Μιλώντας για Windows: κάθε αρχείο που ζει σε ένα δίσκο χαρακτηρίζεται από τρία timestamps: 1) ημερομηνία και ώρα δημιουργίας και 2) ημερομηνία και ώρα τελευταίας αλλαγής. 3) ημερομηνία και ώρα τελευταίας προσπέλασης. Πέρα από το λειτουργικό σύστημα, τέτοιας φύσης δεδομένα μπορεί να αποθηκεύει και η εφαρμογή στο αρχείο word ή excel πχ, άλλη ιστορία αυτά.
Από αυτές η μόνη ημερομηνία που δεν αλλάζει με αντιγραφές/μετακινήσεις σε άλλο δίσκο κλπ είναι η ημερομηνία τελευταίας τροποποίησης. Οι άλλες ημερομηνίες αλλάζουν πιθανόν κατά τις μετακινήσεις του αρχείου, ειδικά σε άλλο δίσκο. Οπότε μπορεί να έχεις το οξύμωρο η ημερομηνία δημιουργίας πχ να είναι μεταγενέστερη της ημερομηνίας τελευταίας τροποποίησης.
Τώρα, για κάθε αρχείο προκύπτει μια μοναδική τιμή μέσω ενός αλγορίθμου, ένας μοναδικός αριθμός ταυτότητας ας πούμε. Αν λοιπόν έχεις τον δίσκο που αρχικά βρισκόταν το αρχείο και τον δίσκο προορισμού, μέσω αυτής της μοναδικής τιμής μπορείς να βρεις το αρχικό αρχείο και κατά συνέπεια όλες τις παραπάνω τιμές. Αλλιώς μένεις μόνο με την ημερομηνία τελευταίας τροποποίησης.
Yπάρχει περίπτωση το στικ να μην ήταν καινούργιο και να βρεθούν παλιότερα αρχεία που έχουν σβηστεί, τα οποία να ταυτοποιούν κάποιον χρήστη. Πχ μπορεί να βρεθεί μια σειρά διαλέξεων κάποιου μαζί με φωτογραφίες κλπ μαζί με την επίμαχη λίστα. Στην περίπτωση αυτή και πάλι δεν υπάρχει ασφαλές συμπέρασμα, γιατί πολύ απλά μπορεί αυτά να τοποθετήθηκαν και να διαγράφηκαν σκόπιμα προκειμένου να ενοχοποιηθεί τρίτο άτομο.
Αυτά λοιπόν μπορούν να οδηγήσουν σε ασφαλή συμπεράσματα; ΌΧΙ! Σε καμία περίπτωση. Όλα αυτά τα στοιχεία μπορούν εύκολα να πειραχτούν, είτε με ειδικό δωρεάν λογισμικό ευρέως διαθέσιμο, είτε με έναν πολύ απλό τρόπο: αλλάζεις το ρολόι του συστήματος και όλες οι ημερομηνίες/ώρες είναι πλέον αναξιόπιστες!
Αν έγινε επεξεργασία του αρχείου στο στικ, είναι αρκετά πιθανό να βρεθούν υπολείμματα του επεξεργασμένου αρχείου στο στικ με δικά τους timestamps. Θυμηθείτε όμως, αν έχει αλλάξει το ρολόι του ΗΥ τα timestamps αυτά θα είναι επίσης λανθασμένα.
Μια περίπτωση που θα είχε ενδιαφέρον είναι η εξής: το στικ να έχει παλαιότερα αρχεία με απείραχτα timestamps και, να έγινε μετά η επεξεργασία του επίμαχου αρχείου με ημερομηνία προγενέστερη των ήδη υφιστάμενων αρχείων, χωρίς να έχει γίνει εκκαθάριση του στικ με ειδικό λογισμικό που αφαιρεί υπολείμματα αρχείων. Στην περίπτωση αυτή και εφόσον το στικ χρησιμοποιεί διαμόρφωση NTFS και όχι FAT32 -κάτι απίθανο- και δεν έχει εκκαθαριστεί ο πίνακας MFT, τότε θα μπορούσε να πιστοποιηθεί ότι το timestamp της λίστας είναι ψευδές, χωρίς όμως να προκύπτει και πάλι ασφαλές συμπέρασμα για το ποιος έκανε την αλλοίωση.
Ακόμα λοιπόν και αν η επεξεργασία του αρχείου έγινε στο στικ και, ακόμα και αν αυτό περιείχε άλλα αρχεία σβησμένα ή μη, πάλι δεν προκύπτει η ευθύνη προσώπου. Μόνο αν συνδεθεί το στικ με φυσικό πρόσωπο και, αποκλειστεί η περίπτωση απώλειας, κλοπής ή προσωρινής πρόσβασης τρίτου ατόμου σε αυτό, μπορεί να αποδοθούν στο συγκεκριμένο φυσικό πρόσωπο οι ενέργειες τα ίχνη των οποίων βρίσκονται στο στικ.
Με λίγα λόγια αν άλλαξε χέρια το στικ, άκρη δεν βγαίνει ποιος έκανε τι και πότε.
Τέλος θα ήταν χρήσιμο να ξέρουμε σε ποιον υπολογιστή έγινε η τροποποίηση του αρχείου, ποιοι έχουν πρόσβαση σε αυτόν και να μπορούμε να αναλύσουμε τον ίδιο τον υπολογιστή. Η απλή αναφορά το ονόματος του υπολογιστή σε κάποια δεδομένα που πιθανόν τηρεί το αρχείο δεν μπορεί να οδηγήσει σε ασφαλές συμπέρασμα γιατί αφενός αυτό το στοιχείο μπορεί επίσης να αλλοιωθεί και αφετέρου το όνομα ενός υπολογιστή δεν είναι μοναδικό.
Άρα όποιος λέει ότι μπορεί από στικάκι και μόνο να πει με απόλυτη βεβαιότητα τις ορθές ημερομηνίες τροποποίησης ενός αρχείου και από ποιο φυσικό πρόσωπο γίνανε, λέει κάτι που είναι επιστημονικά λάθος.
Να ένα παράδειγμα:
Μια φωτό μου από τον Αύγουστο του 1980, σε ηλικία 8 ετών! Ίδιος δεν είμαι;
Μην τρώτε κουτόχορτο, είναι πολύ εύκολο να αλλάξεις τέτοια δεδομένα. Άρα από στικάκια κλπ ΔΕΝ μπορείς να βρεις τις πραγματικές ημερομηνίες δημιουργίας/τροποποίησης αρχείων κλπ. Τόσο απλά!
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου