Wir hatten jemanden, der einige Dateien stahl, bevor er aufhörte, und es ist schließlich zu einer Klage gekommen. Ich habe jetzt eine CD mit Dateien erhalten und muss "beweisen", dass es sich um unsere Dateien handelt, indem ich sie von unserem eigenen Dateiserver mit unseren Dateien abgleiche.
Ich weiß nicht, ob dies nur für unseren Anwalt oder für Beweise vor Gericht oder für beides ist. Mir ist auch klar, dass ich kein unparteiischer Dritter bin.
Als wir darüber nachdachten, wie wir diese Dateien von unseren Servern "beweisen" können, stellten wir fest, dass ich auch beweisen musste, dass wir die Dateien hatten, bevor wir die CD erhielten. Mein Chef machte Screenshots unserer Explorer-Fenster der fraglichen Dateien mit Erstellungsdatum und Dateinamen und schickte sie am Tag vor Erhalt der CD per E-Mail an unseren Anwalt. Ich hätte gerne md5sums zur Verfügung gestellt, war aber nicht an diesem Teil des Prozesses beteiligt.
Meine ersten Gedanken waren die Verwendung des Unix-Diff-Programms und die Ausgabe der Konsolen-Shell. Ich dachte auch, ich könnte es mit den md5-Summen sowohl unserer Dateien als auch ihrer Dateien koppeln. Beide können leicht gefälscht werden.
Ich weiß nicht, was ich eigentlich liefern soll, und weiß auch nicht, wie ich einen nachprüfbaren Pfad zur Reproduktion meiner Ergebnisse erstellen soll. Wenn er also von einer dritten Partei bewiesen werden muss, kann es sein.
Hat jemand irgendwelche Erfahrungen damit?
Fakten zum Fall:
- Die Dateien stammen von einem Windows 2003-Dateiserver
- Der Vorfall ereignete sich vor über einem Jahr und die Dateien wurden seit dem Vorfall nicht mehr geändert.
Antworten:
Die technischen Probleme sind ziemlich einfach. Die Verwendung einer Kombination aus SHA- und MD5-Hashes ist in der forensischen Industrie ziemlich typisch.
Wenn es sich um Textdateien handelt, die möglicherweise geändert wurden, z. B. Quellcodedateien usw., ist die Ausführung eines strukturierten "Diff" ziemlich häufig. Ich kann keine Fälle anführen, aber es gibt definitiv einen Präzedenzfall: Die "gestohlene" Datei ist eine abgeleitete Arbeit des "Originals".
Chain-of-Custody Fragen sind ein LOT mehr eine Sorge zu Ihnen als zu beweisen , dass die Dateien anzeigen lassen. Ich würde mit Ihrem Anwalt darüber sprechen, wonach er sucht, und nachdrücklich in Erwägung ziehen, mit einem Anwalt in Kontakt zu treten, der Erfahrung mit dieser Art von Rechtsstreitigkeiten oder Computerforensik hat, und dessen Ratschläge einholen, wie Sie am besten vorgehen sollten, damit Sie nichts unternehmen. ' nicht deinen Fall sprengen.
Wenn Sie tatsächlich eine Kopie der Akten erhalten haben, hoffen wir, dass Sie eine gute Arbeit bei der Aufrechterhaltung der Aufbewahrungskette geleistet haben. Wenn ich der gegnerische Anwalt wäre, würde ich argumentieren, dass Sie die CD erhalten und als Ausgangsmaterial für die Erstellung der "gestohlenen" "Originaldateien" verwendet haben. Ich hätte diese CD mit "kopierten" Dateien weit entfernt von den "Originalen" aufbewahrt und von einer unabhängigen Partei "Diffs" der Dateien durchführen lassen.
quelle
In der Regel sollte Ihr Anwalt bereits eine Menge davon im Griff haben.
Um zu beweisen, dass die Dateien identisch sind, sollte md5 verwendet werden. Aber darüber hinaus müssen Sie die Sorgerechtskette anhand von überprüfbaren Pfaden nachweisen. Wenn jemand anderes die Akten in seiner Obhut hat, fällt es Ihnen schwer, vor Gericht zu beweisen, dass die Beweise nicht „gepflanzt“ wurden.
Es gibt elektronische Beweismittel- und Forensikunternehmen, die sich speziell mit diesem Problem befassen. Je nachdem, wie ernst es Ihrem Unternehmen mit diesem Fall ist, müssen Sie einen Anwalt einstellen, der über Kenntnisse in diesem Bereich verfügt und Sie an eine Kanzlei verweisen kann, die Sie bei diesem Prozess unterstützen kann.
quelle
Eine wichtige Frage ist, wie Sie den Zugriff auf die Dateien Ihres Unternehmens protokollieren und wie Sie die Versionskontrolle über die Dateien Ihres Unternehmens verwalten.
Was die Dateien selbst anbelangt, möchten Sie ein Tool wie diff anstelle eines Tools wie md5 verwenden, da Sie demonstrieren möchten, dass die Dateien "gleich" sind, mit der Ausnahme, dass einer am Anfang einen Copyright-Hinweis und der andere einen anderen hat Urheberrechtsvermerk am Anfang der Datei.
Im Idealfall können Sie genau nachweisen, woher die fraglichen Dateien stammen und wann sie aus Ihrer Umgebung kopiert wurden und wer zu diesem Zeitpunkt Zugriff auf diese Dateien hatte und wer Kopien davon erstellt hat.
quelle
a) Ja, ich habe Erfahrung damit.
b) Die obigen Antworten zur Verwendung von Hashes beantworten nur die Frage, die Sie im Titel dieses Threads gestellt haben, nicht im Hauptteil. Um zu beweisen, dass Sie sie hatten, bevor Sie die CD-ROM erhalten haben, müssen Sie Protokolle darüber vorlegen, wann sie das letzte Mal berührt wurden. Dies ist wahrscheinlich nicht der Fall, da diese Art von Informationen nur selten aufbewahrt werden.
c) Allerdings werden in Ihrem Unternehmen wahrscheinlich Sicherungen aufbewahrt, und diese Sicherungen sind mit Datumsangaben versehen, und für diese Sicherungen können Dateien zum Abgleich selektiv wiederhergestellt werden. Wenn Ihr Unternehmen über eine schriftliche Sicherungsrichtlinie verfügt und die von Ihnen aufbewahrten Sicherungen mit der Richtlinie übereinstimmen, können Sie auf diese Weise leichter jemanden davon überzeugen, dass Sie die Sicherungen nicht gefälscht haben. Wenn Sie keine Richtlinie haben, die Backups jedoch deutlich gekennzeichnet sind, ist dies möglicherweise ausreichend (obwohl der Anwalt der anderen Seite dies im Wazoo in Frage stellt).
d) Wenn Ihr Unternehmen keine Backups erstellt hat und Sie nur die beschriebenen Screenshots haben, vergessen Sie diese. Sie werden es sehr schwer haben, jemanden davon zu überzeugen, dass Sie die Kontrolle über Ihre Daten gut genug haben, um zu "beweisen", dass Sie diese Dateien zuerst hatten.
quelle
diff ist das, was ich verwenden würde, ich denke, Sie sind auf dem richtigen Weg.
quelle
Ich habe über MD5sum nachgedacht und die Prüfsummen verglichen. Aber jeder kleine Unterschied könnte die Prüfsummen stören.
Sie sollten auch Backups auf Band oder irgendwo haben, um zu beweisen, dass Sie diese vor der XYZ-Zeit hatten, da jeder argumentieren könnte, dass Sie die Dateien von der CD auf dem Server gespeichert haben (Erstellungsdaten könnten mit einer gewissen Cleverness der Einstellungen der Zeituhr geändert werden, Bilder können Photoshop usw.)
Sie müssen wirklich einen Weg finden, um festzustellen, ob durch Backups oder einen anderen Beweis, dass Sie die Dateien zuerst hatten, da sie Ihnen aus irgendeinem Grund die benötigten Dateien gaben, die zur bequemen Herstellung Ihrer Geschichte hätten verwendet werden können (warum haben sie das getan?) Das??)
Sie müssen von Ihrem Anwalt, der sich mit Technologie auskennt, herausfinden, was genau benötigt wird, und möglicherweise mit Sicherheitspersonal sprechen, das sich auf digitale Forensik spezialisiert hat.
Tatsache ist, dass wir Ihnen nur sagen können, wie Sie diese Dateien vergleichen können (md5sum), wenn nicht jemand hier ein Anwalt ist. Vielleicht ist Ihre beste Verteidigung alte Medien-Backups, um festzustellen, ob Sie die Dateien vor dem Erhalt der CD und hoffentlich vor dem Verlassen von XYZ hatten mit Ihren Daten (haben Sie einige Dateien per E-Mail verschickt, damit Sie Zeitstempel davon haben? Noch in archivierten Daten?)
quelle