24 votos

¿Cómo probar dos archivos son los mismos legalmente?

Había alguien robar algunos archivos antes de dejar de fumar y que finalmente ha llegado a una demanda. Ahora he sido siempre con un cd de archivos y no tener que "demostrar" que son nuestros archivos, haciendo coincidir a nuestros archivos desde nuestro propio servidor de archivos.

No sé si esto es sólo para nuestro abogado o evidencia de la corte o de ambos. También me doy cuenta de que yo no soy imparcial de 3 ª parte.

Pensando en la manera de "demostrar" estos archivos vino desde nuestros servidores nos dimos cuenta de que también tengo que probar que tenía los archivos antes de recibir el cd. Mi jefe tomó capturas de pantalla de nuestro explorador de windows de los archivos en cuestión con la creación de las fechas y los nombres de archivo que muestra y enviado por correo electrónico a nuestro abogado el día antes de recibir el cd. Me hubiera gustado haber proporcionado las sumas md5 pero yo no estaba involucrado en esa parte del proceso.

Mis primeros pensamientos fueron el uso de unix programa diff y dar consola de shell de salida. Yo también pensé que podría pareja con las sumas md5 de nuestros archivos y sus archivos. Ambos pueden ser fácilmente falsificado.

Estoy en una pérdida de lo que realmente debería proporcionar y, a continuación, de nuevo en una pérdida sobre cómo proporcionar un rastro auditable para reproducir mis conclusiones, de modo que si éste no necesita ser demostrado por una 3 ª parte que puede ser.

¿Alguien tiene alguna experiencia con esto?

Hechos sobre el caso:

  1. Los archivos de vino de Un Windows 2003 de servidor de archivos
  2. El incidente pasado hace más de un año y los archivos no se han modificado desde antes del incidente.

22voto

Evan Anderson Puntos 118832

Las cuestiones técnicas son bastante sencillos. El uso de una combinación de SHA y MD5 hash es bastante típico en el análisis forense de la industria.

Si estamos hablando de los archivos de texto que pueden haber sido modificados-- dicen los archivos de código fuente, etc, a continuación, realizar algún tipo de estructurado "diff" que iba a ser bastante común. Yo no puedo citar los casos, pero definitivamente hay precedente ahí re: el "robo" del archivo que está siendo un trabajo derivado de la "original".

Cadena-de-custodia de un MONTÓN más de una preocupación para usted de demostrar que los archivos partido. Me gustaría hablar con su abogado acerca de lo que están buscando, y consideren seriamente la posibilidad de entrar en contacto con un abogado con experiencia en este tipo de litigio o de la informática forense professinal y obtener su consejo sobre la mejor manera de proceder para que no sople su caso.

Si usted realmente recibió una copia de los archivos espero que usted hizo un buen trabajo de mantener una cadena de custodia. Si yo fuera el abogado contrario yo diría que ha recibido el CD y lo utilizó como fuente de material para producir el "original" de los archivos que fueron "robados". Me han mantenido que el CD de "copiar archivos" lejos, muy lejos de los "originales" y había una parte independiente de realizar "diffs" de los archivos.

5voto

Rikalous Puntos 2996

Normalmente, su abogado debe tener ya un montón de este bajo control.

Para probar los archivos son los mismos, md5 debe ser utilizado. Pero aún más que eso, usted necesita para probar la cadena de custodia mediante auditable para esquí de fondo. Si alguien ha tenido los archivos en su custodia, entonces usted tendrá un tiempo difícil probar en la corte que la evidencia no fue 'plantado'.

Hay evidencia electrónica de análisis forense y de las empresas que tratan específicamente con este problema. Dependiendo de la gravedad de su empresa es este caso, usted necesita contratar a un abogado que tenga conocimiento en esta área y se puede referir a una empresa que puede ayudar a usted a través de este proceso.

2voto

Erowlin Puntos 121

Una pregunta importante es la forma de registro de acceso a su empresa, archivos, y cómo gestionar el control de versiones sobre su empresa, los archivos.

Tan lejos como los propios archivos, usted desea utilizar una herramienta como diff más que una herramienta como md5 porque quiere demostrar que los archivos son "el mismo", excepto que tiene un aviso de derechos de autor en el inicio y el otro tiene un diferente aviso de derechos de autor en el inicio del archivo.

Lo ideal sería que usted puede demostrar exactamente la ubicación de los archivos en cuestión vino, y cuando hubieran sido copiado de su entorno, y que tenían acceso a esos archivos a la vez, y que hacía copias de ellos.

2voto

Paul Hoffman Puntos 572

a) Sí, tengo experiencia con esto.

b) Las respuestas anteriores sobre el uso de hashes de contestar la pregunta que se formula en el título de este hilo, no en el cuerpo. Para probar que había antes de que usted tiene el CD-ROM, usted tendrá que proporcionar los registros de cuando eran tocado por último, algo que usted probablemente no tiene porque este tipo de información rara vez se mantienen.

c) después de Haber dicho que su compañía probablemente no guarda las copias de seguridad las copias de seguridad tienen fechas en ellos, y esas copias de seguridad puede tener archivos de forma selectiva restaurado a partir de ellos coincidentes. Si su empresa cuenta por escrito una política de copia de seguridad, y las copias de seguridad que mantiene coincide con la política, esto hará que sea mucho más fácil convencer a alguien de que no se falsas las copias de seguridad. Si usted no tiene una política, sino que las copias de seguridad están claramente marcadas, que podría ser suficiente (aunque el abogado de la otra parte se pregunta este hasta el wazoo).

d) Si su compañía no guarde las copias de seguridad, y todo lo que tiene es el descrito capturas de pantalla, olvidarse de él. Usted tendrá un tiempo muy difícil convencer a alguien de que usted está en control de sus datos lo suficientemente bien como para "probar" que tenía los archivos primero.

1voto

Some French Guy Puntos 96

diff es lo que yo usaría, creo que estás en el camino correcto.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: