Computer Forensics CSI - Cas réels de la criminalistique de Burgess n ° 12 - Cas de l'informatique qui s'est perdue

Les histoires sont vraies, les noms et les lieux ont été changés pour protéger les coupables potentiellement.

Il ya quelques années, Debby Johnson, un avocat d'une grande entreprise basée à Kansas City, m'a contacté au sujet d'une question relativement simple. Je devais voyager à bureaux à Sacramento de mes région de San Francisco laboratoires, copier le disque d'un ordinateur, et de localiser les courriels envoyés par le demandeur à ses frères et sœurs, dont il avait neuf ans. Le cas était une poursuite en responsabilité de produits pour un montant de plusieurs dizaines de millions de dollars. Le demandeur a fait valoir que sa santé avait été endommagé par un produit défectueux société internationale, bien qu'il fût sans symptôme pour le moment. Quel est le produit? Disons que c'était du café.

De la Bay Area frais en été, je me suis rendu au centre-ville de Sacramento, où il était de 106 degrés douces. Je savais que je transpirais, mais à l'intérieur j'étais cool. Je me demandais si quelqu'un d'autre serait dans l'eau chaude rapidement.

Il n'est pas inhabituel pour moi de ne jamais répondre à mes clients, pour les ordinateurs peut être livré à moi dans mon laboratoire, mais Debby était là, dans le cabinet de l'avocat du demandeur. Dans une salle de conférence lambrissée de chêne, nous avons rencontré l'avocat de «l'autre côté» et avec le demandeur lui-même. Il était assis béatement avec son ordinateur brillant sur la table de conférence, assez sympathique en dépit de sa prétention que je ne trouverais jamais les e-mails offensants qu'il avait prétendument envoyés ans auparavant. Mon client croit que cet homme avait envoyé des courriels à ses frères et sœurs qui réfutent sa thèse - qui lui montrerait à faire une affaire d'accrocher un endroit frais quelques dix millions.

J'ai enlevé le disque dur du système de notre homme de faire une copie légale de travailler avec et à analyser. J'ai été surpris de constater que le disque dur est de 100 Go en taille. Un disque de cette capacité était toute neuve et rare de voir, dans un cas de ce peu de temps après il est venu sur le marché. Je m'attendais à un disque beaucoup plus petit, comme je l'avais dit que je serais en voir un à environ 20% de la taille. Heureusement, il y avait une électronique hypermarché à proximité, donc je ôta ma veste de costume, coudés de la climatisation sur mon mini-fourgonnette / lab wagon (que la beauté vient d'avoir plus de 200.000 miles le jour où je vous écris), et dirigé le plus de un peu de nouveau matériel. Quarante-cinq minutes et un peu de caoutchouc fondu plus tard, je suis arrivé sur les lieux pour nettoyer médico-légal le nouveau disque en écrivant des zéros à chaque secteur ..

Une fois approuvé, à ma satisfaction, j'ai mis en place le processus de copie. En ces jours, alors que j'étais partielle Disk Jockey Diskology, la version que j'avais alors ne semblent pas être en mesure de gérer ce qui était un gros disque pour le moment. J'ai probablement utilisé Octet Retour sur une boîte légale Intel j'avais apporté juste au cas où. J'ai commencé le processus de copie et il est allé sans accroc. Mais alors que la copie était en cours, j'ai commencé à me demander - n'était-ce pas un disque assez grand pour avoir été là à l'époque des e-mails présumés? Et d'ailleurs, n'était-ce pas l'ordinateur assez rapide pour son âge. Et est-ce Windows XP vraiment venu sur le marché avant ces e-mails auraient dû être écrit? Je commençais à soupçonner que le jeu était truqué, et que je ne trouverais e-mails supprimés de la demanderesse sur cet ordinateur.

J'ai discuté de la question avec Debby. J'ai deviné que le demandeur avait raison à propos de la tâche étant inutile - car je devine que les e-mails incriminés n'ont jamais été sur cet ordinateur. J'ai dit que je serais prêt à les chercher, mais je n'ai pas envie de perdre de trésorerie de mon client. Debby m'a demandé de regarder sur la question de l'âge des composants «quand je suis rentré à l'AC. A quelques enquêtes avec le fabricant et quelques recherches Google plus tard, j'étais assez bien convaincu que le bonhomme n'avait jamais écrit ces e-mails sur cet ordinateur. Windows XP était presque trop nouvelle, le disque avait un couple de semaines trop modernes, et l'ordinateur a été un mois ou deux plus jeunes que les e-mails.

Debby a appelé l'avocat adverse - qui n'avait aucune idée pourquoi ce ne serait pas le système d'origine ... jusqu'à ce qu'il vérifié auprès de son homme. Il s'avère qu'il avait «le mettre sur le trottoir pour la collecte des ordures" parce qu'il "ne fonctionnait pas." Les avocats n'étaient pas contents. Le tribunal n'était pas heureux. La seule solution était pour moi d'aller dans les neuf frères et soeurs dans quatre états de copier leurs ordinateurs personnels et de passer au crible les e-mails pour les contrevenants.

Pensez-vous qu'ils étaient heureux d'entendre parler de moi? Seriez-vous si votre frère vous a mis sur la sellette comme ça? Chacun d'entre eux a dû accepter qu'un parfait inconnu - celui qui a travaillé contre leur frère bien-aimé - pourrait venir dans leur maison et regarder à travers tout sur leurs ordinateurs personnels. L'exemple le plus révélateur de leur mécontentement était d'un frère, un ancien Viet Nom de l'époque béret vert, qui - en réponse à mon appel téléphonique demandant quel serait le bon moment pour se présenter - a dit: «Je n'ai pas passé deux ans en marche de haut en bas le Dieu ** m piste Ho Chi Minh pour cette s ** t! " J'ai compris.

Il s'avère que l'avocat adverse n'avait jamais eu l'occasion de raconter ce groupe un gars informatique judiciaire serait de les appeler, ils ont besoin de coopérer. J'ai découvert ça quand j'ai dit à Debby de la résistance juste que j'avais heurtée. Elle se redressa avec un avocat et la prochaine série d'appels téléphoniques que j'ai faites aux fratries était beaucoup plus agréable.

Les jours suivants, voyageant d'un État à État, de ville en ville, le frère à la sœur à son frère et ainsi de suite pour copier les données privées de neuf membres de la famille innocents eu ses défis. Mais c'est une autre histoire en soi ... Je vais vous épargner la plupart des détails. À mon retour, le protocole a appelé pour moi de rechercher toutes les données pour toute correspondance provenant - appelons-le «Le frère» qui faisait référence à ses luttes avec ... nous appelons cela de café. J'étais alors d'imprimer les références que j'ai trouvé, et envoyer une copie à la fois au juge et à l'avocat adverse pour examen privilège et la pertinence. Debby et son cabinet ne sont pas pour obtenir un regard sur les données jusqu'à ce que tout soit privé ou non pertinente avait été choisi, et que le reste produite.

Qu'ai-je trouver? Autour de la période des emails présumées, voilà, j'ai trouvé emails réels. Toute la famille a parlé de la lutte du Frère avec du café, des enquêtes individuelles dans le café, et le procès à venir sur le café. À un moment donné, un courriel a souligné que cette Burgess gars allait être à la recherche en e-mail de tout le monde, et serait-il pas logique de ne pas parler de café? Ils ont accepté. Ils ont maintenant ne parlait que de ... "Le C-Word».

Qu'ai-je trouver quand j'ai effectué ma découverte électronique et numérique analyse médico-légale? Eh bien, la plupart du temps, je ne peux pas en parler. Il ya certaines choses sur votre ordinateur, vous ne voudriez pas me parler, j'en suis sûr. Il ya des choses sur mon ordinateur, je ne voudrais pas me parler non plus! E-discovery doit souvent être un processus assez privé.

Mais il y avait une conclusion particulièrement intéressante. Quand j'ai appelé le Frère Green Beret (GBB) de la place de sa sœur à travers la ville, et a demandé la permission de la tête sur plus de rendre la copie de son ordinateur, il obligeamment m'a dit que c'était correct. Quand je suis arrivé, il m'a d'abord demandé de lire et signer une déclaration que je n'aurais pas le tenir responsable de tout dommage à moi ou mon équipement - involontaire ou non. Eh bien, c'était un peu effrayant venant d'un homme formé dans les arts de la furtivité, la guerre, et sans doute le garrot. Mais, comme le papier ne semblait pas être un document juridique, je l'ai signé, si ce n'était ce qui me pour faire mon travail. Il était assez agréable, la musique qu'il avait sur était bon, et la copie s'est déroulée sans accroc. Et je suis parti en vie et en bon état - un plus, en effet!

Une fois dans mon laboratoire, j'ai découvert la dernière chose que ce qui s'était passé sur son ordinateur. Environ une minute après mon appel la permission d'aller plus, GBB avait envoyé un e-mail lui-même, puis immédiatement supprimé. Le sujet, tout en majuscules, était «CAFÉ!" Pas de "C-Word" dupant autour de lui. Le message dans le corps était simple et succinct: «Si vous trouvez cet e-mail, F *** YOU!!!" C'est agréable quand une personne sait comment il se sent et est capable de l'exprimer librement. Il y avait aussi une photographie supprimé attaché à l'email supprimé. En revenant même, il s'est avéré être une photo très récente d'un doigt du milieu prolongé - sans doute le doigt de GBB. Les aides visuelles sont toujours utiles dans la compréhension du sujet, tu ne crois pas?

En fin de compte, j'ai réalisé environ 75 pages de documentation, je pensais pertinente. Bien sûr, j'ai dû inclure missive de GBB. Comme prévu avocat adverse a appelé tout sans pertinence ou privilégiés. De plus, comme prévu, le juge a autorisé tous les documents que j'avais produites - avec un nombre de lignes expurgées - à livrer à mon client. Le favori de tous était le peu alphabétisés produite par GBB.

Quant au frère - le tribunal a décidé que non seulement il n'est pas très honnête, en raison de la destruction des données les plus importantes dans le cas - son ordinateur d'origine - mais les preuves et les courriels pertinents a montré qu'il était apparemment en bon état par le café . L'affaire est allée à la défaite, Debby et son cabinet étaient heureux, et GBB est devenu une légende.

Ceci est juste l'un des nombreux "* CSI - Computer Forensics Files: Cas réels de Burgess Forensics». Restez à l'écoute pour plus d'histoires de tromperie découverts par l'informatique judiciaire.

* Le Dictionnaire gratuit répertorie plus de 160 définitions pour CSI à acronyms.thefreedictionary.com. Nous choisissons Scene Investigation informatique....