Computação Forense CSI - Casos reais de Burgess Forense # 12 - caso do computador que se perdeu

As histórias são verdadeiras, os nomes e lugares foram alterados para proteger a potencialmente culpados.

Alguns anos atrás, Debby Johnson, um advogado de uma grande empresa com sede em Kansas City, contactou-me sobre um assunto relativamente simples. Eu estava a viajar para escritórios no Sacramento do meu San Francisco-área laboratórios, copiar uma unidade de disco do computador, e localizar e-mails enviados pelo autor aos seus irmãos e irmãs, de que ele tinha nove anos. O caso foi uma ação de responsabilidade produto por um valor de dezenas de milhões de dólares. O autor alegou que sua saúde tinha sido danificada pelo produto defeituoso de uma empresa internacional, embora ele fosse livre de sintomas no momento. Qual foi o produto? Vamos dizer que foi o café.

A partir da Bay Area fresco no verão, eu viajei para o centro de Sacramento, onde foi um balmy 106 graus. Eu sabia que eu estava suando, mas por dentro eu era legal. Gostaria de saber se alguém estaria em água quente em breve.

Não é incomum para mim, nunca para atender o meu cliente, para computadores pode ser enviado para mim em meu laboratório, mas Debby estava lá nos escritórios de advocacia do advogado do queixoso. Em uma sala de conferências com painéis de carvalho que se reuniu com o conselho para "o outro lado", e com o autor a si mesmo. Ele sentou-se com ar satisfeito com seu computador brilhante na mesa de conferência, amigável o suficiente, apesar de sua afirmação de que eu nunca iria encontrar os e-mails ofensivos que ele supostamente enviadas anos antes. Meu cliente acreditava que este homem tinha enviado e-mails a seus irmãos que refutar sua afirmação - que iria mostrar-lhe estar a fazer-se um caso de prender um fresco poucos 10 milhões.

Tirei o disco rígido do sistema do nosso homem para fazer uma cópia forense para trabalhar e analisar. Fiquei surpreso ao descobrir que o disco rígido de 100 GB era de tamanho. Uma unidade do que a capacidade era relativamente novo e incomum ver em um caso tão cedo depois que tinha chegado no mercado. Eu estava preparado para uma unidade de disco muito menor, como eu tinha dito que eu estaria vendo uma cerca de 20% do tamanho. Felizmente, houve uma eletrônica superstore perto, então eu tirava meu paletó, acionei o ar condicionado no meu vagão minivan / laboratório (que a beleza acabou de mais de 200.000 milhas no dia em que eu estou escrevendo isso), e dirigiu-se em mais de um pouco de novos equipamentos. Quarenta e cinco minutos e um pouco de borracha derretido depois que cheguei de volta ao local para limpar a unidade forense novo disco, escrevendo zeros para cada setor ..

Uma vez liberado para minha satisfação, eu configurar o processo de cópia. Naqueles dias, quando eu era parcial Jockey Diskology do disco, a versão que eu tinha, então, não parece ser capaz de lidar com o que era uma movimentação tão grande para a época. Eu provavelmente usado Byte Voltar em uma caixa Intel forense eu tinha trazido para o caso. Comecei o processo de cópia e foi sem problemas. Mas, enquanto a cópia estava a decorrer, comecei a me perguntar - não era esta uma unidade muito grande para ter sido em torno do momento de supostos e-mails? E para que o assunto, não foi este computador muito rápido para a sua idade. E se o Windows XP realmente entrar no mercado antes de estes e-mails eram para ter sido escrito? Eu estava começando a suspeitar que o jogo foi fraudada, e que eu nunca iria encontrar e-mails excluídos do querelante no mesmo computador.

Discuti o assunto com Debby. Imaginei que o queixoso estava certo sobre a tarefa de ser inútil - pois sabia que os e-mails ofensivos nunca foram neste computador. Eu disse que estaria disposto a olhar para eles, mas eu não queria perder dinheiro do meu cliente. Debby me pediu para analisar a questão da idade dos componentes, quando voltei a HQ. Algumas perguntas com o fabricante e um par de pesquisas do Google mais tarde, eu estava muito bem convencido de que o homem nunca tinha escrito os e-mails no computador. O Windows XP foi quase muito nova, o disco foi um par de semanas muito modernos, eo computador foi um mês ou dois mais jovens do que os e-mails.

Debby chamado o conselho de oposição - que não tinha idéia de por que isso pode não ser o sistema original ... até que ele verificou com o seu homem. Acontece que ele tinha "defini-lo na calçada para coleta de lixo", porque "não estava funcionando". Os advogados não foram felizes. O tribunal não estava feliz. A única solução era para eu ir para os nove irmãos e irmãs em quatro estados para copiar seus computadores pessoais e peneirar aqueles para os e-mails ofensivos.

Você acha que eles ficaram felizes ao ouvir de mim? Você seria se o seu irmão colocá-lo no local como esse? Cada um deles tinha que concordar que um perfeito desconhecido - um que estava trabalhando contra o seu irmão amado - poderia entrar em suas casas e procurar através de tudo em seus computadores pessoais. O exemplo mais revelador de seu descontentamento foi de um irmão, um ex-Boina Viet Nome da era Green, que - em resposta ao meu telefonema perguntando quando seria uma boa hora para aparecer - disse: "Eu não passar dois anos marchando cima e para baixo o Deus ** m Ho Chi Minh Trail para este ** t! " Eu entendi.

Acontece que o conselho de oposição nunca tinha chegado a cerca de contar este grupo que um computador cara forense seria chamá-los e eles precisavam cooperar. Descobri isso quando eu disse Debby da resistência justo eu tinha vindo a enfrentar. Ela endireitou-lo com conselhos e o próximo conjunto de telefonemas que fiz para os irmãos era muito mais agradável.

Os próximos dias, viajando de estado para estado cidade, para a cidade, irmão de irmã para irmão e assim por diante para copiar os dados particulares de nove membros inocentes da família teve seus desafios. Mas isso é uma história em si ... Eu vou poupá-lo a maioria dos detalhes. Após o meu regresso, o protocolo chamado para eu procurar todos os dados para qualquer correspondência - vamos chamá-lo de "irmão" que faz referência a sua luta com ... estamos chamando de café. Eu era então imprimir as referências que encontrei, e enviar uma cópia, tanto para o juiz e para o conselho de oposição para revisão privilégio e relevância. Debby e sua empresa não fosse para dar uma olhada nos dados até nada de particular ou irrelevantes fora escolhido, e somente o restante produzido.

O que eu acho? Por volta da época dos e-mails alegados, e eis que eu encontrei e-mails reais. A família toda estava falando sobre a luta do Irmão com café, suas investigações individuais em café, e da ação sobre o café próximo. Em um ponto, um e-mail apontam para que este Burgess cara ia estar olhando para e-mail de todos, e não faria sentido não falar sobre o café? Eles concordaram. Eles agora falou apenas de ... "O C-Word".

O que mais eu encontrar quando me apresentei a minha descoberta eletrônica e análise forense digital? Bem, para a maior parte, eu não posso falar sobre isso. Há algumas coisas em seu computador que você não quer que eu falar, eu tenho certeza. Há coisas no meu computador eu não iria me querer falar sobre qualquer um! E-descoberta, muitas vezes tem que ser um processo muito particular.

Mas houve uma descoberta particularmente interessante. Quando liguei para o irmão Green Beret (GBB) do lugar de sua irmã em toda a cidade, e pediu permissão para dirigir sobre para fazer a cópia de seu computador, ele gentilmente me disse que estava tudo bem. Quando cheguei lá, ele me pediu para ler e assinar uma declaração de que eu não iria segurá-lo responsável por qualquer dano a mim ou meu equipamento - intencionais ou não. Bem, isso foi um pouco assustador vindo de um cara treinado nas artes da dissimulação, da guerra e, sem dúvida, o garrote. Mas, como o papel não parece ser um documento legal, eu assinei, se era isso que ia me pegar em fazer o meu trabalho. Ele era bastante agradável, a música que ele tinha na era bom, ea cópia correu sem problemas. E eu deixei vivo e sem danos - um plus, de fato!

Uma vez no meu laboratório, descobri a última coisa que havia acontecido em seu computador. Cerca de um minuto após o meu telefonema permissão para passar por cima, GBB tinha enviado um e-mail próprio e logo em seguida apagou. O assunto, tudo em maiúsculas, era "café!" No "C-Word" brincando para ele. A mensagem no corpo era simples e sucinto: "Se você encontrar este e-mail, F *** YOU!!" É bom quando uma pessoa sabe como ele se sente e é capaz de expressá-la livremente. Houve também uma fotografia excluído anexado ao email excluído. Após a recuperação mesmo, acabou por ser uma foto muito recente de um dedo médio estendido - presumivelmente dedo GBB da. Recursos visuais são sempre úteis para a compreensão do assunto, você não acha?

No final, eu produzi cerca de 75 páginas de documentação eu achava relevante. Claro, eu tinha de incluir missiva do GBB. Como esperado conselho opondo chamado de tudo, irrelevantes ou privilegiada. Também como esperado, o juiz permitiu todos os documentos que tinham produzido - com um número de linhas redigidas - a ser entregue ao meu cliente. Favorito de todos foi o pouco letrado produzido por GBB.

Como para o irmão - o tribunal decidiu que não só ele não foi muito honesto, devido à destruição dos dados mais importantes, no caso - o seu computador original - mas as provas e os e-mails relevantes mostrou que ele era aparentemente intactas pelo café . O caso foi a derrota, Debby e sua empresa estavam felizes, e GBB se tornou uma lenda.

Este é apenas um dos muitos "* CSI - Computer Forensics Arquivos: Casos reais de Burgess Forense". Fique ligado para mais histórias de engano descoberto por computação forense.

* O Free Dictionary lista mais de 160 definições de CSI em acronyms.thefreedictionary.com. Nós escolhemos Scene Investigation computador....