¿Cómo pruebo que dos archivos son iguales legalmente?

Hicimos que alguien robara algunos archivos antes de renunciar y eventualmente se redujo a una demanda. Ahora se me ha proporcionado un cd de archivos y tengo que "probar" que son nuestros archivos uniéndolos a nuestros archivos desde nuestro propio servidor de archivos.

No sé si esto es solo para nuestro abogado o evidencia para la corte o ambos. También me doy cuenta de que no soy un tercero imparcial.

Al pensar cómo "probar" que estos archivos provienen de nuestros servidores, nos dimos cuenta de que también tengo que demostrar que teníamos los archivos antes de recibir el CD. Mi jefe tomó capturas de pantalla de las ventanas de nuestro explorador de los archivos en cuestión con fechas de creación y nombres de archivos que se muestran y se los envió por correo electrónico a nuestro abogado el día antes de que recibiéramos el CD. Me hubiera gustado proporcionar md5sums pero no participé en esa parte del proceso.

Mis primeros pensamientos fueron usar el programa Unix Diff y dar salida a la consola. También pensé que podría combinarlo con las sumas md5 de nuestros archivos y sus archivos. Ambos pueden ser fácilmente falsificados.

Perdí lo que realmente debería proporcionar y luego perdí la forma de proporcionar una pista auditable para reproducir mis hallazgos, por lo que si es necesario que un tercero lo pruebe, puede serlo.

¿Alguien tiene alguna experiencia con esto?

Datos sobre el caso:

1. Los archivos provienen de un servidor de archivos de Windows 2003
2. El incidente ocurrió hace más de un año y los archivos no se han modificado desde antes del incidente.

Los problemas técnicos son bastante sencillos. Usar una combinación de hashes SHA y MD5 es bastante típico en la industria forense.

Si está hablando de archivos de texto que podrían haber sido modificados, digamos archivos de código fuente, etc., sería bastante común realizar algún tipo de "diff" estructurado. No puedo citar casos, pero definitivamente hay precedentes: el archivo "robado" es un trabajo derivado del "original".

Los problemas de la cadena de custodia le preocupan MUCHO más que probar que los archivos coinciden. Hablaría con su abogado sobre lo que están buscando, y consideraría encarecidamente ponerme en contacto con un abogado con experiencia en este tipo de litigios o profesionales de informática forense y obtener su consejo sobre la mejor manera de proceder para que usted no lo haga. No arruines tu caso.

Si realmente recibió una copia de los archivos, espero que haya hecho un buen trabajo al mantener una cadena de custodia. Si yo fuera el abogado contrario, argumentaría que recibió el CD y lo usó como material de origen para producir los archivos "originales" que fueron "robados". Hubiera guardado ese CD de archivos "copiados" muy, muy lejos de los "originales" y que una parte independiente realizara "diffs" de los archivos.

Por lo general, su abogado ya debería tener mucho de esto bajo control.

Para probar que los archivos son iguales, se debe usar md5. Pero incluso más que eso, debe probar la cadena de custodia utilizando pistas auditables. Si alguien más ha tenido los archivos bajo su custodia, entonces tendrá dificultades para probar en la corte que la evidencia no fue 'plantada'.

Existen pruebas electrónicas y compañías forenses que se ocupan específicamente de este problema. Dependiendo de la seriedad de su empresa con respecto a este caso, debe contratar a un abogado que tenga conocimiento en esta área y pueda derivarlo a una firma que pueda ayudarlo en este proceso.

Una pregunta importante es cómo registra el acceso a los archivos de su empresa y cómo administra el control de versiones sobre los archivos de su empresa.

En cuanto a los archivos en sí, desea utilizar una herramienta como diff en lugar de una herramienta como md5 porque desea demostrar que los archivos son "iguales", excepto que uno tiene un aviso de copyright al inicio y el otro tiene un diferente aviso de copyright al inicio del archivo.

Idealmente, puede demostrar exactamente de dónde provienen los archivos en cuestión, y cuándo se habrían copiado de su entorno, y quién tenía acceso a esos archivos en ese momento y quién hizo copias de ellos.

a) Sí, tengo experiencia con esto.

b) Las respuestas anteriores sobre el uso de hashes responden solo a la pregunta que hizo en el título de este hilo, no en el cuerpo. Para probar que los tenía antes de obtener el CD-ROM, deberá proporcionar registros de cuándo se tocaron por última vez, algo que probablemente no tenga porque este tipo de información rara vez se guarda.

c) Dicho esto, su empresa probablemente conserva copias de seguridad, y esas copias de seguridad tienen fechas, y esas copias de seguridad pueden tener archivos restaurados selectivamente para que coincidan. Si su empresa tiene una política de respaldo por escrito, y los respaldos que mantuvo coinciden con la política, esto hará que sea mucho más fácil convencer a alguien de que no falsificó los respaldos. Si no tiene una política, pero las copias de seguridad están claramente marcadas, eso podría ser suficiente (aunque el abogado de la otra parte cuestionará el wazoo).

d) Si su empresa no mantuvo copias de seguridad, y todo lo que tiene son las capturas de pantalla descritas, olvídese. Te resultará muy difícil convencer a alguien de que controlas tus datos lo suficientemente bien como para "probar" que primero tienes esos archivos.

diff es lo que usaría, creo que estás en el camino correcto.

Estaba pensando en MD5sum y comparar las sumas de comprobación. Pero cualquier pequeña diferencia podría alterar las sumas de verificación.

También debe tener copias de seguridad en cinta o en algún lugar para demostrar que las tenía antes del tiempo XYZ, ya que cualquiera podría argumentar que guardó los archivos del CD en el servidor (las fechas de creación podrían modificarse con cierta inteligencia de la configuración del reloj, las imágenes pueden ser photoshopped, etc.)

Realmente necesita encontrar una manera de establecer, ya sea a través de copias de seguridad o alguna otra prueba, que primero tenía los archivos, ya que por alguna razón le dieron los archivos necesarios que podrían haber sido utilizados para fabricar convenientemente su historia (¿por qué lo hicieron? ¿¿ese??)

Debe averiguar con su abogado, alguien que conozca la tecnología, qué es exactamente lo que necesita y tal vez hablar con personal de seguridad especializado en análisis forense digital.

El hecho es que, a menos que alguien aquí sea un abogado, todo lo que podemos decirle es cómo comparar esos archivos (md5sum) y que tal vez su mejor defensa son las copias de seguridad de medios antiguas para establecer que tenía los archivos antes de obtener el CD y, con suerte, antes de que XYZ se fuera con sus datos (¿envió algunos de los archivos por correo electrónico para que tenga marcas de tiempo de eso? ¿Todavía está en los datos archivados?)