Làm thế nào để tôi chứng minh hai tập tin là giống nhau về mặt pháp lý?


24

Chúng tôi đã có ai đó ăn cắp một số tập tin trước khi bỏ và cuối cùng nó đã đi đến một vụ kiện. Bây giờ tôi đã được cung cấp một đĩa CD các tệp và tôi phải "chứng minh" rằng chúng là các tệp của chúng tôi bằng cách khớp chúng với các tệp của chúng tôi từ máy chủ tệp của chính chúng tôi.

Tôi không biết nếu đây chỉ là cho luật sư của chúng tôi hoặc bằng chứng cho tòa án hoặc cả hai. Tôi cũng nhận ra rằng tôi không phải là một bên thứ 3 vô tư.

Trong suy nghĩ làm thế nào để "chứng minh" các tệp này đến từ máy chủ của chúng tôi, chúng tôi nhận ra rằng tôi cũng phải chứng minh rằng chúng tôi đã có các tệp trước khi nhận đĩa cd. Sếp của tôi đã chụp ảnh màn hình các cửa sổ thám hiểm của chúng tôi về các tệp được đề cập với ngày tạo và tên tệp hiển thị và gửi email cho luật sư của chúng tôi vào ngày trước khi chúng tôi nhận được đĩa cd. Tôi muốn cung cấp md5sums nhưng tôi không tham gia vào quá trình đó.

Suy nghĩ đầu tiên của tôi là sử dụng chương trình unix diff và cung cấp đầu ra shell console. Tôi cũng nghĩ rằng tôi có thể ghép nó với số tiền md5 của cả tệp của chúng tôi và tệp của chúng. Cả hai thứ này có thể dễ dàng bị làm giả.

Tôi đang bị mất những gì tôi thực sự nên cung cấp và sau đó lại mất một cách thiếu sót về cách cung cấp một dấu vết có thể kiểm tra được để tái tạo những phát hiện của tôi, vì vậy nếu nó cần phải được chứng minh bởi bên thứ 3 thì có thể.

Có ai có bất cứ kinh nghiệm với điều này?

Sự thật về vụ án:

  1. Các tệp đến từ máy chủ tệp Windows 2003
  2. Vụ việc đã xảy ra cách đây hơn một năm và các tập tin chưa được sửa đổi kể từ trước khi vụ việc xảy ra.

Những hệ điều hành đã làm những tập tin này đến từ đâu?
Jim B

máy chủ windows 2003 - Tôi đã cập nhật bài đăng
recbot

3
Để chứng minh rằng bạn có các tệp tại thời điểm chúng được lấy, bạn có thể xem xét việc gửi các băng dự phòng (hoặc bất kỳ phương pháp nào khác mà bạn sử dụng) có chứa các tệp đó.
John Gardeniers

Câu trả lời:


22

Các vấn đề kỹ thuật là khá đơn giản. Sử dụng kết hợp băm SHA và MD5 là khá điển hình trong ngành pháp y.

Nếu bạn đang nói về các tệp văn bản có thể đã bị sửa đổi - giả sử các tệp mã nguồn, v.v., thì việc thực hiện một số loại "diff" có cấu trúc sẽ khá phổ biến. Tôi không thể trích dẫn các trường hợp, nhưng chắc chắn đã có tiền lệ: tập tin "bị đánh cắp" là một tác phẩm phái sinh của "bản gốc".

Chain-of-giam vấn đề này là một LOT hơn một lo lắng cho bạn hơn chứng minh rằng các tập tin phù hợp. Tôi đã nói chuyện với luật sư của bạn về những gì họ đang tìm kiếm và sẽ cân nhắc mạnh mẽ việc liên lạc với một luật sư có kinh nghiệm về loại tranh tụng hoặc pháp y máy tính này và nhận lời khuyên của họ về cách tốt nhất để tiếp tục để bạn không ' T thổi trường hợp của bạn.

Nếu bạn thực sự nhận được một bản sao của các tập tin, tôi hy vọng bạn đã làm tốt việc duy trì một chuỗi hành trình. Nếu tôi là cố vấn đối lập, tôi cho rằng bạn đã nhận được CD và sử dụng nó làm tài liệu nguồn để tạo ra các tệp "gốc" bị "đánh cắp". Tôi đã giữ đĩa CD của các tệp "sao chép" ở rất xa so với "bản gốc" và có một bên độc lập thực hiện "khác biệt" các tệp.


Tổng kiểm tra md5 (hoặc tốt hơn, SHA) có thể sẽ được coi là bằng chứng cụ thể (khả năng xảy ra va chạm đủ nhỏ nếu tổng kiểm tra khớp với nhau thì đó là một sự chắc chắn ảo, các tệp giống hệt nhau).
voretaq7

Nếu tổng kiểm tra không khớp, diff (hoặc bsdiff nếu chúng ta đang nói về nhị phân) là bước tiếp theo. Nếu các thay đổi là không đáng kể (khoảng trắng, bình luận, tên biến) thì có thể "giả định hợp lý" rằng mã đã được sao chép và thay đổi để che giấu hành vi trộm cắp.
voretaq7

2
Có thể chứng minh nguồn gốc của cả hai tập tin được so sánh là vấn đề chính. - Câu trả lời chính xác.
Pierre-Luc Simard

2
/ đồng ý với mọi thứ Evan nói. Âm thanh như laywer của bạn rơi xuống cái này bằng cách cung cấp cho bạn một bản sao của tất cả mọi thứ được cho là đã chụp. Bạn cũng cần có khả năng chứng minh những gì trên máy chủ của mình trước khi bạn nhận được dữ liệu - Tôi đề nghị bên thứ ba ký và xác minh.
MikeyB

5

Thông thường, luật sư của bạn đã có rất nhiều điều này trong tầm kiểm soát.

Để chứng minh các tập tin là như nhau, nên sử dụng md5. Nhưng thậm chí nhiều hơn thế, bạn cần chứng minh chuỗi quyền nuôi con bằng cách sử dụng những con đường có thể kiểm toán được. Nếu ai đó đã có các tài liệu bị giam giữ, thì bạn sẽ khó có thể chứng minh trước tòa rằng bằng chứng không được 'trồng'.

Có bằng chứng điện tử và các công ty pháp y giải quyết cụ thể vấn đề này. Tùy thuộc vào mức độ nghiêm trọng của công ty bạn trong trường hợp này, bạn cần thuê một luật sư có kiến ​​thức trong lĩnh vực này và có thể giới thiệu bạn đến một công ty có thể hỗ trợ bạn trong quá trình này.


2

Một câu hỏi quan trọng là cách bạn đăng nhập quyền truy cập vào các tệp của công ty và cách bạn quản lý kiểm soát phiên bản đối với các tệp của công ty bạn.

Theo như các tệp, bạn muốn sử dụng một công cụ như diff chứ không phải là một công cụ như md5 vì bạn muốn chứng minh rằng các tệp là "giống nhau" ngoại trừ việc một có một thông báo bản quyền khi bắt đầu và cái kia có khác thông báo bản quyền khi bắt đầu tập tin.

Lý tưởng nhất là bạn có thể chứng minh chính xác các tệp được đề cập đến từ đâu và khi nào chúng sẽ được sao chép từ môi trường của bạn và ai có quyền truy cập vào các tệp đó vào thời điểm đó và ai đã tạo ra các bản sao của chúng.


2

a) Vâng, tôi có kinh nghiệm với điều này.

b) Các câu trả lời ở trên về việc sử dụng băm chỉ trả lời câu hỏi bạn đã hỏi trong tiêu đề của chủ đề này, không phải trong cơ thể. Để chứng minh bạn đã có chúng trước khi bạn nhận được CD-ROM, bạn sẽ cần cung cấp nhật ký khi chúng được chạm lần cuối, thứ mà bạn có thể không có vì loại thông tin này hiếm khi được lưu giữ.

c) Đã nói rằng, công ty của bạn có thể giữ các bản sao lưu và các bản sao lưu đó có ngày trên đó và các bản sao lưu đó có thể có các tệp được khôi phục có chọn lọc từ chúng để phù hợp. Nếu công ty của bạn có chính sách sao lưu bằng văn bản và các bản sao lưu bạn giữ phù hợp với chính sách đó, điều này sẽ giúp thuyết phục ai đó rằng bạn không giả mạo bản sao lưu dễ dàng hơn nhiều. Nếu bạn không có chính sách nhưng các bản sao lưu được đánh dấu rõ ràng, điều đó có thể là đủ (mặc dù luật sư ở phía bên kia sẽ đặt câu hỏi này lên wazoo).

d) Nếu công ty của bạn không giữ bản sao lưu và tất cả những gì bạn có là ảnh chụp màn hình được mô tả, hãy quên nó đi. Bạn sẽ có một thời gian rất khó thuyết phục bất cứ ai rằng bạn kiểm soát dữ liệu của mình đủ tốt để "chứng minh" rằng bạn đã có những tệp đó trước tiên.


1

khác biệt là những gì tôi sử dụng, tôi nghĩ rằng bạn đang đi đúng hướng.


0

Tôi đã suy nghĩ MD5sum và so sánh tổng kiểm tra. Nhưng bất kỳ sự khác biệt nhỏ có thể làm đảo lộn tổng kiểm tra.

Bạn cũng nên có các bản sao lưu trên băng hoặc một nơi nào đó để chứng minh rằng bạn đã có chúng trước thời gian XYZ, vì bất kỳ ai cũng có thể lập luận rằng bạn đã lưu các tệp khỏi CD vào máy chủ (ngày tạo có thể được thay đổi với một số thông minh về cài đặt đồng hồ thời gian, hình ảnh có thể được đã photoshop, v.v.)

Bạn thực sự cần tìm cách thiết lập, cho dù thông qua các bản sao lưu hoặc một số bằng chứng khác, rằng bạn đã có các tệp trước, vì chúng vì lý do nào đó đã cung cấp cho bạn các tệp cần thiết có thể được sử dụng để tạo ra câu chuyện của bạn một cách thuận tiện (tại sao chúng lại làm như vậy cái đó??)

Bạn cần tìm hiểu từ luật sư của bạn, một người biết công nghệ, chính xác những gì cần thiết và có lẽ nói chuyện với những người bảo mật chuyên về pháp y kỹ thuật số.

Thực tế là trừ khi ai đó ở đây là luật sư, tất cả những gì chúng tôi có thể nói với bạn là làm thế nào để so sánh các tệp đó (md5sum) và có lẽ biện pháp bảo vệ tốt nhất của bạn là sao lưu phương tiện cũ để thiết lập bạn có các tệp trước khi lấy CD và hy vọng trước khi XYZ rời đi với dữ liệu của bạn (gửi qua email một số tệp để bạn có dấu thời gian từ đó? Vẫn còn trong dữ liệu lưu trữ?)

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.