Alguém tinha roubado alguns arquivos antes de sair e, finalmente, tudo se resumiu a um processo. Agora recebi um CD de arquivos e tenho que "provar" que eles são nossos arquivos, combinando-os com nossos arquivos de nosso próprio servidor de arquivos.
Não sei se isso é apenas para o nosso advogado ou evidência para o tribunal ou ambos. Também percebo que não sou um terceiro imparcial.
Ao pensar em como "provar" esses arquivos vieram de nossos servidores, percebemos que eu também tinha que provar que tínhamos os arquivos antes de receber o CD. Meu chefe tirou capturas de tela das janelas do explorador dos arquivos em questão, com datas de criação e nomes de arquivos aparecendo e os enviou por e-mail ao nosso advogado no dia anterior ao recebimento do CD. Eu gostaria de ter fornecido o md5sums, mas não estava envolvido nessa parte do processo.
Meus primeiros pensamentos foram usar o programa diff unix e fornecer a saída do shell do console. Eu também pensei que poderia combiná-lo com as somas md5 de nossos arquivos e de seus arquivos. Ambos podem ser facilmente falsificados.
Estou perdendo o que realmente deveria fornecer e, novamente, perdendo a forma de fornecer uma trilha auditável para reproduzir minhas descobertas; portanto, se precisar ser provado por terceiros, pode ser.
Alguém tem alguma experiência com isto?
Fatos sobre o caso:
- Os arquivos vieram de um servidor de arquivos do Windows 2003
- O incidente aconteceu há mais de um ano e os arquivos não foram modificados desde antes do incidente.
Respostas:
As questões técnicas são bem diretas. O uso de uma combinação de hashes SHA e MD5 é bastante típico na indústria forense.
Se você está falando sobre arquivos de texto que podem ter sido modificados - digamos, arquivos de código-fonte etc., executar algum tipo de "diff" estruturado seria bastante comum. Não posso citar casos, mas definitivamente há precedentes por aí: o arquivo "roubado" é um trabalho derivado do "original".
Problemas de cadeia de custódia são muito mais preocupantes para você do que provar que os arquivos correspondem. Eu conversaria com seu advogado sobre o que eles estão procurando e consideraria fortemente entrar em contato com um advogado experiente com esse tipo de litígio ou profissional forense em informática e obteria seus conselhos sobre a melhor maneira de prosseguir para que você não Não estrague o seu caso.
Se você realmente recebeu uma cópia dos arquivos, espero que tenha feito um bom trabalho em manter uma cadeia de custódia. Se eu fosse o advogado da oposição, argumentaria que você recebeu o CD e o usou como material de origem para produzir os arquivos "originais" que foram "roubados". Eu teria mantido esse CD de arquivos "copiados" longe, muito longe dos "originais" e mandado uma parte independente executar "diffs" dos arquivos.
fonte
Normalmente, seu advogado já deve ter muito disso sob controle.
Para provar que os arquivos são iguais, o md5 deve ser usado. Mais do que isso, você precisa provar a cadeia de custódia usando trilhas auditáveis. Se alguém tiver os arquivos sob sua custódia, será difícil provar no tribunal que as evidências não foram 'plantadas'.
Existem empresas de evidências eletrônicas e forenses que lidam especificamente com esse problema. Dependendo da gravidade da sua empresa nesse caso, você precisa contratar um advogado com conhecimento nessa área e encaminhá-lo para uma empresa que pode ajudá-lo nesse processo.
fonte
Uma pergunta importante é como você registra o acesso aos arquivos da sua empresa e como gerencia o controle de versão dos arquivos da sua empresa.
Quanto aos arquivos em si, você deseja usar uma ferramenta como diff em vez de uma ferramenta como md5 porque deseja demonstrar que os arquivos são os "mesmos", exceto que um possui um aviso de direitos autorais no início e o outro possui um código diferente. aviso de direitos autorais no início do arquivo.
Idealmente, você pode demonstrar exatamente de onde os arquivos em questão vieram, e quando eles teriam sido copiados do seu ambiente, e quem tinha acesso a esses arquivos na época e quem fez cópias deles.
fonte
a) Sim, tenho experiência com isso.
b) As respostas acima sobre o uso de hashes respondem apenas à pergunta que você fez no título deste tópico, não no corpo. Para provar que você os tinha antes de obter o CD-ROM, será necessário fornecer registros de quando eles foram tocados pela última vez, algo que você provavelmente não possui porque esse tipo de informação raramente é mantido.
c) Dito isto, sua empresa provavelmente mantém backups, e esses backups têm datas neles, e esses backups podem ter arquivos seletivamente restaurados para correspondência. Se sua empresa possui uma política de backup por escrito e os backups mantidos correspondem à política, isso facilitará muito a convencer alguém de que você não falsificou os backups. Se você não possui uma política, mas os backups estão claramente marcados, isso pode ser suficiente (embora o advogado do outro lado questione isso no wazoo).
d) Se a sua empresa não mantinha backups, e tudo o que você tem são as capturas de tela descritas, esqueça. Você terá muita dificuldade em convencer alguém de que está no controle de seus dados o suficiente para "provar" que você tinha esses arquivos primeiro.
fonte
diff é o que eu usaria, acho que você está no caminho certo.
fonte
Eu estava pensando MD5sum, e comparar somas de verificação. Mas qualquer pequena diferença poderia perturbar as somas de verificação.
Você também deve ter backups em fita ou em algum lugar para provar que os tinha antes da hora do XYZ, pois qualquer um poderia argumentar que você salvou os arquivos do CD no servidor (as datas de criação podem ser alteradas com alguma inteligência das configurações do relógio de ponto, as fotos podem ser photoshopped, etc.)
Você realmente precisa encontrar uma maneira de estabelecer, por meio de backups ou alguma outra prova, que você teve os arquivos primeiro, pois, por algum motivo, forneceram os arquivos necessários que poderiam ter sido usados para fabricar sua história de maneira conveniente (por que eles fizeram aquele??)
Você precisa descobrir com seu advogado, alguém que conhece a tecnologia, o que exatamente é necessário e talvez conversar com pessoas de segurança especializadas em análise forense digital.
O fato é que, a menos que alguém aqui seja advogado, tudo o que podemos dizer é como comparar esses arquivos (md5sum) e que talvez sua melhor defesa seja backups de mídia antigos para estabelecer que você tinha os arquivos antes de obter o CD e, esperançosamente, antes que o XYZ saísse com seus dados (enviou alguns dos arquivos por e-mail para que você tenha carimbos de data e hora? Ainda em dados arquivados?)
fonte