Kami memiliki seseorang yang mencuri beberapa file sebelum berhenti dan akhirnya mengajukan gugatan. Saya sekarang telah diberikan dengan cd file dan saya harus "membuktikan" bahwa mereka adalah file kami dengan mencocokkannya dengan file kami dari server file kami sendiri.
Saya tidak tahu apakah ini hanya untuk pengacara kami atau bukti untuk pengadilan atau keduanya. Saya juga menyadari bahwa saya bukan pihak ke-3 yang tidak memihak.
Dalam memikirkan bagaimana "membuktikan" file-file ini berasal dari server kami, kami menyadari bahwa saya juga harus membuktikan bahwa kami memiliki file sebelum menerima cd. Bos saya mengambil screenshot layar dari windows explorer kami dari file yang bersangkutan dengan tanggal pembuatan dan nama file yang ditampilkan dan mengirim email kepada pengacara kami sehari sebelum kami menerima cd. Saya ingin menyediakan md5sums tetapi saya tidak terlibat dalam bagian proses itu.
Pikiran pertama saya adalah menggunakan program unix diff dan memberikan output shell konsol. Saya juga berpikir saya bisa memasangkannya dengan jumlah md5 dari file kami dan file mereka. Kedua hal ini dapat dengan mudah dipalsukan.
Saya bingung apa yang seharusnya saya berikan dan kemudian lagi bingung bagaimana menyediakan jejak yang dapat diaudit untuk mereproduksi temuan saya, jadi jika memang perlu dibuktikan oleh pihak ke-3, itu bisa saja.
Adakah yang punya pengalaman dengan ini?
Fakta tentang kasus ini:
- File-file tersebut berasal dari server file Windows 2003
- Insiden itu terjadi lebih dari setahun yang lalu dan file-file tersebut belum dimodifikasi sejak sebelum kejadian.
Jawaban:
Masalah teknisnya cukup jelas. Menggunakan kombinasi hash SHA dan MD5 cukup khas di industri forensik.
Jika Anda berbicara tentang file teks yang mungkin telah dimodifikasi - katakan file kode sumber, dll, maka melakukan beberapa jenis "diff" terstruktur akan sangat umum. Saya tidak bisa mengutip kasus, tapi pasti ada preseden di luar sana: file "curian" menjadi karya turunan dari "asli".
Masalah chain-of-custody jauh lebih mengkhawatirkan bagi Anda daripada membuktikan bahwa file-file tersebut cocok. Saya akan berbicara dengan pengacara Anda tentang apa yang mereka cari, dan akan sangat mempertimbangkan untuk berhubungan dengan seorang pengacara yang berpengalaman dengan jenis litigasi atau profesinal forensik komputer dan mendapatkan saran mereka tentang cara terbaik untuk melanjutkan sehingga Anda tidak t meniup kasus Anda.
Jika Anda benar-benar menerima salinan file, saya harap Anda melakukan pekerjaan yang baik dalam mempertahankan lacak balak. Jika saya adalah penasihat yang berlawanan, saya berpendapat bahwa Anda menerima CD dan menggunakannya sebagai bahan sumber untuk menghasilkan file "asli" yang "dicuri". Saya akan menyimpan CD dari file yang "disalin" jauh, jauh dari "aslinya" dan memiliki pihak independen melakukan "diff" dari file.
sumber
Biasanya pengacara Anda seharusnya sudah mengendalikan banyak hal.
Untuk membuktikan file-nya sama, md5 harus digunakan. Tetapi bahkan lebih dari itu, Anda perlu membuktikan lacak balak menggunakan jalur yang dapat diaudit. Jika orang lain memiliki file dalam tahanan mereka, maka Anda akan kesulitan membuktikan di pengadilan bahwa bukti tidak 'ditanam'.
Ada bukti elektronik dan perusahaan forensik yang secara khusus menangani masalah ini. Bergantung pada seberapa serius perusahaan Anda mengenai kasus ini, Anda perlu menyewa pengacara yang memiliki pengetahuan di bidang ini dan dapat merujuk Anda ke perusahaan yang dapat membantu Anda melalui proses ini.
sumber
Sebuah pertanyaan penting adalah bagaimana Anda mencatat akses ke file perusahaan Anda, dan bagaimana Anda mengelola kontrol versi atas file perusahaan Anda.
Sejauh file itu sendiri, Anda ingin menggunakan alat seperti diff daripada alat seperti md5 karena Anda ingin menunjukkan bahwa file-file itu "sama" kecuali bahwa satu memiliki satu pemberitahuan hak cipta di awal dan yang lain memiliki yang berbeda. pemberitahuan hak cipta di awal file.
Idealnya Anda dapat menunjukkan dengan tepat dari mana file yang dimaksud berasal, dan kapan mereka akan disalin dari lingkungan Anda, dan siapa yang memiliki akses ke file-file itu pada saat itu, dan siapa yang membuat salinannya.
sumber
a) Ya, saya punya pengalaman dengan ini.
b) Jawaban di atas tentang menggunakan hash hanya menjawab pertanyaan yang Anda tanyakan dalam judul utas ini, bukan di tubuh. Untuk membuktikan bahwa Anda memilikinya sebelum mendapatkan CD-ROM, Anda harus memberikan catatan kapan mereka terakhir kali disentuh, sesuatu yang mungkin tidak Anda miliki karena informasi seperti ini jarang disimpan.
c) Karena itu, perusahaan Anda mungkin memang menyimpan cadangan, dan cadangan tersebut memiliki tanggal, dan cadangan tersebut dapat memiliki file yang dipulihkan secara selektif dari mereka untuk pencocokan. Jika perusahaan Anda memiliki kebijakan cadangan tertulis, dan cadangan yang Anda simpan cocok dengan kebijakan tersebut, ini akan membuatnya lebih mudah untuk meyakinkan seseorang bahwa Anda tidak memalsukan cadangan tersebut. Jika Anda tidak memiliki kebijakan tetapi cadangan ditandai dengan jelas, itu mungkin cukup (meskipun pengacara untuk pihak lain akan mempertanyakan hal ini di wazoo).
d) Jika perusahaan Anda tidak menyimpan cadangan, dan yang Anda miliki hanyalah tangkapan layar yang diuraikan, lupakan saja. Anda akan mengalami kesulitan meyakinkan siapa pun bahwa Anda mengendalikan data Anda dengan cukup baik untuk "membuktikan" bahwa Anda memiliki file-file itu terlebih dahulu.
sumber
diff adalah apa yang saya gunakan, saya pikir Anda berada di jalur yang benar.
sumber
Saya sedang memikirkan MD5sum, dan membandingkan checksum. Tetapi perbedaan kecil apa pun dapat mengganggu checksum.
Anda juga harus memiliki cadangan di kaset atau di suatu tempat untuk membuktikan bahwa Anda memilikinya sebelum waktu XYZ, karena siapa pun bisa berpendapat bahwa Anda menyimpan file dari CD ke server (tanggal pembuatan dapat diubah dengan beberapa kepintaran pengaturan jam waktu, gambar dapat photoshopped, dll.)
Anda benar-benar perlu menemukan cara untuk membangun, apakah melalui cadangan atau bukti lain, bahwa Anda memiliki file terlebih dahulu, karena mereka untuk beberapa alasan memberi Anda file yang dibutuhkan yang bisa digunakan untuk membuat cerita Anda dengan mudah (mengapa mereka melakukannya) bahwa??)
Anda perlu mencari tahu dari pengacara Anda, orang yang tahu teknologi, apa yang sebenarnya dibutuhkan dan mungkin berbicara dengan petugas keamanan yang berspesialisasi dalam forensik digital.
Faktanya adalah bahwa kecuali seseorang di sini adalah seorang pengacara, yang dapat kami katakan adalah bagaimana membandingkan file-file itu (md5sum) dan bahwa mungkin pertahanan terbaik Anda adalah backup media lama untuk memastikan Anda memiliki file sebelum mendapatkan CD dan mudah-mudahan sebelum XYZ pergi dengan data Anda (mengirim email beberapa file sehingga Anda memiliki cap waktu dari itu? Masih dalam data yang diarsipkan?)
sumber