Frage Wie kann ich nachweisen, dass zwei Dateien rechtlich identisch sind?


Wir hatten jemanden, der einige Dateien stiehlt, bevor er aufhörte, und es kam schließlich zu einer Klage. Ich wurde nun mit einer CD von Dateien versorgt und ich muss "beweisen", dass es sich um unsere Dateien handelt, indem wir sie mit unseren Dateien von unserem eigenen Dateiserver abgleichen.

Ich weiß nicht, ob das nur für unseren Anwalt oder für ein Gericht oder beides ist. Ich erkenne auch, dass ich keine unparteiische dritte Partei bin.

Bei dem Gedanken, diese Dateien von unseren Servern zu "beweisen", stellten wir fest, dass ich auch beweisen muss, dass wir die Dateien hatten, bevor wir die CD erhalten haben. Mein Chef hat Screenshots unserer Explorer-Fenster der fraglichen Dateien mit den Erstellungs- und Dateinamen gemacht und sie unserem Anwalt am Tag vor dem Erhalt der CD gezeigt und per E-Mail geschickt. Ich hätte gerne md5sums bereitgestellt, aber ich war an diesem Teil des Prozesses nicht beteiligt.

Meine ersten Gedanken waren, das Unix-Diff-Programm zu verwenden und Konsolen-Shell-Ausgaben zu geben. Ich dachte auch, ich könnte es mit den MD5-Summen unserer Dateien und ihrer Dateien verbinden. Beides kann leicht gefälscht werden.

Ich weiß nicht, was ich eigentlich liefern sollte, und bin dann wieder ratlos, wie ich einen nachvollziehbaren Weg schaffen kann, um meine Ergebnisse zu reproduzieren. Wenn es also von einer dritten Partei bewiesen werden muss, kann es sein.

Hat jemand damit Erfahrung?

Fakten über den Fall:

  1. Die Dateien stammen von einem Windows 2003-Dateiserver
  2. Der Vorfall hat vor über einem Jahr stattgefunden und die Dateien wurden seit dem Vorfall nicht verändert.

24
2018-02-01 16:48


Ursprung


Aus welchem ​​Betriebssystem stammen diese Dateien? - Jim B
Windows 2003 Server - Ich habe den Beitrag aktualisiert - reconbot
Um zu beweisen, dass Sie die Dateien zum Zeitpunkt der Erstellung hatten, könnten Sie in Erwägung ziehen, Sicherungsbänder (oder eine andere von Ihnen verwendete Methode) mit diesen Dateien einzureichen. - John Gardeniers


Antworten:


Die technischen Probleme sind ziemlich einfach. Die Verwendung einer Kombination aus SHA- und MD5-Hashes ist in der Forensik-Industrie ziemlich typisch.

Wenn Sie über Textdateien sprechen, die möglicherweise geändert wurden - zum Beispiel Quellcodedateien usw., dann wäre das Ausführen einer Art von strukturiertem "diff" ziemlich üblich. Ich kann keine Fälle anführen, aber es gibt definitiv einen Präzedenzfall da draußen: die "gestohlene" Datei ist eine abgeleitete Arbeit des "Originals".

Chain-of-Custody-Probleme sind ein MENGE mehr eine Sorge für Sie, als zu beweisen, dass die Dateien übereinstimmen. Ich würde mit Ihrem Anwalt darüber sprechen, wonach sie suchen, und würde in Betracht ziehen, mit einem Anwalt in Kontakt zu treten, der mit dieser Art von Rechtsstreitigkeiten oder Computerforensikprofessoren vertraut ist, und sich beraten lassen, wie Sie am besten vorgehen können. t blase deinen Fall.

Wenn Sie tatsächlich eine Kopie der Dateien erhalten haben, hoffe ich, dass Sie eine gute Arbeit geleistet haben, um eine Produktkette aufrechtzuerhalten. Wenn ich der gegnerische Anwalt wäre, würde ich behaupten, dass Sie die CD erhalten und als Quelle für die "originalen" Dateien verwendet haben, die "gestohlen" wurden. Ich hätte diese CD mit "kopierten" Dateien weit, weit weg von den "Originalen" behalten und eine unabhängige Partei "Diffs" der Dateien durchführen lassen.


22
2018-02-01 16:59



MD5-Prüfsummen (oder besser: SHA-Prüfsummen) würden wahrscheinlich als konkreter Beweis betrachtet (die Wahrscheinlichkeit einer Kollision ist klein genug, dass die Dateien identisch sind, wenn die Prüfsummen übereinstimmen). - voretaq7
Wenn die Prüfsummen nicht übereinstimmen, ist diff (oder bsdiff, wenn wir über Binärdateien sprechen) der nächste Schritt. Wenn die Änderungen trivial sind (Leerzeichen, Kommentare, Variablennamen), könnte "vernünftigerweise angenommen" werden, dass der Code kopiert und geändert wurde, um den Diebstahl zu verschleiern. - voretaq7
Es ist das Hauptproblem, dass die Herkunft der beiden verglichenen Dateien nachgewiesen werden kann. - Gute Antwort. - Pierre-Luc Simard
Ich stimme allem zu, was Evan sagte. Hört sich an, als wäre dein Laie auf diesen Fall gestürzt, indem er dir eine Kopie von allem geliefert hat, was angeblich gestohlen wurde. Sie müssen auch in der Lage sein zu beweisen, was an war Ihre Server, bevor Sie die Daten erhalten haben - ich würde eine dritte Partei zum Signieren und Verifizieren empfehlen. - MikeyB


In der Regel sollte Ihr Anwalt dies bereits unter Kontrolle haben.

Um zu beweisen, dass die Dateien identisch sind, sollte md5 verwendet werden. Aber mehr noch, Sie müssen die Chain of Custody mit auditierbaren Trails nachweisen. Wenn jemand anderes die Akten in ihrer Obhut hatte, wird es Ihnen schwerfallen, vor Gericht zu beweisen, dass die Beweise nicht "gepflanzt" wurden.

Es gibt elektronische Beweis- und Forensikfirmen, die sich speziell mit diesem Thema befassen. Je nachdem, wie ernst Ihr Unternehmen in diesem Fall ist, müssen Sie einen Anwalt einstellen, der über Kenntnisse in diesem Bereich verfügt und Sie an eine Firma verweisen kann, die Ihnen dabei behilflich sein kann.


5
2018-02-01 17:04





Eine wichtige Frage ist, wie Sie den Zugriff auf die Dateien Ihres Unternehmens protokollieren und wie Sie die Versionskontrolle über die Dateien Ihres Unternehmens verwalten.

Was die Dateien selbst betrifft, so wollen Sie ein Werkzeug wie diff anstelle eines Werkzeugs wie md5 verwenden, weil Sie zeigen wollen, dass die Dateien "gleich" sind, mit der Ausnahme, dass am Anfang ein Copyright-Hinweis steht und der andere einen anderen Copyright-Hinweis am Anfang der Datei.

Im Idealfall können Sie genau angeben, woher die betreffenden Dateien stammen und wann sie aus Ihrer Umgebung kopiert wurden und wer zu diesem Zeitpunkt Zugriff auf diese Dateien hatte und wer Kopien davon erstellt hat.


2
2018-02-01 17:07





a) Ja, ich habe Erfahrung damit.

b) Die obigen Antworten zur Verwendung von Hashes beantworten nur die Frage, die Sie im Titel dieses Threads gestellt haben, nicht im Körper. Um zu beweisen, dass Sie sie hatten, bevor Sie die CD-ROM erhalten haben, müssen Sie Protokolle beilegen, wenn sie das letzte Mal berührt wurden, etwas, das Sie wahrscheinlich nicht haben, weil diese Art von Informationen selten aufbewahrt wird.

c) Nachdem das gesagt wurde, speichert Ihr Unternehmen wahrscheinlich Backups, und diese Backups haben Daten auf ihnen, und diese Backups können Dateien haben, die selektiv von ihnen zum Abgleich wiederhergestellt werden. Wenn Ihr Unternehmen eine schriftliche Backup-Richtlinie hat und die von Ihnen aufbewahrten Backups der Richtlinie entsprechen, wird es viel einfacher, jemanden davon zu überzeugen, dass Sie die Backups nicht fälschen. Wenn Sie keine Police haben, aber die Backups eindeutig markiert sind, könnte das ausreichen (obwohl der Anwalt für die andere Seite dies im Wazoo in Frage stellen wird).

d) Wenn Ihr Unternehmen keine Backups erstellt hat und Sie nur die beschriebenen Screenshots haben, vergessen Sie es. Es wird Ihnen sehr schwer fallen, jemanden davon zu überzeugen, dass Sie die Kontrolle über Ihre Daten haben, um "zu beweisen", dass Sie diese Dateien zuerst hatten.


2
2018-02-02 03:34





Unterschied ist, was ich verwenden würde, ich denke, du bist auf dem richtigen Weg.


1
2018-02-01 16:51





Ich dachte MD5sum und vergleiche Prüfsummen. Aber jeder kleine Unterschied könnte die Prüfsummen stören.

Sie sollten auch Backups auf Band oder irgendwo haben, um zu beweisen, dass Sie sie vor XYZ Zeit hatten, da jeder argumentieren könnte, dass Sie die Dateien von der CD auf dem Server gespeichert haben (Erstellungsdaten könnten mit etwas Cleverness der Zeituhreinstellungen geändert werden, Bilder können sein Photoshop usw.

Sie müssen wirklich einen Weg finden, um durch Backups oder andere Beweise festzustellen, dass Sie die Dateien zuerst hatten, da sie Ihnen aus irgendeinem Grund die benötigten Dateien zur Verfügung gestellt haben, mit denen Sie Ihre Geschichte bequem erstellen können (warum haben sie das getan?) Das??)

Sie müssen von Ihrem Anwalt erfahren, wer Technologie kennt, was genau benötigt wird und vielleicht mit Sicherheitsleuten sprechen, die sich auf digitale Forensik spezialisiert haben.

Tatsache ist, dass, wenn jemand hier ein Anwalt ist, wir Ihnen nur sagen können, wie man diese Dateien vergleicht (md5sum) und dass Ihre beste Verteidigung vielleicht alte Mediensicherungen sind, um festzustellen, dass Sie die Dateien vor dem Kauf der CD und hoffentlich vor XYZ hatten mit Ihren Daten (einige der Dateien per E-Mail gesendet, so dass Sie Zeitstempel davon haben? Immer noch in archivierten Daten?)


0
2018-02-01 17:00