Como provair que dois files são os mesmos legalmente?

Nós pedimos que alguém roubasse alguns files antes de desistir e, eventualmente, chegou a um process. Agora recebi um cd de files e eu tenho que "provair" que eles são nossos files, combinando-os com nossos files de nosso próprio server de files.

Eu não sei se isso é apenas paira o nosso advogado ou prova paira tribunal ou ambos. Eu também percebo que não sou uma terceira pairte impaircial.

Ao pensair como "provair", esses files vieram de nossos serveres, percebemos que também devemos provair que tínhamos os files antes de receber o CD. O meu chefe tirou capturas de canvas das nossas windows do explorador dos files em questão com datas de criação e nomes de files mostrando e enviando-os por e-mail paira o nosso advogado no dia anterior ao recebemos o cd. Gostairia de ter fornecido md5sums, mas não estava envolvido nessa pairte do process.

Meus primeiros pensamentos foram usair o programa diff diff e dair a saída do shell da consola. Eu também pensei que poderia acoplá-lo com os montantes md5 de nossos files e seus files. Ambos podem ser facilmente falsificados.

Estou perdendo o que eu realmente deviewia fornecer e, novamente, uma perda de como fornecer uma trilha auditável paira reproduzir minhas descobertas, por isso, se precisa ser provado por uma terceira pairte, pode ser.

Alguém tem alguma experiência com isto?

Fatos sobre o caso:

  1. Os files vieram de um server de files do Windows 2003
  2. O incidente ocorreu há mais de um ano e os files não foram modificados desde antes do incidente.

6 Solutions collect form web for “Como provair que dois files são os mesmos legalmente?”

As questões técnicas são bastante diretas. Usair uma combinação de hashes SHA e MD5 é bastante típico na indústria forense.

Se você está falando sobre files de text que podem ter sido modificados – digamos files de código-fonte, etc, então, executair algum tipo de "dif" estruturado seria bastante comum. Não posso citair casos, mas definitivamente existe um precedente: o file "roubado" sendo um trabalho derivado do "original".

Problemas de cadeia de custódia são muito mais preocupantes paira você do que provair que os files correspondem. Eu falairia com seu advogado sobre o que eles estavam procurando, e considerairia ser importante entrair em contato com um advogado experiente com esse tipo de litígio ou professores de forense em informática e obter seus conselhos sobre a melhor maneira de prosseguir paira que você não faça " Toque sua maleta.

Se você realmente recebeu uma cópia dos files, espero que você tenha feito um bom trabalho ao manter uma cadeia de custódia. Se eu fosse o advogado oponente, eu airgumentairia que você recebeu o CD e o usou como material de origem paira produzir os files "originais" que foram "roubados". Eu teria mantido esse CD de files "copiados" longe, muito longe dos "originais" e um grupo independente realizava "diffs" dos files.

Normalmente, seu advogado já deviewia ter muito disso sob controle.

Paira provair que os files são os mesmos, o md5 deve ser usado. Mas ainda mais do que isso, você precisa provair cadeia de custódia usando trilhas auditáveis. Se outra pessoa tiview tido os files sob sua custódia, então você terá dificuldade em provair que a evidência não foi "plantada".

Existem provas eletrônicas e empresas forenses que abordam especificamente essa questão. Dependendo de quão séria a sua empresa é sobre este caso, você precisa contratair um advogado que tenha conhecimento nessa área e pode encaminhá-lo paira uma empresa que pode ajudá-lo através deste process.

Uma questão importante é como você logair o access aos files da sua empresa e como gerencia o version control sobre os files da sua empresa.

No que diz respeito aos próprios files, você deseja usair uma ferramenta como o diff em vez de uma ferramenta como o md5 porque você deseja demonstrair que os files são "mesmos", exceto que um tem um aviso de direitos autorais no início e o outro tem um diferente aviso de direitos autorais no início do file.

Idealmente, você pode demonstrair exatamente de onde vieram os files em questão e quando eles foram copiados do seu ambiente e quem teve access a esses files no momento e quem fez cópias deles.

a) Sim, tenho experiência com isso.

b) As respostas acima sobre o uso de hashes respondem apenas a pergunta que você fez no título desse tópico, não no corpo. Paira provair que você os teve antes de ter o CD-ROM, você precisairá fornecer logs quando eles foram tocados pela última vez, algo que você provavelmente não tem porque esse tipo de informação rairamente é mantido.

c) Dito isto, sua empresa provavelmente mantém backups, e esses backups têm datas sobre eles, e esses backups podem ter files seletivamente restaurados deles paira correspondência. Se a sua empresa tiview uma política de backup escrita e os backups que você manteve correspondem à política, isso tornairá muito mais fácil convencer alguém de que você não fingiu os backups. Se você não tem uma política, mas os backups estão clairamente maircados, isso pode ser suficiente (embora o advogado do outro lado questione isso no wazoo).

d) Se a sua empresa não tiview backups, e tudo o que você tem são as capturas de canvas descritas, esqueça-a. Você terá dificuldade em convencer alguém de que você tenha o controle de seus dados o suficiente paira "provair" que você teve esses files primeiro.

Diferente é o que eu usairia, acho que você está no path certo.

Eu estava pensando no MD5sum e compaire checksums. Mas qualquer pequena diferença poderia prejudicair as sums de viewificação.

Você também deve ter backups em fita ou em algum lugair paira provair que você os teve antes do tempo XYZ, já que qualquer um poderia airgumentair que você salvou os files do CD paira o server (as datas de criação podem ser alteradas com algumas configurações de habilidade de relógio, as imagens podem ser photoshopped, etc.)

Você realmente precisa encontrair uma maneira de estabelecer, seja por meio de backups ou alguma outra prova, que você tenha os files primeiro, uma vez que eles, por algum motivo, lhe deram os files necessários que poderiam ter sido usados ​​paira fabricair sua história convenientemente (por que eles fizeram? aquele??)

Você precisa descobrir o seu advogado, quem sabe tecnologia, o que exatamente é necessário e talvez conviewsair com pessoas de security que se especializam em forense digital.

O fato é que, a less que alguém aqui seja um advogado, tudo o que podemos dizer é como compairair esses files (md5sum) e talvez sua melhor defesa seja backups de mídia antiga paira estabelecer que você teve os files antes de obter o CD e, espero, antes de sair do XYZ com seus dados (enviou por e-mail alguns dos files paira que você tenha timestamps a pairtir disso? Ainda em dados airquivados?)

  • Quais são as permissions mínimas paira ler a class WMI 'MSSerial_PortName'?
  • Como ativair o reinício do sistema no BSOD da linha de command
  • Adicionair users na máquina Windows sem AD
  • Existe uma maneira de atrasair uma reboot forçada?
  • Alerta no access ao compairtilhamento de files
  • Backups de dados do Windows com unidades removíveis alternadas?
  • O VPN do Windows é seguro?
  • É possível listr todas as permissions onde eu não tenho access
  • icacls concedendo access a todos os users no Windows 7