Sketchy forensics practices
Nov. 21st, 2018 01:43 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineИз Шэрил Атткиссон по поводу обамского шпионства за ней и другими журналистами:
https://sharylattkisson.com/?p=6260
Sounds like bullshit. Любого болвана, начинающего заниматься дижитал форензикс, учат, что подозрительное медиа следует подключать как рид-онли и первым же шагом следует делать низкоуровневую копию. Даже адаптеры-приборы есть, например, для SATA дисков, исключающие возможность записи на уровне схемотехники. Специально для дебилов, которые не в состояние обеспечить монтирование тома с флагом рид-онли.
Это не всегда соблюдается в ситуации инцидент респонса, когда бизнес простаивает из-за малвари и теряются бабки. В этом случае, после информирования о последствиях, владелец бизнеса может принять решение из соображений ускорения процесса не париться со всей этой chain of custody, снятием копий и т.п. Особенно, когда насрать на кто именно может стоять за атакой и куда важнее сделать обратно чтобы всё работало как раньше.
Совершенно иная ситуация когда принесли лэптоп, юзер уже получил spare и не горит. За такое дело вообще-то выгоняют нахуй из профессии, это пиздец кокойты, совершенно невообразимая ситуация. И этот "government analyst" и этот "Number One". Они, блеать, даже Шэрил не проинформировали об этом, а решение в этом случае принимается всегда владельцем, в данном случае это Шэрил/ЦБС.
Здесь нужно быть не грейтфул, а на пинках остолопов гнать ссаными тряпками из любого приличного общества.
He explains that since my sources have to be protected, even from CBS, we will reach out to a trusted, private analysis firm and see if they can duplicate the findings of an intrusion on the CBS computer. If so, he says, we can then go to CBS News chairman Jeff Fager and CBS News president David Rhodes with the information.
But there’s a challenge with this plan: I notice that that typewritten note from Number One says my computer is now “clean.” Does that mean everything has been wiped from it?
I communicate with Number One to ask the question. The next day, he returns with an answer. The inside government analyst did wipe the computer.
“Why did he do that?” I ask Number One. I’m forever grateful for the help he’s given. Without it I probably wouldn’t even know today that I’d been the subject of a criminal intrusion. But why did he wipe the evidence?
“I don’t know. I’m not sure in the beginning we really expected to find anything. And I guess we never talked about what the procedure would be if we did,” says Number One.
It’s true. In fact, I’m pretty sure none of us in the group actually expected any real evidence to be discovered. We never played out the scenario.
https://sharylattkisson.com/?p=6260
Sounds like bullshit. Любого болвана, начинающего заниматься дижитал форензикс, учат, что подозрительное медиа следует подключать как рид-онли и первым же шагом следует делать низкоуровневую копию. Даже адаптеры-приборы есть, например, для SATA дисков, исключающие возможность записи на уровне схемотехники. Специально для дебилов, которые не в состояние обеспечить монтирование тома с флагом рид-онли.
Это не всегда соблюдается в ситуации инцидент респонса, когда бизнес простаивает из-за малвари и теряются бабки. В этом случае, после информирования о последствиях, владелец бизнеса может принять решение из соображений ускорения процесса не париться со всей этой chain of custody, снятием копий и т.п. Особенно, когда насрать на кто именно может стоять за атакой и куда важнее сделать обратно чтобы всё работало как раньше.
Совершенно иная ситуация когда принесли лэптоп, юзер уже получил spare и не горит. За такое дело вообще-то выгоняют нахуй из профессии, это пиздец кокойты, совершенно невообразимая ситуация. И этот "government analyst" и этот "Number One". Они, блеать, даже Шэрил не проинформировали об этом, а решение в этом случае принимается всегда владельцем, в данном случае это Шэрил/ЦБС.
Здесь нужно быть не грейтфул, а на пинках остолопов гнать ссаными тряпками из любого приличного общества.
no subject
Date: 2018-11-21 08:37 pm (UTC)> Любого болвана, начинающего заниматься дижитал форензикс
могу себе представить, что аналитик -- это индус, который умеет вставлять флэшку с инсталлятором винды, загружаться с неё и щёлкать инсталл-некст-некст-формат-некст
ему сказали, что "на компе был мальвар" и надо take care -- какой нафиг форенсик, какие скази, какие приборы... для индуса аналист это просто +300 баксов лычки, которые ничего не значат. написано -- analyst needed, ну я аналист например, могу и архитектом, и менеджером
обман нанимателя это не грех, а тактика
no subject
Date: 2018-11-21 09:02 pm (UTC)no subject
Date: 2018-11-25 04:53 am (UTC)Бгг! Теперь ваще сам факт для меня лично под вопросом.
no subject
Date: 2018-11-21 09:01 pm (UTC)По идее Шерил самой стоило бы обучится самостоятельному проведению таких несложных операций с собственным оборудованием.
no subject
Date: 2018-11-21 09:03 pm (UTC)Но она же девачка. Она в это не можит. Физицски. Блондинко.
no subject
Date: 2018-11-21 09:17 pm (UTC)абсолютно не у дискурсі, але могли просто сказали "wiped" суто для того щоб вона від'їбалася
no subject
Date: 2018-11-21 09:27 pm (UTC)