Domanda:
I dati delle indagini forensi informatiche possono essere negati come prove?
rmagnum2002
2015-07-30 13:34:40 UTC
view on stackexchange narkive permalink

3 computer sono stati sigillati e prelevati dall'appartamento di una persona. Gli investigatori lo hanno invitato a togliere il sigillo ai PG; i sigilli erano intatti e confermati dal proprietario e hanno avviato il processo di clonazione. Tuttavia, gli hash sono stati solo fotografati da un esperto senza metterli in un documento e darlo alla persona che sta indagando, dicendo che lo inviteranno il giorno successivo a finire i documenti. Non è stato invitato, nemmeno dopo 4 giorni, il che significa che tutti i dispositivi sono rimasti aperti per tutti questi giorni.

Considerando i fatti sopra:

  1. Può trovare prove da esperto di informatica forense essere utilizzato in un tribunale?

  2. Un avvocato potrebbe contestare queste prove in tribunale data la procedura di indagine?

  3. Esiste una giurisprudenza applicabile?

Nota: tutti i dischi rigidi sono stati clonati utilizzando un dispositivo di blocco della scrittura. Fare clic su questo collegamento per vedere che aspetto ha. Il software che è stato / viene utilizzato nelle indagini è FTK se non mi sbaglio.

Due risposte:
Alexanne Senger
2015-07-30 14:17:47 UTC
view on stackexchange narkive permalink

Risposta breve

La catena di custodia è una sfida comune all'ammissibilità e al peso delle prove.

Qualifica

Sembra un caso reale. Non ipotetico. Il risultato può andare in entrambi i casi. Sembra che sia diretto a un contenzioso. Il risultato dipenderà dai fatti e dagli argomenti legali.

Se questo vuole essere un ipotetico, ci sono troppo pochi fatti descritti per poterlo analizzare.

Ti suggerisco di assumere un avvocato e dimentica di ottenere la risposta alla domanda qui.

In generale, è impossibile dimostrare un negativo. Quindi, su questa base, dimostrare di non aver manomesso i dati sarà nel migliore dei casi una sfida. Gli avvocati possono sempre contestare le prove. E la catena di custodia è una sfida comune all'ammissibilità e al peso delle prove .

È un caso reale e grazie mille per la tua risposta. +1 e accettato, la parte che stavo cercando - "la catena di custodia è una sfida comune all'ammissibilità e al peso delle prove".
jqning
2015-09-09 00:35:01 UTC
view on stackexchange narkive permalink

Modifica: tutto ciò presuppone un tribunale civile, non un criminale poiché la domanda non menziona i poliziotti.

Il problema che descrivi sembra procedurale. Non sembra che si sia verificata alcuna spoliazione. Supponendo che tu possa ottenere una corrispondenza hash, il fatto che i computer siano "non sigillati" per un periodo di tempo non avrà importanza.

Ma supponendo che tu non ottenga una corrispondenza hash, le prove possono ancora essere ammesse . L'avvocato chiamerà l'esperto forense che getterà le basi per le prove. Indicare cos'è e dove è stato trovato, ecc. Durante il controinterrogatorio, l'altra parte può chiedere informazioni sul problema dell'hash, ma se l'esperto può stabilire che le prove mostrate sono accurate, la catena di custodia potrebbe non avere molto peso. In altre parole, le prove saranno ammesse, spetta alle parti discutere su come valutarle.

Sembra che la preoccupazione sia che il proprietario non era presente quando gli hash sono stati calcolati. Non vedo cosa ti porta questo. È raro che una festa rimanga in giro mentre gli ingegneri forensi fanno il loro lavoro. Per quanto riguarda il fatto che abbia scritto, copiato e incollato o fotografato gli hash, neanche questo ti dà molto. Gli hash esistono per confermare che la copia di lavoro è la stessa dell'immagine forense originale. Come ho detto all'inizio, l'abbinamento degli hash è tutto ciò che è necessario per la verifica e una foto può essere utilizzata per supportare la fondazione.

Se qualcosa è stato promesso ma non dato, il giudice potrebbe ordinare la cosa, ma anche allora a cosa serve la festa qui? Tutto ciò che accadrà è che confermerai che nulla è stato danneggiato o che se lo fosse allora puoi discutere sul peso.

Per quanto riguarda i casi, saranno difficili da trovare. È raro che la catena di custodia influisca sull'esito di un caso. Nella misura in cui la scoperta elettronica diventa un ordine o un'opinione, di solito è il risultato di una mozione di sanzioni. Quindi inizia da lì. Ma anche in questo caso i fatti migliori possono essere trovati nelle mozioni e nelle memorie che richiedono un po 'di tempo per PACER.

Se intendi contestare, assicurati che l'avvocato sappia cosa sta facendo. Non vuoi il ragazzo Twitter di George Zimmerman.

I poliziotti sono effettivamente coinvolti. Comunque, grazie per il tuo contributo.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...