Informatyka śledcza - wykrywanie nadużyc i przestępstw


Dowody na dysku twardym, telefonie?

Informatyka śledcza, czyli dostarczanie elektronicznych środków dowodowych pozwalających m.in. na wykrywanie nadużyć i przestępstw, dokonanych z użyciem komputera lub innych urządzeń elektronicznych.

Zobacz Raport Pranie pieniędzy 2014


Co można udowodnić?

Kto? Co? Jak? Gdzie? Kiedy?

Dzięki informatyce śledczej można odtworzyć kolejność działań na komputerze lub innym urządzeniu elektronicznym w czasie: Kto? Co? Gdzie? Kiedy? Jak?

Poprzez działania informatyki śledczej można udowodnić m.in.:

  • defraudacje środków finansowych,
  • łamania prawa pracy,
  • kradzież danych,
  • celowe niszczenie danych,
  • szpiegostwo przemysłowe,
  • łamanie praw autorskich,
  • nadużycia finansowe,
  • ujawnianie tajemnicy handlowej,
  • sprawy kryminalne (handel narkotykami, terroryzm, zorganizowana przestępczość, pedofilia)
  • i wiele innych

Co to jest dowód elektroniczny?


  • Jest to taka informacja w formie elektronicznej, która może mieć znaczenie dowodowe,
  • Dowody elektroniczne należą do kategorii dowodów rzeczowych,
  • Dowody elektroniczne powinny być wierne, autentyczne, obiektywne, kompletne i przystępne,
  • Dowodem elektronicznym mogą być dane tekstowe (np. wiadomości e-mail), dane numeryczne (np. dane księgowe), graficzne (zdjęcia, rysunki, schematy), dźwiękowe (np. zapis rozmowy), wizualno-dźwiękowe (np. zapis kamery internetowej),
  • Elementami składowymi dowodu elektronicznego mogą być np.: pliki wraz z zawartością, dane z archiwów, logi, informacje odzyskane, dane pochodzące z monitoringu.

Dowodem nie są nośniki danych! Jedynie zapis na nośniku.


Proces informatyki śledczej

 

Zgromadzenie dowodów polega m.in. na zabezpieczeniu nośników danych i stworzeniu dwóch kopii binarnych dla każdego nośnika.

  • jeden z wykonanych obrazów nośnika używany jest do analizy danych pod kątem poszukiwania określonych z góry kryteriów,
  • drugi obraz nośnika zostaje zabezpieczony. W przypadku wystąpienia poszukiwanych informacji stanowi on materiał dowodowy.
Na cykl czynności związanych z informatyką śledczą składają się:
  • zabezpieczenie danych z dostępnych nośników;
  • przygotowanie kopii, na której pracują specjaliści (oryginalny nośnik zostaje zabezpieczony);
  • odfiltrowanie nieistotnych danych (pliki należące do systemu operacyjnego oraz typowych programów czy powtarzające się pliki);
  • analiza zebranych dowodów pod kątem prowadzonej sprawy;
  • przedstawienie raportu;
  • udostępnianie i prezentacja danych oraz opiniowanie w sprawie sądowej.
Każdy z etapów pracy musi być udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej. Jednym ze sposobów zachowania wartości dowodowej materiałów jest oznaczenie ich unikalną sumą kontrolną, gwarantującą identyczność materiału źródłowego i kopii. Raport stanowi podsumowanie i zestawienie znalezionych materiałów dowodowych. Odnalezione w ten sposób elektroniczne dowody przestępczości mogą być wykorzystane jako materiały dowodowe w sądzie

Wysoka skuteczność i doświadczenie

Rozwiązania Kroll Ontrack oparte są na prawie trzydziestoletnim doświadczeniu w obszarze dostarczania elektronicznych środków dowodowych i odzyskiwaniu danych. Na całym świecie współpracujemy z kancelariami prawniczymi, działami prawnymi największych korporacji, policją, służbami bezpieczeństwa, prokuraturą i sądami. Oferujemy rozwiązania techniczne spójne z obowiązującym systemem prawnym w danym Państwie.


Zaawansowane technologie

Kroll Ontrack oferuje dostęp do obecnie największego i najbardziej zaawansowanego technologicznie laboratorium w Europie Środkowo – Wschodniej:

  • 30 stanowisk pozwalających na działania w zakresie odzyskiwania danych i informatyki śledczej,
  • Komory laminarne oraz odpowiednie otoczenie zapewniają sterylne warunki, pozwalające na pracę na otwartych nośnikach danych,
  • Wanny ultradźwiękowe służące do osuszania i oczyszczania zabrudzonych nośników,
  • Wyspecjalizowane stacje robocze do działań precyzyjnych na pamięciach flash i dyskach przenośnych,
  • Stale powiększana serwerownia (obecnie 35TB przestrzeni dyskowej na cele analizy danych),
  • Dostęp do unikatowej i opatentowanej przez Kroll Ontrack technologii Zdalnego Odzyskiwania Danych,
  • Odizolowane i zabezpieczone pomieszczenie przeznaczone na analizy danych poufnych, tajnych i ściśle tajnych,
  • Oprócz standardowych rozwiązań, takich jak programy Encase Guidance, Paraben i X-ways, Oxygen i Vogon wykorzystujemy kilkaset własnych rozwiązań dedykowanych specjalnym przypadkom,
  • W pełni wyposażony zespół Data Acquisition do celów zabezpieczania danych, gotowy do działań w trybie 24/7. Wyposażenie obejmuje sprzęt (m. in. blockery, urządzenia master lock,) i oprogramowanie,
  • Dostęp do zasobów korporacyjnych pozwalający rozwiązywać najtrudniejsze przypadki,
  • 30 oddziałów w 19 krajach świata, co pozwala nam na przeprowadzanie skoordynowanych akcji o charakterze międzynarodowym,
  • Nieustannie szkoleni specjaliści w Polsce i za granicą,
  • Dział badawczo-rozwojowy, który pozwala na rozwiązywanie nawet najtrudniejszych przypadków.

Zobacz wybrane przypadki zastosowań informatyki śledczej na rynku Polskim:

Rozwiązana umowa o pracę
Firma projektowa specjalizująca się w opracowywaniu projektów instalacji hydraulicznych zdecydowała się na rozwiązanie umowy o pracę z jednym z projektantów. Specjalista pracował przy tworzeniu kilku aktualnie realizowanych przez firmę zleceń. W chwili odejścia z pracy wykasował dotychczasowe wyniki swojej pracy, uznając je za swoją własność. Zgodnie z polskim ustawodawstwem efekty pracy wykonanej przez pracownika w trakcie trwania stosunku pracy należą do pracodawcy, nie pracownika. Właściciele firmy projektowej wskutek wykasowania danych narażeni zostali na poniesienie wysokich kar z tytułu niedotrzymania terminów wykonania projektów. Określenie okoliczności wykasowania danych powierzyli specjalistom firmy Kroll Ontrack specjalizującej się m.in. w informatyce śledczej. Specjaliści Kroll Ontrack wykazali, kiedy i w jaki sposób usunięto dane - informacje te mogły następnie zostać wykorzystane jako środki dowodowe w przypadku skierowania sprawy do sądu. Ponadto udało się odzyskać utracone dane.

Dysk Aleksandry Jakubowskiej i dyski wykradzione z MSZ
Do końca lat dziewięćdziesiątych świadomość istnienia informatyki śledczej była w Polsce niemalże zerowa. Zmiany nastąpiły dopiero wtedy, gdy działania związane z informatyką śledczą (ang. computer forensics) stały się udziałem głośnych medialnie spraw, jak np. afera Rywina czy wykradzenie dysków z Ministerstwa Spraw Zagranicznych. Jednocześnie wydarzenia te pokazały, jak istotna może okazać się praca specjalistów takich firm, jak m.in. Kroll Ontrack. W roku 2002 rozpoczęło się śledztwo związane z tzw. aferą Rywina. Jednym z kluczowych dla śledztwa działań było odzyskanie wiadomości pocztowych ze sformatowanego dysku minister Aleksandry Jakubowskiej. Znajdowały się na nim dowody pozwalające prokuraturze na ustalenie przebiegu wydarzeń w jednym z wątków afery korupcyjnej.

Zarząd kontra pracownik
Pracownik jednej z firm został posądzony przez pracodawcę o przeglądanie w czasie pracy stron internetowych o tematyce niezwiązanej z realizowanymi zadaniami. Dowodem miała być wykasowana historia odwiedzanych stron www. Pozycja pracownika w firmie została zagrożona. Oskarżony pracownik, nie zgadzając się z zarzutami zarządu firmy, zdecydował się udowodnić, że nie odwiedzał stron internetowych, które nie miałyby związku z realizowanymi zadaniami. Z analizy dokonanej przez firmę Kroll Ontrack, której zlecono dostarczenie informacji o rzeczywistym przebiegu sytuacji wynikało, że w czasie pracy pracownik rzeczywiście nie odwiedzał wspomnianych stron internetowych. Działania Kroll Ontrack pozwoliły więc na oczyszczenie go z zarzutów.

Komputer prezesa Wirtualnej Polski
Sprawa komputera prezesa Wirtualnej Polskiej jest przykładem straty jaką poniosła jedna ze stron z powodu braku świadomości istnienia usług informatyki śledczej w Polsce. Większościowy udziałowiec portalu wp.pl zawarł porozumienie z posiadaczami udziałów stanowiącymi mniejszość, w którym zobowiązał się do odkupienia reszty udziałów po upływie określonego czasu. Cena wykupienia udziałów miała zależeć bezpośrednio od ilości użytkowników portalu. Po upływie terminu, w którym miało nastąpić odkupienie udziałów okazało się, że pakiet mniejszościowy był droższy niż łączna kapitalizacja dwóch najbardziej konkurencyjnych portali. Większościowy udziałowiec wycofał się z podjętego zobowiązania. Podjęte zostały działania prowadzące do pogorszenia kondycji finansowej portalu, a w konsekwencji do doprowadzenia portalu do upadłości. Mniejszościowi udziałowcy zdecydowali się na zweryfikowanie zawartości komputera przenośnego jednego z managerów. Komputer zawierający dane, które miały stanowić materiał dowodowy w sprawie, zdeponowano u notariusza. Zanim to jednak nastąpiło osoby te otwarły pliki, w których znajdowały się strategiczne dla sprawy informacje - materiały mające świadczyć o próbie doprowadzenia portalu do upadłości. Niestety otwierając dokument zmieniono jego atrybuty włącznie z datą utworzenia, pozbawiając dokument wartości dowodowej. W przypadku zlecenia takich działań firmie Kroll Ontrack specjaliści zabezpieczyliby nośnik, wykonaliby kopię jego zawartości bez uruchamiania plików jednocześnie umożliwiając osobom prowadzącym dochodzenie dostęp do danych. W ten sposób wartość dowodowa zgromadzonego materiału zostałaby zachowana.

Elektroniczne dowody fałszerstw
Do firmy Kroll Ontrack trafiło zgłoszenie przesłane przez prokuraturę prowadzącą śledztwo w sprawie fałszowania dokumentów. Podczas przesłuchań trzy zatrzymane osoby posługujące się sfałszowanymi dokumentami przyznały się do winy. Jednocześnie okazało się, że współpracował z nimi informatyk, który przygotowywał w wersji elektronicznej kopie dokumentów tożsamości, zaświadczeń o zatrudnieniu i pieczątek. Po tym zeznaniu prokuratura wydała nakaz aresztowania podejrzanego o fałszerstwo oraz nakazała zarekwirowanie sprzętu komputerowego, z użyciem którego dokonywano fałszerstw. Na porę zatrzymania podejrzanego wybrano wieczór. W czasie interwencji funkcjonariuszy fałszerz dokumentów próbował zniszczyć komputer uderzając nim o ziemię. Jego działania odniosły skutek - dysk twardy z laptopa uległ fizycznemu uszkodzeniu fizycznemu. W takim przypadku jedynym możliwym sposobem odzyskania danych było otwarcie nośnika w laboratoryjnych warunkach oraz wykorzystanie technologii umożliwiającej odtworzenie danych bezpośrednio z otwartego nośnika. W przypadku fałszerza specjaliści katowickiego laboratorium Kroll Ontrack odzyskali 74 pliki zawierające wzorce spreparowanych dokumentów. Informacje te posłużyły jako materiał dowodowy w prowadzonym przez prokuraturę dochodzeniu.

Komputer wyrzucony z okna
Osoby, które łamią prawo pilnie strzegą informacji mogących je pogrążyć. Ponieważ wiele takich danych jest archiwizowanych na komputerach (często przenośnych) jednym ze sposobów na oskarżenie podejrzanego jest zgromadzenie elektronicznych dowodów łamania prawa. Przestępcy najczęściej korzystają z komputerów przenośnych. Pozwala im to na ciągły dostęp do ważnych danych. W razie potrzeby jest też łatwiej pozbyć się notebook'a niż setek lub tysięcy kartek papieru. Tak przynajmniej sądził ścigany przez policję przestępca - księgowy jednej z dużych grup przestępczych. Uciekając dotarł na dach budynku i zrzucił z niego komputer przenośny z obciążającymi go informacjami. Ponieważ dane te mogły być decydujące w śledztwie do ich odzyskania zatrudniono Kroll Ontrack. Cały komputer po upadku był mocno zniszczony. Jednak z uszkodzonego dysku udało się odzyskać ok. 7 proc. danych. Taka ilość informacji wystarczyła do obciążenia podejrzanego. Odbywa on obecnie karę pozbawienia wolności.

Kradzież i wykorzystanie danych przez konkurencję
Udostępnianie danych osobom, które przeprowadzają dla danej firmy określone projekty może niekiedy okazać się niezwykle ryzykowne. Doświadczyło tego jedno z największych biur projektowych, które na potrzeby realizacji jednego ze swych zleceń postanowiło podjąć współpracę z inną firmą. Miała ona wesprzeć działania biura i wraz z jego pracownikami utworzyć zespół zajmujący się projektem przez następne czternaście miesięcy. Powołany zespół pracował w siedzibie biura projektowego (zleceniodawcy). Dzięki temu pracownicy firmy wspomagającej biuro mieli potencjalną szansę na bezprawny dostęp do wszelkich danych znajdujących się na komputerach ich zleceniodawcy. W trakcie realizacji projektu pracownicy biura przypadkowo odkryli, iż na rynku pojawiły się produkty bazujące na rozwiązaniach technologicznych stworzonych przez nich samych. W tej sytuacji, obawiając się przecieku, przeprowadzono analizę komputerów pracowników, serwerów danych oraz przesyłanych dokumentów. Pozwoliło to na ustalenie źródła przecieku, którym okazał się zespół projektowy, a dokładnie jeden z pracowników firmy zatrudnionej przez biuro. Ustalono, że kilkakrotnie włamywał się on na serwery, gdzie przechowywane były dane pochodzące z innych projektów, po czym przesyłał je na serwery swej macierzystej firmy. Odkrycie tych działań nie byłoby możliwe bez szczegółowej analizy komputerów biura projektowego, dokonanej przez specjalistów i poprawnego zabezpieczenia elektronicznych środków dowodowych, które mogły być użyte w sądzie. Zarazem przypadek ten pokazuje, jak istotne jest zabezpieczenie danych firmy, których wykorzystanie może być w przyszłości przyczyną jej poważnych problemów.

Agencja reklamowa z Krakowa
Pracownik działu sprzedaży jednej z czołowych krakowskich agencji reklamowych założył własną działalność gospodarczą. Dysponując dostępem do zapytań ofertowych kierowanych do agencji przygotowywał konkurencyjne oferty w imieniu własnej firmy oferując organizatorom przetargów ceny niższe niż pracodawca. Właściciele agencji reklamowej zaniepokojeni kolejnym niepowodzeniem zdecydowali o sprawdzeniu jakości pracy swojego pracownika. Dysk twardy komputera pracownika przesłali do laboratorium odzyskiwania danych Kroll Ontrack prosząc o odzyskanie wykasowanych informacji. Wśród odzyskanych plików nie znaleziono żadnego dokumentu wskazującego na winę pracownika. Właściciele agencji reklamowej nie poinformowali jednak specjalistów o celu zlecenia, którym było znalezienie dowodów na działanie nielojalnego pracownika - co nie jest równoznaczne z odzyskaniem danych. Sprawa trafiła do działu Kroll Ontrack zajmującego się dostarczaniem elektronicznych środków dowodowych. Okazało się, że zleceniodawcy błędnie założyli, iż pliki zostały tylko skasowane. W rzeczywistości na ich miejsce zostały zapisane nowe informacje. W konsekwencji na dysku pozostały tylko fragmenty plików zawierające kluczowe informacje. Wśród odtworzonych informacji znalazły się konta bankowe, na które trafiały pieniądze z przegranych przez agencję, a wygranych przez firmę pracownika kontraktów, części ofert, wiadomości poczty elektronicznej dokumentujące działania pracownika. Informatycy Śledczy Kroll Ontrack odtworzyli również część wiadomości wysyłanych z prywatnego konta na komercyjnym portalu internetowym, do którego pracownik logował się bezpośrednio poprzez stronę www, bez pośrednictwa programu pocztowego.

Sprawa gdańskiej gimnazjalistki
Działania związane z informatyką śledczą nie dotyczą jedynie danych zamieszczonych na dyskach twardych komputerów, ale również na takich urządzeniach, jak pamięci flash, bądź telefony komórkowe. W związku ze zwiększającą się liczbą funkcji i pojemności telefonów komórkowych, dane z nich pochodzące mogą stać się cennym źródłem dowodowym, wykorzystywanym w informatyce śledczej. Jednym z takich przypadków była udana próba odzyskania filmu zapisanego na telefonie komórkowym jednego z gdańskich licealistów w roku 2006. Film ten był zapisem napastowania jednej z gimnazjalistek przez grupę jej kolegów, w tym chłopca nagrywającego to zdarzenie podczas lekcji w szkole. Nagranie to zostało następnie opublikowane w Internecie, co mogło być powodem samobójczej śmierci dziewczynki. Po tym zdarzeniu i rozgłosie, jaki został mu nadany w mediach, chłopcy skasowali film. Telefon został jednak zabezpieczony przez policję, której przedstawiciele w toku postępowania przekazali aparat do analizy specjalistom firmy Kroll Ontrack. W katowickim laboratorium informatyki śledczej odzyskano wykasowaną zawartość telefonu, w tym nagranie z lekcji. Film został wykorzystany w sprawie.

Nieuczciwi pracownicy
Coraz powszechniejszy staje się ostatnio problem nieuczciwych pracowników. Do najliczniejszych przypadków, którymi zajmują się informatycy śledczy należy m.in. kradzież danych przez nieuczciwych pracowników. Przykładem takiej sytuacji jest jedna z firm informatycznych, zajmująca się tworzeniem i wdrożeniami aplikacji biznesowych. Zespół zatrudniony do obsługi jednego z klientów firmy postanowił przejąć proponowane przez firmę rozwiązania (zespół przygotowywał się do kradzieży kodu źródłowego informacji) i sprzedać je poza nią, po uprzednim zwolnieniu się poszczególnych osób z pracy. Ustalono nawet osobną pulę pieniędzy, która miała być przeznaczona na ewentualną karę nałożoną przez pracodawcę. Propozycję, która miała być tańsza od oryginalnej, złożył jeden z handlowców, będący w bezpośrednim kontakcie z klientem. W wyniku tego klient postanowił zerwać umowę z firmą i skorzystać z tańszej oferty złożonej przez nieuczciwych pracowników. Zaniepokojony takim postępowaniem klienta zarząd firmy postanowił przeanalizować zaistniałą sytuację i w wyniku własnych ustaleń dotyczących handlowca zdecydował się na dalsze kroki - zlecenie firmie Kroll Ontrack analizy komputerów, urządzeń PDA oraz telefonów komórkowych należących do zespołu. Podjęte przez specjalistów działania dały pełny obraz nieuczciwych działań pracowników i pozwoliły firmie na wyciągnięcie prawnych konsekwencji w stosunku do zaangażowanych w to działanie osób.


Zobacz wybrane przypadki ze świata:

Wybory w USA
W 2000 roku w Stanach Zjednoczonych toczyła się zacięta walka o urząd prezydenta. Wzrok całego świata był skierowany wówczas na Amerykę, gdzie o wynikach miały zadecydować ułamki głosów wyborców. Przełożyło się to na konieczność niezwykle dokładnej analizy głosowania. Pojawiły się wzajemne oskarżenia sztabów i komisji wyborczych o nieprawidłowości w procedurach i błędy w liczeniu głosów. W związku z zaistniałą sytuacją, konsorcjum utworzone przez największe amerykańskie media, zleciło firmie Kroll Ontrack weryfikację wyników wyborów w stanie Floryda. Specjaliści Kroll Ontrack stworzyli kopie czterech twardych dysków znajdujących się w biurze Katherine Harris - ówczesnego Sekretarza Stanu na Florydzie. Istniało bowiem podejrzenie, że Republikanie użyli komputerów rządowych do prowadzenia kampanii wyborczej. Pracownicy Kroll Ontrack przeanalizowali dostępne i odzyskane dane pod kontem 91 słów kluczowych. Po około 20 godzinach firma dostarczyła konsorcjum kompletny raport z działań informatyki śledczej, który pozwolił stwierdzić czy doszło do nieprawidłowości i próby manipulacji głosami.

Jednoczesne zebranie środków dowodowych w trzech różnych krajach
Eksperci działu Ontrack Forensics otrzymali zlecenie tzw. akwizycji danych polegającej na skopiowaniu informacji elektronicznych w taki sposób, aby nie straciły one wartości dowodowej (narzędzia wykorzystywane przez Kroll Ontrack pozwalają na zachowanie tzw. sumy kontrolnej. Jej niezmieniona wartość gwarantuje brak ingerencji w zawartość zabezpieczanych plików elektronicznych). Identyczną operację przeprowadzili w tym samym czasie specjaliści Kroll Ontrack w Niemczech i we Francji. Zleceniodawcą był zarząd francuskiej firmy farmaceutycznej. Powodem do zatrudnienia "elektronicznych detektywów" było podejrzenie o malwersacje finansowe zarządu polskiego oddziału firmy, którego członkowie otworzyli firmę pośredniczącą w zakupach dla koncernu oferując towary po cenach nierynkowych i powodując w ten sposób powstanie wymiernych strat dla firmy. Operacja zebrania materiałów dowodowych przeprowadzana w każdym z trzech krajów tej samej nocy odbyła się w obecności prawnika, notariusza i służby ochrony mienia. Specjaliści Kroll Ontrack skopiowali dane z każdego komputera w firmie oraz z urządzeń służących do archiwizacji danych firmowych. Każde z miejsc pracy zostało sfotografowane. Dane z Niemiec i Polski trafiły następnie do Francji. Podobnie jak dane z siedziby głównej koncernu, zostały poddane analizie. Wynikało z niej, że przypuszczenie działania na szkodę koncernu przez zarząd polskiego oddziału firmy jest prawdziwe. Po analizie wyników analizy zarząd francuskiego koncernu zdecydował się na zmianę całego personelu polskiego oddziału (zarządu i pracowników). Nie wiadomo, czy członkom zarządu wytoczono procesy.

"Bomba" na serwerze
W Stanach Zjednoczonych pewnemu pracownikowi dużej korporacji została wytoczona sprawa o umyślne spowodowanie utraty strategicznych danych jego pracodawcy. Miało to doprowadzić do znacznych strat firmy, a w rezultacie do zwolnienia 100 jej pracowników. W trakcie analizy dokonywanej przez specjalistów Kroll Ontrack okazało się, że pracując jeszcze w korporacji, pracownik stworzył program komputerowy, który niszczył dane. Program umieścił na serwerze firmowym. Okazało się, że narzędzie działało na zasadzie bomby zegarowej. "Bombę" aktywował nieświadomie jeden z pracowników, logując się po określonym czasie na serwerze firmowym. Specjaliści wykazali winę zwolnionego pracownika obalając główny argument obrony, jakoby dane firmowe zostały skasowane przypadkowo. Wykazali dodatkowo, że na prywatnym komputerze oskarżonego znajdowały się dane identyczne z tymi, które posłużyły do stworzenia groźnego programu. Po analizie wszystkich danych znajdujących się na serwerach pocztowych oraz koncie pocztowym podejrzanego pracownika specjaliści Kroll Ontrack przedstawili materiał dowodowy w sądzie. Dopiero te działania umożliwiły udowodnienie winy pracownika.

Nieuczciwe praktyki Microsoftu
W roku 1997 okazało się, że przeciw informatycznemu gigantowi - Microsoft'owi - toczy się śledztwo mające na celu udowodnienie działań monopolistycznych. Dowodem w śledztwie była wiadomość pocztowa odnaleziona przez specjalistów informatyki śledczej. Odtworzona wiadomość była dowodem na to, że włączenie przeglądarki Internet Explorer do systemu operacyjnego Windows było świadomą decyzją zarządu Microsoft Corporation mającą na celu zdobycie przewagi rynkowej nad konkurencyjnym produktem firmy Netscape. Przypadek ten pokazuje, że nawet taki gigant informatyczny, jak Microsoft nie jest w stanie ukryć swoich danych przed działaniami specjalistów zajmujących się informatyką śledczą.