dChan


783 : 名無し編集部員 [sage] : 2013/08/30 (木) 15:00:00 ID: GpOLVnlt
Jim-san, good night working?
ah, watch your steps. Wherever you go, there might have million of traps.
so far as i know;
Handling section/charge_window of these kind of cases in TMPD has their operating hours;
their business hours are from 9:00 to 17:00 on weekdays.
this is another reason which made me to stop posting message of >710.
However i post the message(#710) here, it's past 5pm of friday, off serivce hour.


There's another point of view.
If the police officer and/or someone who is asked/chosen as case investigator of the Trial/Judge,
they will need to see those evidences as is.
How do you show/explain the attack/intrusion was?
If you've erased whole disks, no one can investigate what happened on the system.
In other words, you are helping real culprit by erasing evidences, isn't it?

If you only need the IMMEDIATE SAFETY instead of future investigation
by the forensic section of police/Judge, that's a good idea
to eliminate the overridden system from any HDDs.

This also related to >755.

I believe that you've already put original disks as evidence in the into the vault for the future investigation.
I expect that what you erased are the duplicated disks to check what attack/intrusion was done in the system.
It requires so many disks sometime. (since i don't know how big/large your sistem is...)
But, it's value to duplicate so that you keep the evidence for future investigation.

rgds.

japanese section; 日本語訳には一部加筆有り
Jimさん、足元に気を付けてね。あなたが歩む先全てには百万もの罠が仕掛けられている。
私が知る限りでは、警視庁のサイバー犯罪対策課はフルタイム営業の外勤と異なり
営業時間があって、それは平日の9時5時です。(>>685参照)
これが、(遅ればせながら>710に示した)書き込みを躊躇させた理由なのです。
既に金曜の夕方5時を過ぎていましたので、彼らが受け付けるのは翌週の月曜になってしまうから。


もう一つの意見を書きます。
もし警察官もしくは司法により専任された事例検証人たちは、証拠物件をありのままに調べることを望むはずです。
あなたは彼らにどう示し/説明しますか? もしあなたが(今回の件に関与した鯖たちの)全ディスクを消去しているならば、
それらのシステムに何が起きていたのかを検証する術は無くなってしまいます。
言い換えれば、証拠隠滅することで真犯人を利する行為に荷担してるんじゃ?

あなたは、警察の鑑識活動や司法により専任された事例検証人の活動よりも
一刻も早い安全回復を望んだのであれば、乗っ取られたシステムの
HDD全てのデータを消去してしまうことは良いアイデアだったと思う。

これは>755にも関連してます。

私は、あなたが攻撃を受けた時の全ディスクは証拠として金庫に保管してあると信じます
あなたが消去したのは攻撃/侵入がどのように行われたのか調べるための複製ディスクだったと期待している。
複製を行うことは場合により数多くのディスクを必要とします(あなたのシステムがどれ程の規模なのか知らないし)。
将来の調査活動のために証拠を保全することは価値のある行為だと思うのですが。

よろぴくね。