Como posso provar que dois arquivos são iguais legalmente?

24

Alguém tinha roubado alguns arquivos antes de sair e, finalmente, tudo se resumiu a um processo. Agora recebi um CD de arquivos e tenho que "provar" que eles são nossos arquivos, combinando-os com nossos arquivos de nosso próprio servidor de arquivos.

Não sei se isso é apenas para o nosso advogado ou evidência para o tribunal ou ambos. Também percebo que não sou um terceiro imparcial.

Ao pensar em como "provar" esses arquivos vieram de nossos servidores, percebemos que eu também tinha que provar que tínhamos os arquivos antes de receber o CD. Meu chefe tirou capturas de tela das janelas do explorador dos arquivos em questão, com datas de criação e nomes de arquivos aparecendo e os enviou por e-mail ao nosso advogado no dia anterior ao recebimento do CD. Eu gostaria de ter fornecido o md5sums, mas não estava envolvido nessa parte do processo.

Meus primeiros pensamentos foram usar o programa diff unix e fornecer a saída do shell do console. Eu também pensei que poderia combiná-lo com as somas md5 de nossos arquivos e de seus arquivos. Ambos podem ser facilmente falsificados.

Estou perdendo o que realmente deveria fornecer e, novamente, perdendo a forma de fornecer uma trilha auditável para reproduzir minhas descobertas; portanto, se precisar ser provado por terceiros, pode ser.

Alguém tem alguma experiência com isto?

Fatos sobre o caso:

  1. Os arquivos vieram de um servidor de arquivos do Windows 2003
  2. O incidente aconteceu há mais de um ano e os arquivos não foram modificados desde antes do incidente.
reconectar
fonte
de qual SO esses arquivos vieram?
Jim B
servidor Windows 2003 - Atualizei o post
reconbote
3
Para provar que você possuía os arquivos no momento em que foram tirados, considere enviar fitas de backup (ou qualquer outro método usado) que contenham esses arquivos.
John Gardeniers 02/02

Respostas:

22

As questões técnicas são bem diretas. O uso de uma combinação de hashes SHA e MD5 é bastante típico na indústria forense.

Se você está falando sobre arquivos de texto que podem ter sido modificados - digamos, arquivos de código-fonte etc., executar algum tipo de "diff" estruturado seria bastante comum. Não posso citar casos, mas definitivamente há precedentes por aí: o arquivo "roubado" é um trabalho derivado do "original".

Problemas de cadeia de custódia são muito mais preocupantes para você do que provar que os arquivos correspondem. Eu conversaria com seu advogado sobre o que eles estão procurando e consideraria fortemente entrar em contato com um advogado experiente com esse tipo de litígio ou profissional forense em informática e obteria seus conselhos sobre a melhor maneira de prosseguir para que você não Não estrague o seu caso.

Se você realmente recebeu uma cópia dos arquivos, espero que tenha feito um bom trabalho em manter uma cadeia de custódia. Se eu fosse o advogado da oposição, argumentaria que você recebeu o CD e o usou como material de origem para produzir os arquivos "originais" que foram "roubados". Eu teria mantido esse CD de arquivos "copiados" longe, muito longe dos "originais" e mandado uma parte independente executar "diffs" dos arquivos.

Evan Anderson
fonte
As somas de verificação md5 (ou melhor, SHA) provavelmente seriam consideradas prova concreta (chance de uma colisão suficientemente pequena que, se as somas de verificação corresponderem a uma certeza virtual, os arquivos serão idênticos).
voretaq7
Se as somas de verificação não corresponderem, diff (ou bsdiff, se estamos falando de binários) é o próximo passo. Se as alterações forem triviais (espaço em branco, comentários, nomes de variáveis), pode-se "razoavelmente assumir" que o código foi copiado e alterado para ofuscar o roubo.
precisa saber é o seguinte
2
Ser capaz de provar a origem dos dois arquivos que estão sendo comparados é a questão principal. - Ótima resposta.
Pierre-Luc Simard
2
Eu concordo com tudo o que Evan disse. Parece que o seu funcionário caiu nessa, fornecendo uma cópia de tudo o que foi supostamente tirado. Você também precisa provar o que estava no seu servidor antes de receber os dados - eu recomendo que um terceiro assine e verifique.
21810 MikeyB em 01/02
5

Normalmente, seu advogado já deve ter muito disso sob controle.

Para provar que os arquivos são iguais, o md5 deve ser usado. Mais do que isso, você precisa provar a cadeia de custódia usando trilhas auditáveis. Se alguém tiver os arquivos sob sua custódia, será difícil provar no tribunal que as evidências não foram 'plantadas'.

Existem empresas de evidências eletrônicas e forenses que lidam especificamente com esse problema. Dependendo da gravidade da sua empresa nesse caso, você precisa contratar um advogado com conhecimento nessa área e encaminhá-lo para uma empresa que pode ajudá-lo nesse processo.

Dave Drager
fonte
2

Uma pergunta importante é como você registra o acesso aos arquivos da sua empresa e como gerencia o controle de versão dos arquivos da sua empresa.

Quanto aos arquivos em si, você deseja usar uma ferramenta como diff em vez de uma ferramenta como md5 porque deseja demonstrar que os arquivos são os "mesmos", exceto que um possui um aviso de direitos autorais no início e o outro possui um código diferente. aviso de direitos autorais no início do arquivo.

Idealmente, você pode demonstrar exatamente de onde os arquivos em questão vieram, e quando eles teriam sido copiados do seu ambiente, e quem tinha acesso a esses arquivos na época e quem fez cópias deles.

chris
fonte
2

a) Sim, tenho experiência com isso.

b) As respostas acima sobre o uso de hashes respondem apenas à pergunta que você fez no título deste tópico, não no corpo. Para provar que você os tinha antes de obter o CD-ROM, será necessário fornecer registros de quando eles foram tocados pela última vez, algo que você provavelmente não possui porque esse tipo de informação raramente é mantido.

c) Dito isto, sua empresa provavelmente mantém backups, e esses backups têm datas neles, e esses backups podem ter arquivos seletivamente restaurados para correspondência. Se sua empresa possui uma política de backup por escrito e os backups mantidos correspondem à política, isso facilitará muito a convencer alguém de que você não falsificou os backups. Se você não possui uma política, mas os backups estão claramente marcados, isso pode ser suficiente (embora o advogado do outro lado questione isso no wazoo).

d) Se a sua empresa não mantinha backups, e tudo o que você tem são as capturas de tela descritas, esqueça. Você terá muita dificuldade em convencer alguém de que está no controle de seus dados o suficiente para "provar" que você tinha esses arquivos primeiro.

Paul Hoffman
fonte
1

diff é o que eu usaria, acho que você está no caminho certo.

Chopper3
fonte
0

Eu estava pensando MD5sum, e comparar somas de verificação. Mas qualquer pequena diferença poderia perturbar as somas de verificação.

Você também deve ter backups em fita ou em algum lugar para provar que os tinha antes da hora do XYZ, pois qualquer um poderia argumentar que você salvou os arquivos do CD no servidor (as datas de criação podem ser alteradas com alguma inteligência das configurações do relógio de ponto, as fotos podem ser photoshopped, etc.)

Você realmente precisa encontrar uma maneira de estabelecer, por meio de backups ou alguma outra prova, que você teve os arquivos primeiro, pois, por algum motivo, forneceram os arquivos necessários que poderiam ter sido usados ​​para fabricar sua história de maneira conveniente (por que eles fizeram aquele??)

Você precisa descobrir com seu advogado, alguém que conhece a tecnologia, o que exatamente é necessário e talvez conversar com pessoas de segurança especializadas em análise forense digital.

O fato é que, a menos que alguém aqui seja advogado, tudo o que podemos dizer é como comparar esses arquivos (md5sum) e que talvez sua melhor defesa seja backups de mídia antigos para estabelecer que você tinha os arquivos antes de obter o CD e, esperançosamente, antes que o XYZ saísse com seus dados (enviou alguns dos arquivos por e-mail para que você tenha carimbos de data e hora? Ainda em dados arquivados?)

Bart Silverstrim
fonte