Computer Forensics CSI - Cas réels de la criminalistique de Burgess # 12 - Arrêt de l'ordinateur qui se sont perdues

Les histoires sont vraies, les noms et les lieux ont été changés pour protéger l'potentiellement coupable.

Il ya quelques années, Debby Johnson, un avocat d'une grande entreprise basée à Kansas City, m'a contacté au sujet d'une question relativement simple. J'étais à se rendre à des bureaux à Sacramento de mes région de San Francisco laboratoires, copier le disque d'un ordinateur, et de localiser les e-mails envoyés par le demandeur à ses frères et sœurs, dont il avait neuf ans. Le cas était une poursuite en responsabilité de produits pour un montant de plusieurs dizaines de millions de dollars. Le demandeur a fait valoir que sa santé avait été endommagé par produit défectueux une firme internationale, bien qu'il fût sans symptôme pour le moment. Quel était le produit? Disons que c'était du café.

De la Bay Area fraîche en été, je me suis rendu au centre-ville de Sacramento, où il était un 106 degrés douces. Je savais que je suais, mais à l'intérieur j'étais cool. Je me demandais si quelqu'un d'autre serait dans l'eau chaude rapidement.

Il n'est pas rare pour moi de ne jamais répondre à mon client, pour les ordinateurs peuvent être expédiés à moi à mon laboratoire, mais Debby était là dans les cabinets d'avocats de l'avocat du demandeur. Dans une salle de conférence lambrissée de chêne, nous avons rencontré l'avocat de «l'autre côté» et avec le demandeur lui-même. Il était assis béatement avec son ordinateur brillant sur la table de conférence, assez sympathique en dépit de son affirmation selon laquelle je ne trouverais jamais les e-mails offensants qu'il avait prétendument envoyés ans avant. Mon client croit que cet homme avait envoyé des courriels à ses frères et sœurs qui réfutent son affirmation - qui lui montrer à faire un cas à accrocher un peu fraîches dix millions.

J'ai enlevé le disque dur du système de notre homme de faire une copie légale de travailler avec et à analyser. J'ai été surpris de constater que le disque dur de 100 Go était de taille. Un lecteur de cette capacité était assez nouveau et rare de voir dans une affaire de cette peu après sa venue sur le marché. Je m'attendais à un disque beaucoup plus petit, comme je l'avais été dit que je voir un environ 20% de la taille. Heureusement, il y avait une électronique Superstore à proximité, donc je ôta ma veste de costume, coudés de la climatisation sur mon mini-fourgonnette / lab wagon (que la beauté vient d'avoir plus de 200.000 miles le jour où je vous écris cela), et dirigé sur plus de un peu d'engins de nouvelle. Quarante-cinq minutes et un peu de caoutchouc fondu plus tard, je suis arrivé sur les lieux pour nettoyer médico-légal le nouveau disque en écrivant des zéros à chaque secteur ..

Une fois autorisé à ma satisfaction, j'ai mis en place le processus de copie. En ces jours, alors que j'étais partielle Disk Jockey Diskology, la version que j'avais alors ne semble pas être capable de gérer ce qui était un tel disque de grande capacité pour le moment. J'ai probablement utilisé Byte Retour sur une boîte de médecine légale Intel j'avais apporté juste au cas où. J'ai commencé le processus de copie et il est allé sans accroc. Mais tandis que la copie a été de procéder, je commençais à me demander - n'était-ce pas un lecteur assez grand pour avoir été là à l'époque des e-mails présumés? Et d'ailleurs, n'était-ce pas l'ordinateur assez rapide pour son âge. Et Windows XP ne sont vraiment sur le marché avant que ces e-mails étaient d'avoir été écrite? Je commençais à soupçonner que le jeu était truqué, et que je n'aurais jamais trouver des emails supprimés de la demanderesse sur cet ordinateur.

J'ai discuté de la question avec Debby. Je devinai que le demandeur avait raison sur la tâche étant futiles - parce que je devine que les e-mails incriminés n'ont jamais été sur cet ordinateur. J'ai dit que je serais prêt à les chercher, mais je n'ai pas envie de perdre de trésorerie de mon client. Debby m'a demandé de se pencher sur la question de l'âge des composants «Quand je suis rentré à l'AC. Quelques demandes de renseignements avec le fabricant et un couple de recherches sur Google plus tard, j'étais assez bien convaincu que l'homme avait jamais écrit ces e-mails sur cet ordinateur. Windows XP était presque trop nouvelle, le disque avait un couple de semaines trop modernes, et l'ordinateur a été un mois ou deux plus jeunes que ces e-mails.

Debby a appelé l'avocat adverse - qui n'avait aucune idée pourquoi ce ne serait pas le système d'origine ... jusqu'à ce que il a vérifié avec son homme. Il s'avère qu'il avait "le mettre sur le trottoir pour la collecte des ordures", car elle "ne fonctionnait pas." Les avocats n'étaient pas contents. Le tribunal n'était pas heureux. La seule solution était pour moi d'aller dans les neuf frères et soeurs dans quatre états de copier leurs ordinateurs personnels et de passer au crible les e-mails pour les contrevenants.

Pensez-vous qu'ils étaient heureux d'entendre parler de moi? Seriez-vous si votre frère vous mettre sur la sellette comme ça? Chacun d'eux a dû accepter qu'un parfait inconnu - celui qui a travaillé contre leur frère bien-aimé - pourrait venir dans leurs maisons et regarder à travers tout sur leurs ordinateurs personnels. L'exemple le plus révélateur de leur mécontentement était d'un frère, un ancien du Viet Nom de l'époque de Green Beret, qui - en réponse à mon appel téléphonique demandant quel serait le bon moment pour se présenter - a dit: «Je n'ai pas passé deux ans en marche monter et descendre le Dieu ** m piste Ho Chi Minh pour cette s ** t! " J'ai compris.

Il s'avère que l'avocat adverse n'avait jamais eu l'occasion de dire ce groupe un gars criminalistique informatique serait de les appeler, ils ont besoin de coopérer. J'ai constaté que quand je l'ai dit Debby de la résistance juste je venais contre. Elle se redressa avec un avocat et la prochaine série d'appels téléphoniques que j'ai faites aux frères et soeurs était beaucoup plus agréable.

Les prochains jours plusieurs années, voyageant d'un État à État, de ville en ville, le frère à la sœur de à son frère et ainsi de suite pour copier les données privées de neuf membres de la famille innocents eu ses défis. Mais c'est une autre histoire en soi ... Je vais vous épargner la plupart des détails. À mon retour, le protocole appelé pour moi de chercher toutes les données pour toute la correspondance de - appelons-le "le frère" qui faisait référence à ses luttes avec les ... nous l'appelons à café. J'étais alors d'imprimer les références que j'ai trouvées, et envoyer une copie à la fois au juge et à la partie adverse pour examen privilège et la pertinence. Debby et son cabinet ne sont pas pour obtenir un regard sur les données jusqu'à ce que quelque chose soit privé ou non pertinentes avaient été choisi, et seul le reste produit.

Qu'est-ce que je trouve? Autour de l'époque des e-mails présumés, voilà, j'ai trouvé des courriels réelles. Toute la famille a parlé lutte du Frère avec café, leurs enquêtes individuelles dans le café, et le procès à venir sur le café. À un moment donné, un e-mail a souligné que cette Burgess type allait être à la recherche en e-mail de tout le monde, et serait-il pas logique de ne pas parler de café? Ils ont accepté. Ils ont maintenant ne parle que de ... "C-Word».

Qu'ai-je trouver quand j'ai exécuté ma découverte électronique et numérique analyse médico-légale? Eh bien, pour la plupart, je ne peux pas en parler. Il ya certaines choses sur votre ordinateur, vous ne voudriez pas me parler, j'en suis sûr. Il ya des choses sur mon ordinateur, je ne voudrais pas me parler non plus! E-discovery doit souvent être un processus assez privé.

Mais il y avait une conclusion particulièrement intéressante. Quand j'ai appelé le Frère Green Beret (GBB) d'un endroit de sa sœur à travers la ville, et demanda la permission de la tête sur plus de faire la copie de son ordinateur, il obligeamment m'a dit que c'était correct. Quand je suis arrivé, il m'a d'abord demandé de lire et signer une déclaration que je n'aurais pas le tenir responsable de tout dommage causé à moi ou mon équipement - involontaire ou autrement. Eh bien c'était un peu effrayant venant d'un gars formé dans les arts de la furtivité, la guerre, et sans doute le garrot. Mais, comme le papier ne semble pas être un document juridique, je l'ai signée, si c'est ce que me serait pour faire mon travail. Il était assez agréable, la musique qu'il avait sur était bon, et la copie s'est déroulée sans accroc. Et je suis parti en vie et en bon état - un atout, en effet!

Une fois dans mon laboratoire, j'ai découvert la dernière chose que ce qui s'était passé sur son ordinateur. Environ une minute après mon appel téléphonique pour la permission d'aller plus, GBB avait envoyé lui-même un e-mail, puis immédiatement supprimé. Le sujet, tout en majuscules, était «CAFÉ!" Pas de "C-Word" duper autour de lui. Le message dans le corps était simple et bref: «Si vous trouvez cet e-mail, F *** YOU!!!" C'est agréable quand une personne sait comment il se sent et est capable de l'exprimer librement. Il y avait aussi une photo supprimé attaché à l'e-mail supprimé. En revenant même, il s'est avéré être une photo très récente d'un doigt du milieu prolongé - sans doute le doigt GBB du. Les aides visuelles sont toujours utiles dans la compréhension de l'objet, vous ne pensez pas?

En fin de compte, j'ai réalisé environ 75 pages de documentation que je pensais pertinente. Bien sûr, j'ai dû inclure missive GBB du. Comme prévu l'avocat adverse a appelé tout sans pertinence ou privilégiés. Aussi comme prévu, le juge a autorisé tous les documents que j'avais produites - avec un certain nombre de lignes expurgées - être livré à mon client. Tout le monde préférée était le peu alphabétisés produite par GBB.

Quant au frère - le tribunal a décidé que non seulement il n'est pas très honnête, en raison de la destruction des données les plus importantes dans le cas - son ordinateur d'origine -, mais la preuve et les e-mails pertinents a montré qu'il était apparemment en bon état par le café . L'affaire a été à la défaite, Debby et son cabinet étaient heureux, et GBB est devenu une légende.

Ceci est juste un des nombreux "CSI * - Computer Forensics Files: Cas réels de la criminalistique de Burgess". Restez à l'écoute pour d'autres histoires de tromperie révélés par l'informatique judiciaire.

* Le Dictionnaire gratuit répertorie plus de 160 définitions pour CSI à acronyms.thefreedictionary.com. Nous choisissons Scene Investigation informatique....