Aufgrund einiger Gerichtsverfahren in meiner Gerichtsbarkeit sehe ich häufig, wie gerichtlich bestellte Sachverständige das Erstellungsdatum eines Dokuments bestimmen. Ist dies wirklich mit Softwaremethoden möglich? Wie könnte man ein Erstellungsdatum nachweisen, wenn vor der Erstellung des Dokuments ein falsches Datum verwendet wurde?
Ich weiß, dass dieser Teil nicht dem Superuser gehört, aber trotzdem war ich neugierig, ob jede Hardwaremethode funktionieren würde (mit beliebiger Genauigkeit – Tag/Monat/Jahr).
Antwort1
Dateimetadaten (z. B. Erstellungsdatum, letzte Änderung usw.) sind im Allgemeinen eine Frage des Dateisystems und können daher mit verschiedenen Softwaretools geändert werden. Tatsächlich verfolgen einige Dateisysteme nicht einmal das Erstellungsdatum (z. B. verfolgt ext3 unter Linux ctime, was eigentlich eine Inode-Änderungszeit ist). Die verfolgten Metadaten variieren auch von Dateisystem zu Dateisystem - einige Dateisysteme ermöglichen die Verfolgung der letzten Zugriffszeit, der letzten Änderung usw.
Wie einfach sich dieser „Erstellungszeitpunkt“ (oder die letzte Änderung, der letzte Zugriff usw.) ändern lässt, kann von Dateisystem zu Dateisystem unterschiedlich sein, aber im Allgemeinen sind diese Zeitstempel nicht 100 % zuverlässig.
Ich könnte mir vorstellen, dass in einem Gerichtssaal eine Partei versuchen würde, zu behaupten, dass die letzten Änderungszeiten gut sind, weil der Benutzer über eine bestimmte Fähigkeit verfügt, andere Dateizeiten übereinstimmen usw., während die Gegenpartei versuchen würde, darauf hinzuweisen, dass Dateizeiten gefälscht werden können. Mir ist nicht klar, welche Seite einen Richter oder eine Jury davon überzeugen könnte, was wahrscheinlich passiert ist, es sei denn, es wird eine Art „rauchende Waffe“ gefunden, die Inkonsistenzen mit den Zeitstempeln zeigt (z. B. haben zwei Dateien, die am selben Tag erstellt wurden, völlig unterschiedliche Daten oder Kopien der Datei wurden vor dem angeblichen Erstellungsdatum per E-Mail verschickt usw.).
Mir sind keine Hardwaremethoden zum Verfolgen von Änderungen bekannt.
Antwort2
HAFTUNGSAUSSCHLUSS: IANAL
Die erste Regel der Forensik lautet, dass alle Messwerte bis aufs N-te genau verdächtig sind. Sie müssen also immer eine gewisse Plausibilitätsgrenze für die Akzeptanz von Ergebnissen festlegen. Ja, Daten können geändert werden, aber dazu ist ein ziemlich versierter Benutzer erforderlich, der mit ziemlicher Sicherheit physischen Zugriff auf das System benötigt.
Es gibt eine Reihe von Umständen, in denen ein Computer einige Attribute nach bestem Wissen und Gewissen schätzen muss. Wenn ich beispielsweise eine Datei von meinem SAMBA-Dateiserver auf meine Arbeitsstation kopiere, ist das Erstellungsdatum der Zeitpunkt, zu dem ich die Datei eingefügt habe, und nicht der Zeitpunkt, zu dem sie ursprünglich erstellt wurde. In meinem Fall behält es die korrekte Änderungszeit bei, aber das muss nicht immer der Fall sein.
Bei Journaling-Dateisystemen haben Sie möglicherweise Hinweise darauf, dass Dateimetadaten geändert oder gefälscht wurden. Dies würde jedoch bedeuten, dass das Dateisystem die Änderung kontrolliert hat, was unwahrscheinlich ist. Sie sollten immer den Inhalt von Sicherungen und möglicherweise die Auslagerungsdatei und hiberfill.sys überprüfen, um nach Kopien der Dateidaten zu suchen, deren Datumsinformationen abweichen.
Auf lange Sicht sollten Sie bei Daten misstrauisch sein, wenn der Verdächtige ein sehr erfahrener Techniker oder Angreifer ist oder auf die eine oder andere Weise mit einem solchen in Verbindung steht. Wenn der Verdächtige beispielsweise kaum weiß, wie man Windows neu aufbaut und nicht weiß, was Linux ist, sind die Daten wahrscheinlich korrekt, es sei denn, es ist ein externer Agent im Spiel.
Antwort3
Wer den Computer besitzt oder [physischen] Zugriff darauf hat, kann damit machen, was er will. Dazu gehört auch das Fälschen des Erstellungsdatums von Dateien.
Ein Experte kann ein solches Datum nur dann sicher bestimmen, wenn das Dokument oder eine Kopie davon an einem anderen Ort gespeichert wurde, der von einer vertrauenswürdigen dritten Partei verwaltet wird.
Z. B. irgendwo in der Cloud, und unter Verwendung der Backups dieser Cloud-Anbieter, um Dinge zu überprüfen. Oder per E-Mail an jemanden zum Datum X, wobei der Empfänger weiß, dass es zum oder vor dem Datum X erstellt wurde.
Aber jeder mit Zugriff (entweder remote oder physisch) auf einen Computer kann das scheinbare Erstellungsdatum dieses Dokuments ändern. Sie verfügen möglicherweise nicht über die erforderlichen Fähigkeiten, um dies zu tun, aber das ist nichts, was ein Gericht akzeptieren würde. (Ähnlich wie „aber Euer Ehren. Ich weiß nicht, wie eine Waffe funktioniert. Daher kann ich ihn nicht erschossen haben“).