我们有人在退出之前窃取了一些文件,最终归结为诉讼。我现在已经获得了一张文件 cd,我必须通过将它们与我们自己的文件服务器中的文件进行匹配来“证明”它们是我们的文件。
我不知道这是否只是为了我们的律师或法庭证据或两者兼而有之。我也意识到我不是一个公正的第三者。
在考虑如何“证明”这些文件来自我们的服务器时,我们意识到我还必须证明我们在收到 cd 之前拥有这些文件。我的老板在我们收到 CD 的前一天为我们的浏览器窗口截取了相关文件的屏幕截图,并显示了创建日期和文件名,并通过电子邮件将它们发送给了我们的律师。我本来希望提供 md5sums,但我没有参与该过程的那部分。
我的第一个想法是使用 unix diff 程序并提供控制台 shell 输出。我还认为我可以将它与我们的文件及其文件的 md5 总和结合起来。这两个都很容易被伪造。
我不知道我实际上应该提供什么,然后又不知道如何提供可审计的线索来重现我的发现,所以如果确实需要由第 3 方证明它可以。
有人对这个有经验么?
案件事实:
- 文件来自 Windows 2003 文件服务器
- 该事件发生在一年多前,自事件发生前以来,这些文件没有被修改过。
技术问题非常简单。使用 SHA 和 MD5 哈希的组合在取证行业中非常典型。
如果您正在谈论可能已修改的文本文件——比如源代码文件等,那么执行某种类型的结构化“差异”将是很常见的。我不能引用案例,但肯定有先例:“被盗”文件是“原件”的衍生作品。
监管链问题比证明文件匹配更让您担心。我会与您的律师讨论他们正在寻找什么,并强烈考虑与在此类诉讼或计算机取证专业方面经验丰富的律师取得联系,并就最佳方式获得他们的建议,以便您不要吹你的案子。
如果您确实收到了文件的副本,我希望您在维护监管链方面做得很好。如果我是对方的律师,我会争辩说您收到了 CD 并将其用作源材料来制作“被盗”的“原始”文件。我会将“复制”文件的 CD 保存在远离“原件”的地方,并让独立方对文件进行“差异化”。
通常,您的律师应该已经控制了很多。
为了证明文件相同,应该使用 md5。但更重要的是,您需要使用可审计的线索来证明监管链。如果其他人保管了这些文件,那么您将很难在法庭上证明证据不是“植入”的。
有专门处理这个问题的电子证据和取证公司。根据您的公司对此案的重视程度,您需要聘请一位在这方面有知识的律师,并可以将您推荐给可以帮助您完成此过程的公司。
一个重要的问题是如何记录对公司文件的访问,以及如何管理对公司文件的版本控制。
就文件本身而言,您想使用 diff 之类的工具而不是 md5 之类的工具,因为您想证明文件是“相同的”,只是一个文件一开始有一个版权声明,另一个有不同的版权声明文件开头的版权声明。
理想情况下,您可以准确地展示有问题的文件来自何处,何时从您的环境中复制它们,当时谁有权访问这些文件,以及谁复制了这些文件。
a) 是的,我有这方面的经验。
b)上面关于使用哈希的答案只回答了你在这个线程的标题中提出的问题,而不是在正文中。为了证明您在获得 CD-ROM 之前拥有它们,您需要提供上次触摸它们的时间的日志,您可能没有这些日志,因为这类信息很少保存。
c) 话虽如此,您的公司可能确实保留了备份,并且这些备份上有日期,并且这些备份可以有选择地从中恢复文件以进行匹配。如果您的公司有书面的备份政策,并且您保留的备份符合该政策,这将更容易说服某人您没有伪造备份。如果您没有保单但备份已明确标记,那可能就足够了(尽管另一方的律师会对此提出质疑)。
d) 如果您的公司没有保留备份,而您所拥有的只是所描述的屏幕截图,那就算了。您将很难说服任何人您可以很好地控制您的数据以“证明”您首先拥有这些文件。
diff 是我会使用的,我认为你在正确的轨道上。
我在想 MD5sum,并比较校验和。但任何微小的差异都可能扰乱校验和。
您还应该在磁带或其他地方有备份,以证明您在 XYZ 时间之前拥有它们,因为任何人都可能认为您将文件从 CD 保存到服务器(创建日期可以通过一些巧妙的时钟设置来更改,图片可以是拍照等)
您确实需要找到一种方法来确定,无论是通过备份还是其他一些证据,您首先拥有这些文件,因为它们出于某种原因为您提供了可以用来方便地制作您的故事的所需文件(他们为什么这样做那??)
您需要从了解技术的律师那里了解究竟需要什么,并可能与专门从事数字取证的安全人员交谈。
事实是,除非这里有人是律师,否则我们只能告诉您如何比较这些文件(md5sum),也许您最好的防御措施是旧媒体备份,以确保您在获得 CD 之前拥有这些文件,并希望在 XYZ 离开之前与您的数据(通过电子邮件发送一些文件,以便您从中获得时间戳?仍在存档数据中?)