Pregunta ¿Cómo pruebo que dos archivos son los mismos legalmente?


Tuvimos a alguien que robó algunos archivos antes de dejar de fumar y finalmente se ha reducido a una demanda. Ahora me han proporcionado un cd de archivos y tengo que "probar" que son nuestros archivos al hacerlos coincidir con nuestros archivos de nuestro propio servidor de archivos.

No sé si esto es solo para nuestro abogado o evidencia para la corte o ambos. También me doy cuenta de que no soy un tercero imparcial.

Al pensar en cómo "probar" estos archivos provinieron de nuestros servidores, nos dimos cuenta de que también tengo que probar que teníamos los archivos antes de recibir el CD. Mi jefe tomó capturas de pantalla de las ventanas de nuestro explorador de los archivos en cuestión con las fechas de creación y los nombres de los archivos y los envió a nuestro abogado el día antes de que recibiéramos el CD. Me hubiera gustado proporcionar md5sums pero no estuve involucrado en esa parte del proceso.

Mis primeros pensamientos fueron utilizar el programa diff de Unix y dar salida de shell a la consola. También pensé que podría combinarlo con las sumas md5 de nuestros archivos y sus archivos. Ambos de estos pueden ser fácilmente falsificados.

Estoy en una pérdida de lo que realmente debería proporcionar y luego otra vez en una pérdida en cómo proporcionar un rastro auditable para reproducir mis hallazgos, por lo que si necesita ser probado por un tercero puede ser.

¿Alguien tiene alguna experiencia con esto?

Datos sobre el caso:

  1. Los archivos provienen de un servidor de archivos de Windows 2003
  2. El incidente ocurrió hace más de un año y los archivos no se han modificado desde antes del incidente.

24
2018-02-01 16:48


origen


¿De qué sistema operativo provienen estos archivos? - Jim B
servidor Windows 2003 - actualicé la publicación - reconbot
Para probar que tenía los archivos en el momento en que fueron tomados, podría considerar enviar cintas de respaldo (o cualquier otro método que use) que contenga esos archivos. - John Gardeniers


Respuestas:


Las cuestiones técnicas son bastante sencillas. El uso de una combinación de hashes SHA y MD5 es bastante típico en la industria forense.

Si está hablando de archivos de texto que podrían haber sido modificados, digamos archivos de código fuente, etc., entonces realizar algún tipo de "dif" estructurado sería bastante común. No puedo citar casos, pero definitivamente hay un precedente: el archivo "robado" es un trabajo derivado del "original".

Problemas de cadena de custodia son una MUCHO Más de una preocupación para usted que demostrar que los archivos coinciden. Hablaría con su abogado sobre lo que están buscando, y consideraría encarecidamente ponerse en contacto con un abogado con experiencia en este tipo de litigios o con un experto en informática forense y recibir su consejo sobre la mejor manera de proceder para que usted no lo haga. t explotar su caso.

Si realmente recibió una copia de los archivos, espero que haya hecho un buen trabajo al mantener una cadena de custodia. Si yo fuera el abogado contrario, argumentaría que usted recibió el CD y lo utilizó como material de origen para producir los archivos "originales" que fueron "robados". Habría guardado ese CD de archivos "copiados" muy, muy lejos de los "originales" y tenía una fiesta independiente que realizaba "diffs" de los archivos.


22
2018-02-01 16:59



Las sumas de comprobación md5 (o mejor, SHA) probablemente se considerarán una prueba concreta (la probabilidad de una colisión es lo suficientemente pequeña como para que si las sumas de verificación coinciden es una certeza virtual, los archivos son idénticos). - voretaq7
Si las sumas de comprobación no coinciden, diff (o bsdiff si estamos hablando de binarios) es el siguiente paso. Si los cambios son triviales (espacios en blanco, comentarios, nombres de variables) se podría "asumir razonablemente" que el código fue copiado y alterado para ofuscar el robo. - voretaq7
Ser capaz de demostrar el origen de ambos archivos que se comparan es la cuestión clave. - Gran respuesta. - Pierre-Luc Simard
Estoy de acuerdo con todo lo que dijo Evan. Parece que su laywer se cayó sobre este al proporcionarle una copia de todo lo que supuestamente fue tomado. También necesitas poder probar lo que estaba en tu Servidor antes de recibir los datos: recomendaría a un tercero que firme y verifique. - MikeyB


Normalmente, su abogado ya debería tener mucho de esto bajo control.

Para probar que los archivos son los mismos, se debe usar md5. Pero incluso más que eso, es necesario probar la cadena de custodia utilizando pistas auditables. Si alguien más ha tenido los archivos bajo su custodia, tendrá dificultades para demostrar ante el tribunal que la evidencia no fue "plantada".

Existen pruebas electrónicas y empresas forenses que se ocupan específicamente de este problema. Dependiendo de la seriedad de su empresa con respecto a este caso, debe contratar a un abogado que tenga conocimientos en esta área y puede remitirlo a una firma que pueda ayudarlo a través de este proceso.


5
2018-02-01 17:04





Una pregunta importante es cómo se registra el acceso a los archivos de su empresa y cómo administra el control de versiones sobre los archivos de su empresa.

En cuanto a los archivos en sí mismos, desea utilizar una herramienta como diff en lugar de una herramienta como md5 porque desea demostrar que los archivos son "iguales", excepto que uno tiene un aviso de copyright al comienzo y el otro tiene una Aviso de copyright al inicio del archivo.

Lo ideal es que pueda demostrar exactamente de dónde provienen los archivos en cuestión, cuándo se copiarán de su entorno, quién tuvo acceso a esos archivos en ese momento y quién hizo copias de ellos.


2
2018-02-01 17:07





a) Sí, tengo experiencia con esto.

b) Las respuestas anteriores sobre el uso de hashes responden solo a la pregunta que hizo en el título de este hilo, no en el cuerpo. Para probar que los tenía antes de recibir el CD-ROM, deberá proporcionar registros de cuándo se tocaron por última vez, algo que probablemente no tenga porque este tipo de información rara vez se guarda.

c) Dicho esto, es probable que su compañía mantenga copias de seguridad, y esas copias de seguridad tienen fechas en ellas, y esas copias de seguridad pueden tener archivos restaurados de forma selectiva para su comparación. Si su compañía tiene una política de copia de seguridad por escrito y las copias de seguridad que mantuvo coinciden con la política, esto hará que sea mucho más fácil convencer a alguien de que no falsificó las copias de seguridad. Si no tiene una política pero las copias de seguridad están claramente marcadas, eso podría ser suficiente (aunque el abogado del otro lado lo cuestionará).

d) Si su empresa no mantuvo copias de seguridad, y todo lo que tiene son las capturas de pantalla descritas, olvídelo. Le resultará muy difícil convencer a alguien de que tiene el control de sus datos lo suficientemente bien como para "probar" que tuvo esos archivos primero.


2
2018-02-02 03:34





diff es lo que yo usaría, creo que estás en el camino correcto.


1
2018-02-01 16:51





Estaba pensando en MD5sum, y comparar sumas de comprobación. Pero cualquier pequeña diferencia podría alterar las sumas de control.

También debe tener copias de seguridad en cinta o en algún lugar para demostrar que las tuvo antes de la hora XYZ, ya que cualquiera podría argumentar que guardó los archivos del CD en el servidor (las fechas de creación podrían modificarse con algunos ajustes inteligentes del reloj, las imágenes pueden ser modificadas). photoshopped, etc.)

Realmente necesitas encontrar una manera de establecer, ya sea a través de copias de seguridad o alguna otra prueba, que tenías los archivos primero, ya que por alguna razón te dieron los archivos necesarios que podrían haber sido utilizados para fabricar tu historia de manera conveniente (¿por qué lo hicieron?) ¿¿ese??)

Debe averiguar con su abogado, uno que conozca la tecnología, qué se necesita exactamente y tal vez hablar con personal de seguridad que se especializa en análisis forense digital.

El hecho es que a menos que alguien aquí sea abogado, todo lo que podemos decirle es cómo comparar esos archivos (md5sum) y que quizás su mejor defensa sean las copias de seguridad antiguas para establecer que tenía los archivos antes de obtener el CD y, con suerte, antes de que XYZ se vaya con tus datos (enviaste por correo electrónico algunos de los archivos para que tengas marcas de tiempo de eso? ¿Aún en datos archivados?)


0
2018-02-01 17:00