Sketchy forensics practices
Nov. 21st, 2018 01:43 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineИз Шэрил Атткиссон по поводу обамского шпионства за ней и другими журналистами:
https://sharylattkisson.com/?p=6260
Sounds like bullshit. Любого болвана, начинающего заниматься дижитал форензикс, учат, что подозрительное медиа следует подключать как рид-онли и первым же шагом следует делать низкоуровневую копию. Даже адаптеры-приборы есть, например, для SATA дисков, исключающие возможность записи на уровне схемотехники. Специально для дебилов, которые не в состояние обеспечить монтирование тома с флагом рид-онли.
Это не всегда соблюдается в ситуации инцидент респонса, когда бизнес простаивает из-за малвари и теряются бабки. В этом случае, после информирования о последствиях, владелец бизнеса может принять решение из соображений ускорения процесса не париться со всей этой chain of custody, снятием копий и т.п. Особенно, когда насрать на кто именно может стоять за атакой и куда важнее сделать обратно чтобы всё работало как раньше.
Совершенно иная ситуация когда принесли лэптоп, юзер уже получил spare и не горит. За такое дело вообще-то выгоняют нахуй из профессии, это пиздец кокойты, совершенно невообразимая ситуация. И этот "government analyst" и этот "Number One". Они, блеать, даже Шэрил не проинформировали об этом, а решение в этом случае принимается всегда владельцем, в данном случае это Шэрил/ЦБС.
Здесь нужно быть не грейтфул, а на пинках остолопов гнать ссаными тряпками из любого приличного общества.
He explains that since my sources have to be protected, even from CBS, we will reach out to a trusted, private analysis firm and see if they can duplicate the findings of an intrusion on the CBS computer. If so, he says, we can then go to CBS News chairman Jeff Fager and CBS News president David Rhodes with the information.
But there’s a challenge with this plan: I notice that that typewritten note from Number One says my computer is now “clean.” Does that mean everything has been wiped from it?
I communicate with Number One to ask the question. The next day, he returns with an answer. The inside government analyst did wipe the computer.
“Why did he do that?” I ask Number One. I’m forever grateful for the help he’s given. Without it I probably wouldn’t even know today that I’d been the subject of a criminal intrusion. But why did he wipe the evidence?
“I don’t know. I’m not sure in the beginning we really expected to find anything. And I guess we never talked about what the procedure would be if we did,” says Number One.
It’s true. In fact, I’m pretty sure none of us in the group actually expected any real evidence to be discovered. We never played out the scenario.
https://sharylattkisson.com/?p=6260
Sounds like bullshit. Любого болвана, начинающего заниматься дижитал форензикс, учат, что подозрительное медиа следует подключать как рид-онли и первым же шагом следует делать низкоуровневую копию. Даже адаптеры-приборы есть, например, для SATA дисков, исключающие возможность записи на уровне схемотехники. Специально для дебилов, которые не в состояние обеспечить монтирование тома с флагом рид-онли.
Это не всегда соблюдается в ситуации инцидент респонса, когда бизнес простаивает из-за малвари и теряются бабки. В этом случае, после информирования о последствиях, владелец бизнеса может принять решение из соображений ускорения процесса не париться со всей этой chain of custody, снятием копий и т.п. Особенно, когда насрать на кто именно может стоять за атакой и куда важнее сделать обратно чтобы всё работало как раньше.
Совершенно иная ситуация когда принесли лэптоп, юзер уже получил spare и не горит. За такое дело вообще-то выгоняют нахуй из профессии, это пиздец кокойты, совершенно невообразимая ситуация. И этот "government analyst" и этот "Number One". Они, блеать, даже Шэрил не проинформировали об этом, а решение в этом случае принимается всегда владельцем, в данном случае это Шэрил/ЦБС.
Здесь нужно быть не грейтфул, а на пинках остолопов гнать ссаными тряпками из любого приличного общества.
no subject
Date: 2018-11-21 09:17 pm (UTC)абсолютно не у дискурсі, але могли просто сказали "wiped" суто для того щоб вона від'їбалася
no subject
Date: 2018-11-21 09:27 pm (UTC)