Wie beweise ich, dass zwei Dateien rechtlich identisch sind?

24

Wir hatten jemanden, der einige Dateien stahl, bevor er aufhörte, und es ist schließlich zu einer Klage gekommen. Ich habe jetzt eine CD mit Dateien erhalten und muss "beweisen", dass es sich um unsere Dateien handelt, indem ich sie von unserem eigenen Dateiserver mit unseren Dateien abgleiche.

Ich weiß nicht, ob dies nur für unseren Anwalt oder für Beweise vor Gericht oder für beides ist. Mir ist auch klar, dass ich kein unparteiischer Dritter bin.

Als wir darüber nachdachten, wie wir diese Dateien von unseren Servern "beweisen" können, stellten wir fest, dass ich auch beweisen musste, dass wir die Dateien hatten, bevor wir die CD erhielten. Mein Chef machte Screenshots unserer Explorer-Fenster der fraglichen Dateien mit Erstellungsdatum und Dateinamen und schickte sie am Tag vor Erhalt der CD per E-Mail an unseren Anwalt. Ich hätte gerne md5sums zur Verfügung gestellt, war aber nicht an diesem Teil des Prozesses beteiligt.

Meine ersten Gedanken waren die Verwendung des Unix-Diff-Programms und die Ausgabe der Konsolen-Shell. Ich dachte auch, ich könnte es mit den md5-Summen sowohl unserer Dateien als auch ihrer Dateien koppeln. Beide können leicht gefälscht werden.

Ich weiß nicht, was ich eigentlich liefern soll, und weiß auch nicht, wie ich einen nachprüfbaren Pfad zur Reproduktion meiner Ergebnisse erstellen soll. Wenn er also von einer dritten Partei bewiesen werden muss, kann es sein.

Hat jemand irgendwelche Erfahrungen damit?

Fakten zum Fall:

  1. Die Dateien stammen von einem Windows 2003-Dateiserver
  2. Der Vorfall ereignete sich vor über einem Jahr und die Dateien wurden seit dem Vorfall nicht mehr geändert.
Reconbot
quelle
Von welchem ​​Betriebssystem stammen diese Dateien?
Jim B
Windows 2003 Server - ich den Beitrag aktualisiert
reconbot
3
Um zu beweisen, dass Sie die Dateien zum Zeitpunkt der Aufnahme hatten, können Sie Sicherungsbänder (oder eine andere Methode, die Sie verwenden) einreichen, die diese Dateien enthalten.
John Gardeniers

Antworten:

22

Die technischen Probleme sind ziemlich einfach. Die Verwendung einer Kombination aus SHA- und MD5-Hashes ist in der forensischen Industrie ziemlich typisch.

Wenn es sich um Textdateien handelt, die möglicherweise geändert wurden, z. B. Quellcodedateien usw., ist die Ausführung eines strukturierten "Diff" ziemlich häufig. Ich kann keine Fälle anführen, aber es gibt definitiv einen Präzedenzfall: Die "gestohlene" Datei ist eine abgeleitete Arbeit des "Originals".

Chain-of-Custody Fragen sind ein LOT mehr eine Sorge zu Ihnen als zu beweisen , dass die Dateien anzeigen lassen. Ich würde mit Ihrem Anwalt darüber sprechen, wonach er sucht, und nachdrücklich in Erwägung ziehen, mit einem Anwalt in Kontakt zu treten, der Erfahrung mit dieser Art von Rechtsstreitigkeiten oder Computerforensik hat, und dessen Ratschläge einholen, wie Sie am besten vorgehen sollten, damit Sie nichts unternehmen. ' nicht deinen Fall sprengen.

Wenn Sie tatsächlich eine Kopie der Akten erhalten haben, hoffen wir, dass Sie eine gute Arbeit bei der Aufrechterhaltung der Aufbewahrungskette geleistet haben. Wenn ich der gegnerische Anwalt wäre, würde ich argumentieren, dass Sie die CD erhalten und als Ausgangsmaterial für die Erstellung der "gestohlenen" "Originaldateien" verwendet haben. Ich hätte diese CD mit "kopierten" Dateien weit entfernt von den "Originalen" aufbewahrt und von einer unabhängigen Partei "Diffs" der Dateien durchführen lassen.

Evan Anderson
quelle
md5-Prüfsummen (oder besser SHA-Prüfsummen) werden wahrscheinlich als konkreter Beweis angesehen (Wahrscheinlichkeit einer ausreichend kleinen Kollision, dass die Dateien identisch sind, wenn die Prüfsummen mit der virtuellen Sicherheit übereinstimmen).
voretaq7
Wenn die Prüfsummen nicht übereinstimmen, ist diff (oder bsdiff, wenn es sich um Binärdateien handelt) der nächste Schritt. Wenn die Änderungen trivial sind (Leerzeichen, Kommentare, Variablennamen), könnte man "vernünftigerweise" davon ausgehen, dass der Code kopiert und geändert wurde, um den Diebstahl zu verschleiern.
Voretaq7
2
Der Nachweis der Herkunft beider verglichenen Dateien ist das zentrale Thema. - Gute Antwort.
Pierre-Luc Simard
2
Ich stimme mit allem überein, was Evan sagte. Es hört sich so an, als ob Ihr Laie sich in diesen Fall gestürzt hat, indem er Ihnen eine Kopie von allem zur Verfügung gestellt hat, was angeblich genommen wurde. Sie müssen auch nachweisen können, was sich auf Ihrem Server befindet, bevor Sie die Daten erhalten haben. Ich würde einem Dritten empfehlen, diese zu signieren und zu überprüfen.
MikeyB
5

In der Regel sollte Ihr Anwalt bereits eine Menge davon im Griff haben.

Um zu beweisen, dass die Dateien identisch sind, sollte md5 verwendet werden. Aber darüber hinaus müssen Sie die Sorgerechtskette anhand von überprüfbaren Pfaden nachweisen. Wenn jemand anderes die Akten in seiner Obhut hat, fällt es Ihnen schwer, vor Gericht zu beweisen, dass die Beweise nicht „gepflanzt“ wurden.

Es gibt elektronische Beweismittel- und Forensikunternehmen, die sich speziell mit diesem Problem befassen. Je nachdem, wie ernst es Ihrem Unternehmen mit diesem Fall ist, müssen Sie einen Anwalt einstellen, der über Kenntnisse in diesem Bereich verfügt und Sie an eine Kanzlei verweisen kann, die Sie bei diesem Prozess unterstützen kann.

Dave Drager
quelle
2

Eine wichtige Frage ist, wie Sie den Zugriff auf die Dateien Ihres Unternehmens protokollieren und wie Sie die Versionskontrolle über die Dateien Ihres Unternehmens verwalten.

Was die Dateien selbst anbelangt, möchten Sie ein Tool wie diff anstelle eines Tools wie md5 verwenden, da Sie demonstrieren möchten, dass die Dateien "gleich" sind, mit der Ausnahme, dass einer am Anfang einen Copyright-Hinweis und der andere einen anderen hat Urheberrechtsvermerk am Anfang der Datei.

Im Idealfall können Sie genau nachweisen, woher die fraglichen Dateien stammen und wann sie aus Ihrer Umgebung kopiert wurden und wer zu diesem Zeitpunkt Zugriff auf diese Dateien hatte und wer Kopien davon erstellt hat.

chris
quelle
2

a) Ja, ich habe Erfahrung damit.

b) Die obigen Antworten zur Verwendung von Hashes beantworten nur die Frage, die Sie im Titel dieses Threads gestellt haben, nicht im Hauptteil. Um zu beweisen, dass Sie sie hatten, bevor Sie die CD-ROM erhalten haben, müssen Sie Protokolle darüber vorlegen, wann sie das letzte Mal berührt wurden. Dies ist wahrscheinlich nicht der Fall, da diese Art von Informationen nur selten aufbewahrt werden.

c) Allerdings werden in Ihrem Unternehmen wahrscheinlich Sicherungen aufbewahrt, und diese Sicherungen sind mit Datumsangaben versehen, und für diese Sicherungen können Dateien zum Abgleich selektiv wiederhergestellt werden. Wenn Ihr Unternehmen über eine schriftliche Sicherungsrichtlinie verfügt und die von Ihnen aufbewahrten Sicherungen mit der Richtlinie übereinstimmen, können Sie auf diese Weise leichter jemanden davon überzeugen, dass Sie die Sicherungen nicht gefälscht haben. Wenn Sie keine Richtlinie haben, die Backups jedoch deutlich gekennzeichnet sind, ist dies möglicherweise ausreichend (obwohl der Anwalt der anderen Seite dies im Wazoo in Frage stellt).

d) Wenn Ihr Unternehmen keine Backups erstellt hat und Sie nur die beschriebenen Screenshots haben, vergessen Sie diese. Sie werden es sehr schwer haben, jemanden davon zu überzeugen, dass Sie die Kontrolle über Ihre Daten gut genug haben, um zu "beweisen", dass Sie diese Dateien zuerst hatten.

Paul Hoffman
quelle
1

diff ist das, was ich verwenden würde, ich denke, Sie sind auf dem richtigen Weg.

Chopper3
quelle
0

Ich habe über MD5sum nachgedacht und die Prüfsummen verglichen. Aber jeder kleine Unterschied könnte die Prüfsummen stören.

Sie sollten auch Backups auf Band oder irgendwo haben, um zu beweisen, dass Sie diese vor der XYZ-Zeit hatten, da jeder argumentieren könnte, dass Sie die Dateien von der CD auf dem Server gespeichert haben (Erstellungsdaten könnten mit einer gewissen Cleverness der Einstellungen der Zeituhr geändert werden, Bilder können Photoshop usw.)

Sie müssen wirklich einen Weg finden, um festzustellen, ob durch Backups oder einen anderen Beweis, dass Sie die Dateien zuerst hatten, da sie Ihnen aus irgendeinem Grund die benötigten Dateien gaben, die zur bequemen Herstellung Ihrer Geschichte hätten verwendet werden können (warum haben sie das getan?) Das??)

Sie müssen von Ihrem Anwalt, der sich mit Technologie auskennt, herausfinden, was genau benötigt wird, und möglicherweise mit Sicherheitspersonal sprechen, das sich auf digitale Forensik spezialisiert hat.

Tatsache ist, dass wir Ihnen nur sagen können, wie Sie diese Dateien vergleichen können (md5sum), wenn nicht jemand hier ein Anwalt ist. Vielleicht ist Ihre beste Verteidigung alte Medien-Backups, um festzustellen, ob Sie die Dateien vor dem Erhalt der CD und hoffentlich vor dem Verlassen von XYZ hatten mit Ihren Daten (haben Sie einige Dateien per E-Mail verschickt, damit Sie Zeitstempel davon haben? Noch in archivierten Daten?)

Bart Silverstrim
quelle