Ktoś ukradł jakieś pliki przed wyjściem z pracy i ostatecznie sprowadza się to do procesu. Dostałem teraz płytę CD z plikami i muszę „udowodnić”, że są to nasze pliki, dopasowując je do naszych plików z naszego własnego serwera plików.
Nie wiem, czy dotyczy to tylko naszego prawnika, czy dowodów w sądzie, czy w obu przypadkach. Zdaję sobie również sprawę, że nie jestem bezstronną stroną trzecią.
Myśląc, jak „udowodnić”, że pliki te pochodzą z naszych serwerów, zdaliśmy sobie sprawę, że muszę również udowodnić, że mieliśmy pliki przed otrzymaniem płyty CD. Mój szef wykonał zrzuty ekranu naszych okien eksploratora danych plików z datami utworzenia i nazwami plików i wysłał je pocztą elektroniczną do naszego prawnika na dzień przed otrzymaniem płyty CD. Chciałbym dostarczyć sumy md5, ale nie byłem zaangażowany w tę część procesu.
Moją pierwszą myślą było użycie programu różnicowego unix i podanie danych wyjściowych powłoki konsoli. Pomyślałem też, że mogę połączyć to z sumami md5 zarówno naszych plików, jak i ich plików. Oba można łatwo sfałszować.
Brakuje mi tego, co właściwie powinienem dostarczyć, a potem znowu nie wiem, jak zapewnić możliwy do skontrolowania ślad do odtworzenia moich ustaleń, więc jeśli trzeba to udowodnić przez stronę trzecią, może to być.
Czy ktoś ma z tym jakieś doświadczenie?
Fakty dotyczące sprawy:
- Pliki pochodzą z serwera plików Windows 2003
- Incydent miał miejsce ponad rok temu, a pliki nie zostały zmodyfikowane wcześniej.
Odpowiedzi:
Problemy techniczne są dość proste. Używanie kombinacji skrótów SHA i MD5 jest dość typowe w branży kryminalistycznej.
Jeśli mówisz o plikach tekstowych, które mogły zostać zmodyfikowane - powiedzmy pliki kodu źródłowego itp., Wówczas wykonywanie pewnego rodzaju strukturalnego „diff” byłoby dość powszechne. Nie mogę cytować przypadków, ale zdecydowanie istnieje precedens: plik „skradziony” jest dziełem pochodnym „oryginału”.
Chain-of-areszcie kwestie są LOT bardziej martwić ciebie niż udowodnienie, że pliki pasuje. Porozmawiam z twoim adwokatem o tym, czego szukają, i zdecydowanie rozważę skontaktowanie się z adwokatem doświadczonym w tego rodzaju sprawach sądowych lub specjalistach z zakresu kryminalistyki komputerowej i uzyskam poradę, jak najlepiej postępować, abyś nie „ zdmuchnij swoją skrzynkę.
Jeśli rzeczywiście otrzymałeś kopię tych plików, mam nadzieję, że dobrze się spisałeś. Gdybym był przeciwnym doradcą, twierdziłbym, że otrzymałeś płytę CD i wykorzystałeś ją jako materiał źródłowy do wyprodukowania „oryginalnych” plików, które zostały „skradzione”. Trzymałbym tę płytę CD z „skopiowanymi” plikami z dala od „oryginałów” i zleciłbym niezależnemu podmiotowi wykonanie „różnic” plików.
źródło
Zazwyczaj twój adwokat powinien już mieć to wszystko pod kontrolą.
Aby udowodnić, że pliki są takie same, należy użyć md5. Co więcej, musisz udowodnić łańcuch dostaw, korzystając z możliwych do skontrolowania ścieżek. Jeśli ktoś miał akta pod ich opieką, trudno będzie ci udowodnić przed sądem, że dowody nie zostały „posadzone”.
Istnieją firmy zajmujące się dowodami elektronicznymi i kryminalistycznymi, które zajmują się konkretnie tym problemem. W zależności od tego, jak poważna jest Twoja firma w tej sprawie, musisz zatrudnić prawnika, który ma wiedzę w tej dziedzinie i może skierować Cię do firmy, która może pomóc Ci w tym procesie.
źródło
Ważnym pytaniem jest sposób rejestrowania dostępu do plików firmy i zarządzania kontrolą wersji nad plikami firmy.
Jeśli chodzi o same pliki, chcesz użyć narzędzia takiego jak diff, a nie narzędzia takiego jak md5, ponieważ chcesz wykazać, że pliki są „takie same”, z wyjątkiem tego, że na początku jedna nota o prawach autorskich, a druga inna informacja o prawach autorskich na początku pliku.
Idealnie możesz zademonstrować dokładnie, skąd pochodzą dane pliki i kiedy zostałyby skopiowane z twojego środowiska, kto miał dostęp do tych plików w tym czasie i kto je wykonał.
źródło
a) Tak, mam z tym doświadczenie.
b) Powyższe odpowiedzi dotyczące używania skrótów odpowiadają tylko na pytanie zadane w tytule tego wątku, a nie w treści. Aby udowodnić, że je posiadałeś, zanim dostałeś CD-ROM, musisz dostarczyć dzienniki, kiedy były ostatnio dotykane, czego prawdopodobnie nie masz, ponieważ tego rodzaju informacje rzadko są przechowywane.
c) Powiedziawszy to, twoja firma prawdopodobnie przechowuje kopie zapasowe, a te kopie zapasowe mają daty, a te kopie zapasowe mogą selektywnie przywracać z nich pliki w celu dopasowania. Jeśli Twoja firma ma pisemne zasady tworzenia kopii zapasowych, a przechowywane kopie zapasowe są zgodne z zasadami, znacznie ułatwi to przekonanie kogoś, że nie sfałszowano kopii zapasowych. Jeśli nie masz polisy, ale kopie zapasowe są wyraźnie oznaczone, może to być wystarczające (chociaż prawnik drugiej strony zakwestionuje to wazoo).
d) Jeśli Twoja firma nie zachowała kopii zapasowych, a masz tylko opisane zrzuty ekranu, zapomnij o tym. Będzie Ci bardzo trudno przekonać każdego, że masz kontrolę nad swoimi danymi na tyle dobrze, aby „udowodnić”, że najpierw posiadałeś te pliki.
źródło
diff jest tym, czego użyłbym, myślę, że jesteś na dobrej drodze.
źródło
Myślałem o sumie kontrolnej MD5 i porównuję sumy kontrolne. Ale każda drobna różnica mogłaby zakłócić sumy kontrolne.
Powinieneś również mieć kopie zapasowe na taśmie lub gdzieś, aby udowodnić, że je posiadałeś przed czasem XYZ, ponieważ każdy może argumentować, że zapisałeś pliki z dysku CD na serwerze (daty utworzenia można zmienić za pomocą sprytnego ustawienia zegara czasu, zdjęcia mogą być w Photoshopie itp.)
Naprawdę musisz znaleźć sposób na ustalenie, czy to za pomocą kopii zapasowych, czy innego dowodu, że pliki były pierwsze, ponieważ z jakiegoś powodu dały ci potrzebne pliki, które można było wykorzystać do wygodnej produkcji twojej historii (dlaczego to zrobili że??)
Musisz dowiedzieć się od swojego prawnika, który zna technologię, co dokładnie jest potrzebne i być może porozmawiać z pracownikami ochrony specjalizującymi się w kryminalistyce cyfrowej.
Faktem jest, że jeśli ktoś nie jest prawnikiem, wszystko, co możemy powiedzieć, to jak porównać te pliki (md5sum) i że być może najlepszą twoją obroną są stare kopie zapasowe multimediów, aby ustalić, że masz pliki przed otrzymaniem płyty CD i mam nadzieję, że zanim XYZ odejdzie z twoimi danymi (wysłałeś e-mailem niektóre pliki, więc masz sygnatury czasowe z tego? Nadal w zarchiwizowanych danych?)
źródło