Как мне доказать, что два файла одинаково легально?

24

У нас кто-то украл некоторые файлы, прежде чем уйти, и это в конечном итоге привело к судебному иску. Теперь мне предоставлен компакт-диск с файлами, и я должен «доказать», что они являются нашими файлами, сопоставив их с нашими файлами с нашего собственного файлового сервера.

Я не знаю, если это только для нашего адвоката или доказательства для суда или обоих. Я также понимаю, что я не беспристрастная третья сторона.

Размышляя о том, как «доказать» эти файлы, пришли с наших серверов, мы поняли, что я также должен доказать, что у нас есть файлы до получения компакт-диска. Мой босс сделал снимки экрана окон нашего обозревателя с указанными датами создания и именами файлов и отправил их по электронной почте нашему юристу за день до того, как мы получили компакт-диск. Я хотел бы предоставить md5sums, но я не был вовлечен в эту часть процесса.

Моими первыми мыслями было использование программы unix diff и вывод консольной оболочки. Я также думал, что смогу связать это с суммами md5 наших файлов и их файлов. Оба из них могут быть легко подделаны.

Я в недоумении от того, что я на самом деле должен был предоставить, а затем снова в растерянности от того, как предоставить проверяемый след для воспроизведения моих выводов, поэтому, если это действительно необходимо подтвердить третьей стороной, это может быть.

У кого-нибудь есть опыт с этим?

Факты по делу:

  1. Файлы пришли с файлового сервера Windows 2003
  2. Инцидент произошел более года назад, и файлы не были изменены с момента до инцидента.
reconbot
источник
с какой ОС эти файлы пришли?
Джим Б
Windows 2003 Server - я обновил пост
перезагружаю
3
Чтобы доказать, что у вас были файлы во время их захвата, вы можете рассмотреть возможность отправки резервных лент (или любого другого метода, который вы используете), который содержит эти файлы.
Джон Гарденер

Ответы:

22

Технические проблемы довольно просты. Использование комбинации хэшей SHA и MD5 довольно типично для криминалистической индустрии.

Если вы говорите о текстовых файлах, которые могли быть изменены - например, файлы исходного кода и т. Д., То выполнение некоторого структурированного «diff» было бы довольно распространенным явлением. Я не могу цитировать случаи, но есть определенно прецедент: «украденный» файл является производной от «оригинала».

Проблемы цепочки поставок - ОЧЕНЬ больше беспокойства, чем подтверждение соответствия файлов. Я бы поговорил с вашим адвокатом о том, что они ищут, и настоятельно рекомендовал бы связаться с адвокатом, имеющим опыт судебного разбирательства по данному типу судебных или компьютерных экспертиз, и получить их совет о том, как лучше поступить, чтобы вы не взорвать ваше дело.

Если вы на самом деле получили копию файлов, я надеюсь, что вы проделали хорошую работу по поддержанию цепочки поставок. Если бы я был противником, я бы сказал, что вы получили компакт-диск и использовали его в качестве исходного материала для производства «оригинальных» файлов, которые были «украдены». Я бы держал этот диск с «скопированными» файлами подальше от «оригиналов» и имел бы независимую группу, выполняющую «различие» файлов.

Эван Андерсон
источник
Контрольные суммы md5 (или, лучше, SHA), скорее всего, будут рассматриваться как конкретное доказательство (вероятность коллизии достаточно мала, чтобы, если контрольные суммы совпадали, это была виртуальная уверенность, что файлы идентичны).
voretaq7
Если контрольные суммы не совпадают, следующим шагом будет diff (или bsdiff, если мы говорим о двоичных файлах). Если изменения тривиальны (пробелы, комментарии, имена переменных), можно «разумно предположить», что код был скопирован и изменен, чтобы скрыть кражу.
voretaq7
2
Возможность доказать происхождение обоих сравниваемых файлов является ключевой проблемой. - Отличный ответ.
Пьер-Люк Симард
2
/ согласен со всем, что сказал Эван. Звучит так, будто ваш адвокат упал на это, предоставив вам копию всего, что якобы было взято. Вы также должны иметь возможность доказать, что было на вашем сервере, прежде чем вы получили данные - я бы порекомендовал третьей стороне подписать и проверить.
MikeyB
5

Как правило, ваш адвокат уже должен контролировать все это.

Чтобы доказать, что файлы одинаковые, следует использовать md5. Но даже более того, вам нужно доказать цепочку поставок, используя проверяемые следы. Если у кого-то еще есть файлы, находящиеся у них на хранении, вам будет сложно доказать в суде, что доказательства не были «установлены».

Существуют компании, специализирующиеся на электронных доказательствах и криминалистике, которые занимаются именно этой проблемой. В зависимости от того, насколько серьезно ваша компания относится к этому делу, вам нужно нанять адвоката, который обладает знаниями в этой области и может направить вас в фирму, которая может помочь вам в этом процессе.

Дэйв Драгер
источник
2

Важным вопросом является то, как вы регистрируете доступ к файлам вашей фирмы и как вы управляете версией файлов вашей фирмы.

Что касается самих файлов, вы хотите использовать инструмент, такой как diff, а не инструмент, такой как md5, потому что вы хотите продемонстрировать, что файлы «одинаковы», за исключением того, что один имеет уведомление об авторском праве в начале, а другой имеет другое Уведомление об авторских правах в начале файла.

В идеале вы можете продемонстрировать, откуда именно эти файлы пришли, и когда они были бы скопированы из вашей среды, кто имел доступ к этим файлам в то время и кто их копировал.

Крис
источник
2

а) Да, у меня есть опыт с этим.

б) Ответы выше об использовании хэшей отвечают только на вопрос, который вы задали в заголовке этой темы, а не в теле. Чтобы доказать, что они были у вас до того, как вы получили компакт-диск, вам нужно будет предоставить журналы того, когда они были в последний раз затронуты, чего у вас, вероятно, нет, поскольку такая информация редко сохраняется.

в) Сказав это, ваша компания, вероятно, хранит резервные копии, и у этих резервных копий есть даты, и из этих резервных копий могут быть выборочно восстановлены файлы для сопоставления. Если у вашей компании есть письменная политика резервного копирования, и резервные копии, которые вы храните, соответствуют политике, это будет намного проще убедить кого-то, что вы не подделывали резервные копии. Если у вас нет политики, но резервные копии четко обозначены, этого может быть достаточно (хотя адвокат другой стороны будет задавать вопросы по этому поводу).

г) Если ваша компания не хранит резервные копии, и все, что у вас есть, это описанные снимки экрана, забудьте об этом. Вам будет очень трудно убедить кого-либо в том, что вы контролируете свои данные достаточно хорошо, чтобы «доказать», что у вас были эти файлы первыми.

Пол Хоффман
источник
1

я бы использовал diff, я думаю, вы на правильном пути.

Chopper3
источник
0

Я думал MD5sum, и сравнить контрольные суммы. Но любая маленькая разница может расстроить контрольные суммы.

У вас также должны быть резервные копии на ленте или где-то еще, чтобы доказать, что они были у вас до XYZ, поскольку любой может утверждать, что вы сохранили файлы с компакт-диска на сервер (даты создания могут быть изменены с некоторой хитростью настроек часов, изображения могут быть фотошоп и тд)

Вам действительно нужно найти способ установить, с помощью резервных копий или каких-либо других доказательств, что у вас были файлы первыми, поскольку они по какой-то причине дали вам необходимые файлы, которые можно было бы использовать для удобного изготовления вашей истории (почему они это сделали что??)

Вам нужно выяснить у своего адвоката, который знает технологии, что именно нужно, и, возможно, поговорить со специалистами по безопасности, которые специализируются на цифровой криминалистике.

Дело в том, что если кто-то здесь не является юристом, все, что мы можем вам сказать, это как сравнивать эти файлы (md5sum) и что, возможно, ваша лучшая защита - это резервное копирование старых носителей, чтобы убедиться, что у вас есть файлы до получения компакт-диска и, надеюсь, до того, как XYZ уйдет с вашими данными (по электронной почте некоторые из файлов, так что у вас есть метки времени от этого? Все еще в заархивированных данных?)

Барт Сильверстрим
источник