Como posso provar que dois arquivos são iguais legalmente?

Navegue suas respostas
24

Tivemos alguém que roubou alguns arquivos antes de desistir e acabou chegando a um processo. Eu agora recebi um cd de arquivos e tenho que "provar" que eles são nossos arquivos, combinando-os com nossos arquivos de nosso próprio servidor de arquivos.

Eu não sei se isso é apenas para o nosso advogado ou provas para o tribunal ou ambos. Eu também percebo que não sou uma terceira parte imparcial.

Pensando em como "provar" que esses arquivos vieram de nossos servidores, percebemos que também tenho que provar que tínhamos os arquivos antes de receber o CD. Meu chefe fez capturas de tela de nossas janelas exploradoras dos arquivos em questão com datas de criação e nomes de arquivos e os enviou por e-mail para nosso advogado no dia anterior ao recebimento do CD. Eu gostaria de ter fornecido o md5sums, mas não estava envolvido nessa parte do processo.

Meus primeiros pensamentos foram usar o programa diff do unix e dar a saída do shell do console. Também achei que poderia combiná-lo com as somas md5 de nossos arquivos e arquivos. Ambos podem ser facilmente falsificados.

Eu estou perdendo o que eu realmente deveria fornecer e, então, novamente com uma perda de como fornecer uma trilha auditável para reproduzir minhas descobertas, por isso, se ele precisa ser provado por uma terceira parte, pode ser.

Alguém tem alguma experiência com isso?

Fatos sobre o caso:

  1. Os arquivos vieram de um servidor de arquivos do Windows 2003
  2. O incidente aconteceu há mais de um ano e os arquivos não foram modificados desde antes do incidente.
por reconbot 01.02.2010 / 17:48

6 respostas

22

Os problemas técnicos são bem diretos. Usar uma combinação de hashes SHA e MD5 é bastante comum na indústria forense.

Se você estiver falando sobre arquivos de texto que possam ter sido modificados - digamos, arquivos de código-fonte, etc, então executar algum tipo de "diff" estruturado seria bastante comum. Eu não posso citar casos, mas há definitivamente um precedente lá fora: o arquivo "roubado" sendo um trabalho derivado do "original".

Problemas de cadeia de custódia são um LOT mais preocupantes para você do que provar que os arquivos são compatíveis. Eu falaria com seu advogado sobre o que eles estão procurando, e consideraria strongmente entrar em contato com um advogado experiente com este tipo de litígio ou computador forense professinal e obter os seus conselhos sobre a melhor maneira de proceder para que você don ' Não assopre o seu caso.

Se você realmente recebeu uma cópia dos arquivos, espero que tenha feito um bom trabalho em manter uma cadeia de custódia. Se eu fosse o advogado oposto, eu argumentaria que você recebeu o CD e o usou como fonte para produzir os arquivos "originais" que foram "roubados". Eu teria mantido esse CD de arquivos "copiados" longe, longe dos "originais" e faria um grupo independente executar "diffs" dos arquivos.

    
por 01.02.2010 / 17:59
5

Normalmente, seu advogado já deve ter muito disso sob controle.

Para provar que os arquivos são os mesmos, o md5 deve ser usado. Mas, mais do que isso, você precisa provar a cadeia de custódia usando trilhas auditáveis. Se alguém tiver os arquivos sob sua custódia, você terá dificuldade em provar no tribunal que a evidência não foi 'plantada'.

Existem evidências eletrônicas e empresas forenses que lidam especificamente com essa questão. Dependendo da seriedade da sua empresa em relação a esse caso, você precisa contratar um advogado que tenha conhecimento nessa área e possa encaminhá-lo a uma empresa que possa ajudá-lo nesse processo.

    
por 01.02.2010 / 18:04
2

Uma questão importante é como você registra o acesso aos arquivos da sua empresa, e como você gerencia o controle de versão sobre os arquivos da sua empresa.

No que diz respeito aos próprios arquivos, você quer usar uma ferramenta como diff ao invés de uma ferramenta como md5, porque você quer demonstrar que os arquivos são os mesmos, exceto que um tem um aviso de copyright no início e outro tem um aviso de direitos autorais diferente no início do arquivo.

Idealmente, você pode demonstrar exatamente de onde vieram os arquivos em questão e quando eles teriam sido copiados do seu ambiente, e quem teve acesso a esses arquivos no momento e quem fez cópias deles.

    
por 01.02.2010 / 18:07
2

a) Sim, eu tenho experiência com isso.

b) As respostas acima sobre o uso de hashes respondem apenas à pergunta que você fez no título deste tópico, não no corpo. Para provar que você os tinha antes de receber o CD-ROM, você precisará fornecer registros de quando eles foram tocados pela última vez, algo que você provavelmente não tem porque esse tipo de informação raramente é mantido.

c) Dito isto, sua empresa provavelmente mantém backups, e esses backups têm datas neles, e esses backups podem ter arquivos seletivamente restaurados a partir deles para correspondência. Se sua empresa tiver uma política de backup por escrito e os backups que você manteve corresponderem à política, isso tornará muito mais fácil convencer alguém de que você não falsificou os backups. Se você não tem uma política, mas os backups estão claramente marcados, isso pode ser suficiente (embora o advogado do outro lado questione isso com o wazoo).

d) Se a sua empresa não mantém backups, e tudo que você tem são as capturas de tela descritas, esqueça. Você terá muita dificuldade em convencer alguém de que você está no controle de seus dados o suficiente para "provar" que você tinha esses arquivos primeiro.

    
por 02.02.2010 / 04:34
1

diff é o que eu usaria, acho que você está no caminho certo.

    
por 01.02.2010 / 17:51
0

Eu estava pensando em MD5sum e compare checksums. Mas qualquer pequena diferença poderia perturbar os checksums.

Você também deve ter backups em fita ou em algum lugar para provar que você os tinha antes do horário XYZ, já que qualquer um poderia argumentar que você salvou os arquivos do CD no servidor (as datas de criação podem ser alteradas com alguma fotos podem ser photoshopadas, etc.)

Você realmente precisa encontrar uma maneira de estabelecer, seja por meio de backups ou alguma outra prova, que você tinha os arquivos primeiro, pois eles por algum motivo forneceram os arquivos necessários que poderiam ter sido usados para manufaturar sua história (por quê? eles fizeram isso ??)

Você precisa descobrir com seu advogado, aquele que conhece a tecnologia, o que exatamente é necessário e, talvez, conversar com as pessoas da área de segurança que se especializam em análise forense digital.

O fato é que, a menos que alguém aqui seja um advogado, tudo o que podemos dizer é como comparar esses arquivos (md5sum) e que talvez sua melhor defesa sejam backups de mídia antigos para estabelecer que você tinha os arquivos antes de obter o CD e esperamos que antes de XYZ sair com seus dados (enviei alguns arquivos por e-mail para que você tenha timestamps disso? Ainda em dados arquivados?)

    
por 01.02.2010 / 18:00
Como configurar a clonagem de disco com o túnel dd, netcat e ssh? Como instalar usuários e computadores do Active Directory no Windows 2008