Як довести, що два файли юридично однакові?

У нас хтось вкрав деякі файли, перш ніж вийти з ладу, і врешті-решт це дійшло до судового позову. Зараз мені надали компакт-диск із файлами, і я маю "довести", що це наші файли, порівнявши їх з нашими файлами з нашого власного файлового сервера.

Я не знаю, чи це лише для нашого адвоката чи докази для суду чи обох. Я також усвідомлюю, що я не є неупередженою третьою стороною.

Думаючи, як "довести" ці файли, прийшли з наших серверів, ми зрозуміли, що я також повинен довести, що у нас були файли, перш ніж отримувати компакт-диск. Мій бос зробив знімки екрана нашого дослідника із відповідних файлів із датами створення та іменами файлів, де відображався та надіслав їх нашому юристу за день до того, як ми отримали компакт-диск. Мені б хотілося, щоб я надав md5sums, але я не брав участі в цій частині процесу.

Мої перші думки полягали в тому, щоб використовувати програму unix diff та дати вихід консолі оболонки. Я також думав, що можу поєднати його з сумами md5 як наших файлів, так і їхніх файлів. І те й інше легко підробити.

Я втрачаю те, що я насправді повинен надати, а потім знову втрачаю питання про те, як забезпечити аудиторський слід для відтворення моїх висновків, тож якщо це потрібно довести третьою стороною, це може бути.

Хтось має з цим досвід?

Факти щодо справи:

1. Файли надходили з файлового сервера Windows 2003
2. Інцидент стався понад рік тому, а файли не були змінені до початку інциденту.

Технічні питання досить прості. Використання комбінацій хешів SHA та MD5 досить характерно для криміналістичної галузі.

Якщо ви говорите про текстові файли, які, можливо, були змінені - скажімо, файли вихідного коду тощо, то виконання певного типу структурованого "розрізнення" було б досить поширеним явищем. Я не можу навести випадки, але тут безумовно є прецедент: "Вкрадений" файл є похідною роботою "оригіналу".

Ланцюговий-передавальних питання є ЛОТ більше занепокоєння , ніж вам довести , що файли збігаються. Я б поговорив з вашим адвокатом про те, що вони шукають, і настійно подумав би про те, щоб зв’язатися з адвокатом, досвідченим із цим типом судових процесів чи експертами з комп’ютерної криміналістики, і отримаю їхню рекомендацію щодо найкращого способу для того, щоб ви не зробили ' не підірвати свою справу.

Якщо ви насправді отримали копію файлів, я сподіваюся, що ви добре зробили роботу з підтримання ланцюжка опіки. Якби я був противником, я б стверджував, що ви отримали компакт-диск і використовували його як вихідний матеріал для створення "оригінальних" файлів, які були "викрадені". Я б утримував цей компакт-диск із "скопійованими" файлами далеко, далеко від "оригіналів" і мав би незалежну сторону виконувати "різницю" файлів.

Зазвичай ваш адвокат має вже мати багато цього під контролем.

Щоб довести, що файли однакові, слід використовувати md5. Але навіть більше того, вам потрібно довести ланцюг опіки, використовуючи перевірені стежки. Якщо хтось інший мав справи, які знаходилися під вартою, то вам доведеться важко довести в суді, що докази не були «підготовлені».

Є електронні доказові та криміналістичні компанії, які спеціально займаються цим питанням. Залежно від того, наскільки серйозно ваша компанія ставиться до цієї справи, вам потрібно найняти юриста, який має знання в цій галузі і може направити вас на фірму, яка може допомогти вам у цьому процесі.

Важливим питанням є те, як ви реєструєте доступ до файлів вашої фірми та як керуєте контролем версій над файлами вашої фірми.

Що стосується самих файлів, ви хочете використовувати такий інструмент, як diff, а не інструмент, як md5, тому що ви хочете продемонструвати, що файли є "тими ж", за винятком того, що один має повідомлення про авторські права на початку, а інший має інше повідомлення про авторські права на початку файлу.

В ідеалі ви зможете точно продемонструвати, звідки беруться розглядаються файли, і коли вони були б скопійовані з вашого оточення та хто мав доступ до цих файлів у той час і хто робив їх копії.

а) Так, у мене є досвід цього.

б) Наведені вище відповіді про використання хешей відповідають лише на запитання, яке ви задали в заголовку цієї теми, а не в тілі. Щоб довести, що ви їх мали, перш ніж придбати компакт-диск, вам потрібно буде надати журнали, коли вони востаннє торкалися, чогось, напевно, у вас немає, оскільки така інформація зберігається рідко.

c) Сказавши це, ваша компанія, ймовірно, зберігає резервні копії, і в цих резервних копіях є дати, і ці резервні копії можуть мати файли, вибірково відновлювані з них для відповідності. Якщо у вашій компанії є написана політика резервного копіювання, а резервні копії, які ви зберігали, відповідають політиці, це значно полегшить переконати когось у тому, що ви не підробили резервні копії. Якщо у вас немає політики, але резервні копії чітко позначені, це може бути достатньо (хоча адвокат іншої сторони поставить під сумнів це питання).

г) Якщо ваша компанія не проводила резервного копіювання, і все, що у вас є, - це описані знімки екрана, забудьте про це. Вам буде дуже важко переконати когось, що ви досить добре контролюєте свої дані, щоб "довести", що у вас були ці файли спочатку.

diff - це те, що я б використовував, я думаю, ти на правильному шляху.

Я думав про MD5sum і порівнював контрольні суми. Але будь-яка незначна різниця може порушити контрольні суми.

У вас також повинні бути резервні копії на стрічці чи десь, щоб довести, що ви їх мали до часу XYZ, оскільки кожен може стверджувати, що ви зберегли файли з компакт-диска на сервер (дати створення можуть бути змінені з певною чіткістю налаштувань годинника, зображення можуть бути фотошоп тощо)

Вам дійсно потрібно знайти спосіб встановити резервні копії чи якісь інші докази того, що у вас були файли спочатку, оскільки вони чомусь дали вам потрібні файли, які могли бути використані для зручного виготовлення вашої історії (чому вони це зробили що ??)

Вам потрібно дізнатися у свого юриста, того, хто знає технологію, що саме потрібно і, можливо, поговорити з охоронцями, які спеціалізуються на цифровій криміналістиці.

Справа в тому, що якщо хтось тут не юрист, все, що ми можемо вам сказати, - це як порівняти ці файли (md5sum), і що, можливо, найкраща захист - це старі резервні копії медіа, щоб встановити, чи були у вас файли до отримання компакт-диска, і, сподіваємось, перед тим, як XYZ пішов з вашими даними (надіслано по електронній пошті деякі файли, щоб у вас з'явилися часові позначки? Ще зберігаються в архівованих даних?)