di hash SHA e MD5 è piuttosto tipico nel settore forense.

Se stai parlando di file di testo che potrebbero essere stati modificati, ad esempio file di codice sorgente, ecc., Eseguire un qualche tipo di "diff" strutturato sarebbe piuttosto comune. Non posso citare casi, ma c'è sicuramente un precedente là fuori: il file "rubato" è un lavoro derivato dell '"originale".

Questioni catena di custodia sono un sacco di più di una preoccupazione per voi che dimostrare che i file corrispondano. Parlerei con il tuo avvocato di ciò che stanno cercando e prenderei in seria considerazione di metterti in contatto con un avvocato esperto in questo tipo di controversie o professioni forensi informatiche e ottenere i loro consigli sul modo migliore di procedere in modo che tu non " Ti faccio saltare la valigia.

Se hai effettivamente ricevuto una copia dei file, spero che tu abbia fatto un buon lavoro nel mantenere una catena di custodia. Se fossi l'avvocato avversario, direi che hai ricevuto il CD e l'hai usato come materiale di origine per produrre i file "originali" che sono stati "rubati". Avrei tenuto quel CD di file "copiati" molto, molto lontano dagli "originali" e avrei fatto eseguire a una parte indipendente "diff" dei file.


I checksum md5 (o meglio, SHA) verrebbero probabilmente considerati prove concrete (possibilità di una collisione sufficientemente piccola che se i checksum corrispondono sono una certezza virtuale i file sono identici).
voretaq7,

Se i checksum non corrispondono, diff (o bsdiff se stiamo parlando di binari) è il passo successivo. Se le modifiche sono banali (spazi bianchi, commenti, nomi di variabili), si potrebbe "ragionevolmente presumere" che il codice sia stato copiato e modificato per offuscare il furto.
voretaq7,

2
Essere in grado di dimostrare l'origine di entrambi i file confrontati è il problema chiave. - Bella risposta.
Pierre-Luc Simard,

2
Sono d'accordo con tutto ciò che Evan ha detto. Sembra che il tuo laywer sia caduto su questo fornendo una copia di tutto ciò che è stato presumibilmente preso. Devi anche essere in grado di provare ciò che era sul tuo server prima di ricevere i dati: raccomanderei a terzi di firmare e verificare.
MikeyB,

5

In genere il tuo avvocato dovrebbe già avere molto sotto controllo.

Per dimostrare che i file sono gli stessi, si dovrebbe usare md5. Ma anche di più, è necessario dimostrare la catena di custodia utilizzando tracce verificabili. Se qualcun altro ha avuto i file in custodia, allora sarà difficile provare in tribunale che le prove non sono state "piantate".

Esistono società di prove elettroniche e forensi che si occupano specificamente di questo problema. A seconda della gravità della vostra azienda in questo caso, è necessario assumere un avvocato che abbia conoscenze in questo settore e che possa farvi riferimento a un'azienda che può assistervi attraverso questo processo.


2

Una domanda importante è come si registra l'accesso ai file della propria azienda e come si gestisce il controllo della versione sui file della propria impresa.

Per quanto riguarda i file stessi, vuoi usare uno strumento come diff piuttosto che uno come md5 perché vuoi dimostrare che i file sono gli "stessi" tranne per il fatto che uno ha un avviso di copyright all'inizio e l'altro ha un diverso avviso di copyright all'inizio del file.

Idealmente, puoi dimostrare esattamente da dove provengono i file in questione, e quando sarebbero stati copiati dal tuo ambiente, chi avrebbe avuto accesso a quei file in quel momento e chi ne avrebbe fatto delle copie.


2

a) Sì, ho esperienza con questo.

b) Le risposte sopra sull'uso degli hash rispondono solo alla domanda che hai posto nel titolo di questo thread, non nel corpo. Per provare che li avevi prima di avere il CD-ROM, dovrai fornire i registri di quando sono stati toccati l'ultima volta, qualcosa che probabilmente non hai perché questo tipo di informazioni viene raramente conservato.

c) Detto questo, la tua azienda probabilmente mantiene i backup e quei backup hanno delle date su di essi, e quei backup possono avere file ripristinati selettivamente da loro per la corrispondenza. Se la tua azienda ha una politica di backup scritta e i backup che hai mantenuto corrispondono alla politica, questo renderà molto più facile convincere qualcuno che non hai falsificato i backup. Se non si dispone di una politica ma i backup sono chiaramente contrassegnati, ciò potrebbe essere sufficiente (anche se l'avvocato dell'altra parte lo metterà in discussione nel wazoo).

d) Se la tua azienda non ha conservato i backup e tutto ciò che hai sono le schermate descritte, dimenticalo. Farai molta fatica a convincere chiunque di avere il controllo dei tuoi dati abbastanza bene da "provare" che prima avevi quei file.


1

diff è ciò che userei, penso che tu sia sulla buona strada.


0

Stavo pensando a MD5sum e ho confrontato i checksum. Ma ogni piccola differenza potrebbe sconvolgere i checksum.

Dovresti anche avere dei backup su nastro o da qualche parte per provare di averli prima dell'ora XYZ, dal momento che chiunque potrebbe sostenere che hai salvato i file dal CD sul server (le date di creazione potrebbero essere modificate con una certa intelligenza delle impostazioni dell'orologio, le immagini possono essere photoshopped, ecc.)

Hai davvero bisogno di trovare un modo per stabilire, tramite backup o qualche altra prova, che hai prima avuto i file, poiché per qualche motivo ti hanno dato i file necessari che avrebbero potuto essere utilizzati per produrre comodamente la tua storia (perché hanno fatto quella??)

Devi scoprire dal tuo avvocato, uno che conosce la tecnologia, cosa è esattamente necessario e forse parlare con persone della sicurezza specializzate in medicina legale digitale.

Il fatto è che a meno che qualcuno qui non sia un avvocato, tutto ciò che possiamo dirti è come confrontare quei file (md5sum) e che forse la tua migliore difesa sono i vecchi backup dei media per stabilire che avevi i file prima di ottenere il CD e, si spera, prima che XYZ se ne andasse con i tuoi dati (via e-mail alcuni dei file in modo da avere i timestamp da quello? Ancora nei dati archiviati?)

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.