2つのファイルが法的に同じであることを証明するにはどうすればよいですか?

24

誰かが辞める前にいくつかのファイルを盗みましたが、最終的に訴訟になりました。ファイルのCDが提供されたので、自分のファイルサーバーのファイルと一致させることで、それらがファイルであることを「証明」する必要があります。

これが私たちの弁護士のためのものなのか、裁判所の証拠なのか、あるいはその両方なのかはわかりません。また、私は公平な第三者ではないことも認識しています。

これらのファイルをサーバーから「証明」する方法を考えると、CDを受け取る前にファイルがあることを証明する必要があることに気付きました。私の上司は、問題のファイルのエクスプローラーウィンドウのスクリーンショットを作成日とファイル名とともに表示し、CDを受け取る前日に弁護士にメールで送りました。md5sumsを提供したかったのですが、プロセスのその部分には関与していませんでした。

私の最初の考えは、unix diffプログラムを使用して、コンソールシェル出力を提供することでした。また、ファイルとそのファイルの両方のmd5合計と結合できると考えました。これらは両方とも簡単に偽装できます。

私が実際に提供するべきものを失い、それから私の調査結果を再現するために監査可能な証跡を提供する方法で再び失われています。

誰もこれを経験したことがありますか?

事件に関する事実:

  1. ファイルはWindows 2003ファイルサーバーから取得されました
  2. インシデントは1年以上前に発生し、ファイルはインシデントの前から変更されていません。
windows  files  diff 
偵察
ソース
これらのファイルはどのOSからのものですか?
ジムB
Windows 2003サーバー-投稿を更新しました
-reconbot
3
ファイルが取得された時点でファイルがあったことを証明するために、それらのファイルを含むバックアップテープ(または使用する他の方法)を提出することを検討できます。
ジョンガーデニアス

回答:

22

技術的な問題は非常に簡単です。フォレンジック業界では、SHAハッシュとMD5ハッシュの組み合わせを使用するのが非常に一般的です。

修正された可能性のあるテキストファイル(ソースコードファイルなど)について話している場合、何らかの構造化された "diff"を実行することは非常に一般的です。私は事件を引用することはできませんが、間違いなく先例があります。「盗まれた」ファイルは「オリジナル」の派生作品です。

チェーン・オブ・親権の問題があるLOTファイルが一致していることを証明するよりも、あなたに多くの心配の。私はあなたの弁護士に彼らが探しているものについて話し、この種の訴訟またはコンピューター法医学の専門家に経験した弁護士と連絡を取ることを強く検討し、あなたがそうしないための最善の方法についてアドバイスを得るでしょう」あなたのケースを爆破します。

あなたが実際にファイルのコピーを受け取ったなら、私はあなたが管理の連鎖を維持する良い仕事をしたことを望みます。もし私が反対の弁護士であったなら、あなたはCDを受け取り、それを「盗まれた」「オリジナル」ファイルを作成するためのソース資料として使用したと主張します。「コピーされた」ファイルのCDを「オリジナル」から遠く離れた場所に保管し、独立した関係者にファイルの「差分」を実行させました。

エヴァン・アンダーソン
ソース
md5(またはより良い、SHA)チェックサムは、具体的な証拠と見なされる可能性があります(チェックサムが一致する場合、ファイルが同一であることを確認するための衝突の可能性は十分に小さい)
voretaq7
チェックサムが一致しない場合、次のステップはdiff(またはバイナリについて話している場合はbsdiff)です。変更が些細なもの(空白、コメント、変数名)である場合、盗難を難読化するためにコードがコピーおよび変更されたと「合理的に想定される」可能性があります。
voretaq7
2
比較される両方のファイルの出所を証明できることが重要な問題です。-すばらしい答え。
ピエールリュックシマール
2
/エヴァンが言ったことすべてに同意する。申し立てられたすべてのもののコピーを提供することにより、あなたのレイワーがこれに倒れたように聞こえます。また、データを受信する前にサーバー上にあるものを証明できるようにする必要があります。署名して検証するために第三者をお勧めします。
MikeyB
5

通常、あなたの弁護士はすでにこの多くを管理しているはずです。

ファイルが同じであることを証明するには、md5を使用する必要があります。しかし、それ以上に、監査可能な証跡を使用して管理の連鎖を証明する必要があります。他の人がファイルを保管している場合、証拠が「植え付けられていない」ことを法廷で証明するのに苦労します。

この問題に特に対処する電子証拠と法医学の会社があります。あなたの会社がこの件に関してどれだけ深刻かによって、この分野の知識を持ち、このプロセスを通じてあなたを支援できる会社に紹介できる弁護士を雇う必要があります。

デイブドラッガー
ソース
2

重要な質問は、会社のファイルへのアクセスをログに記録する方法と、会社のファイルのバージョン管理を管理する方法です。

ファイル自体に関しては、md5のようなツールではなくdiffのようなツールを使用する必要があります。これは、ファイルの冒頭に1つの著作権表示があり、他のファイルにファイルの先頭にある著作権表示。

理想的には、問題のファイルがどこから来たのか、いつ環境からコピーされたのか、それらのファイルに誰がアクセスしたのか、誰がそれらのコピーを作成したのかを正確に示すことができます。

クリス
ソース
2

a)はい、私はこれを経験しています。

b)ハッシュの使用に関する上記の答えは、本文ではなく、このスレッドのタイトルで尋ねた質問にのみ答えます。CD-ROMを入手する前に持っていたことを証明するには、最後に触れたときのログを提供する必要があります。

c)そうは言っても、おそらくあなたの会社はバックアップを保持しており、それらのバックアップには日付があり、それらのバックアップには一致するファイルを選択的に復元できます。会社に書面によるバックアップポリシーがあり、保持したバックアップがポリシーに一致している場合、これにより、バックアップを偽造していないことをだれかに納得させやすくなります。ポリシーがなくてもバックアップに明確なマークが付けられている場合は、それで十分かもしれません(ただし、反対側の弁護士はこれについて疑問を呈します)。

d)会社がバックアップを保持しておらず、説明されているスクリーンショットだけを持っている場合は、忘れてください。あなたは、あなたが自分のデータを十分に管理していることをだれかに納得させるのに非常に苦労します。

ポール・ホフマン
ソース
1

diffは私が使用するもので、あなたは正しい軌道に乗っていると思います。

チョッパー3
ソース
0

私はMD5sumを考えていて、チェックサムを比較しました。しかし、少しでも違いがあると、チェックサムが混乱する可能性があります。

また、CDからサーバーにファイルを保存したことを誰もが主張できるので、テープまたはどこかにXYZ時間前にそれらを持っていることを証明するためのバックアップを作成する必要がありますフォトショップなど)

何らかの理由でストーリーを便利に作成するために使用できる必要なファイルが提供されたため、バックアップまたは他の証拠を通して、最初にファイルがあったことを確立する方法を見つける必要がありますそれ??)

あなたはあなたの弁護士から、技術、正確に何が必要かを知り、おそらくデジタルフォレンジックを専門とするセキュリティ担当者に相談する必要があります。

事実は、ここの誰かが弁護士でない限り、それらのファイルを比較する方法(md5sum)であり、おそらくあなたの最善の防御は古いメディアのバックアップであり、CDを取得する前に、できればXYZが去る前にファイルを持っていたことを確認することですあなたのデータを使って(タイムスタンプを取得するためにいくつかのファイルを電子メールで送信しましたか?まだアーカイブされたデータですか?)

バート・シルバーストリム
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.