Contemporaneous Notes: a forensicator's best friend

by Posted on

Dieser Beitrag kann eigentlich ziemlich kurz sein: Schreiben Sie contemporaneous notes. Dort. Erfolgen. Fertig.

Benötigen Sie weitere Details?

Das Schreiben von zeitgleichen Notizen ist das klügste, Beste und Wichtigste, was Sie in Ihrer DFIR-Karriere tun werden. Sie werden dir helfen, dich retten, dich beschützen und dir in jedem Aspekt deiner Arbeit helfen. Machen Sie NICHT den Fehler zu denken, dass gleichzeitige Notizen einige zusätzliche Beweise sind, die Sie in Schwierigkeiten bringen oder Ihren Berichtsergebnissen widersprechen. Stattdessen werden sie dein bester Freund sein.

Was sind contemporaneous notes?

Ich bin kein Anwalt, also gebe ich Ihnen nur meine Meinung. Zeitgenössische Notizen sind dokumentarische Beweise dafür, was Sie getan, gesagt, beobachtet oder erzählt haben. Diese werden von Ihnen im Laufe Ihrer Arbeit produziert. Sie sollten so nah wie möglich an der Veranstaltung geschrieben werden. Es können handschriftliche Notizen, ein getipptes Dokument, Protokolle / Screenshots von Tools, E-Mails, Fotos / Videos oder eine < Einfügen der bevorzugten Notizen-App hier > Datei sein. In Wirklichkeit werden sie wahrscheinlich eine Mischung aus all diesen sein.

Zeitgleiche Notizen werden verwendet, damit Sie Ihre Aktionen während eines Vorfalls oder einer Untersuchung berücksichtigen können. Sie helfen auch anderen, die in Ihrem Team arbeiten, zu wissen, welche Maßnahmen Sie ergriffen haben. Dadurch werden Fehler, Doppelarbeit oder (noch schlimmer) fehlende Schritte vermieden. Schließlich liefern zeitgleiche Notizen Beweise und Rechenschaftspflicht für Ihre Handlungen in den Wochen, Monaten oder sogar Jahren nach der Tat.

The ‘rules’ of contemporaneous notes

Es gibt keine festen Regeln, und jeder wird seinen Stil entwickeln, wenn er immer mehr Noten schreibt. Manche Leute schreiben nur wenig und verlassen sich lieber auf Protokolle von Tools, Screenshots oder Fotos. Andere werden obsessiv dokumentieren. Sie müssen herausfinden, was für Sie und Ihren Stil sowie für Ihre Art von DFIR-Arbeit geeignet ist. Sie müssen auch alle rechtlichen Rahmenbedingungen berücksichtigen, unter die Sie fallen.

Beginnen wir also mit Folgendem:

  1. Alle Einträge, Fotos oder Protokolle sollten ein Datum und eine Uhrzeit haben. Dieses Datum und diese Uhrzeit müssen nicht mit einer Schweizer Atomuhr synchronisiert sein, aber es sollte genau sein.
  2. Wenn Sie handschriftliche Notizen machen und einen Fehler machen, Panik, streichen Sie das, was Sie geschrieben haben, mit einer einzigen Zeile durch, damit es noch lesbar ist, schreiben Sie, was Sie gemeint haben, und unterschreiben und datieren Sie den durchgestrichenen Abschnitt.
  3. Wenn Sie vergessen haben, ein Ereignis zu dokumentieren (und Sie schreiben Notizen oder haben sie ausgedruckt), schreiben Sie unten ‘außer Betrieb’, geben Sie das Datum und die Uhrzeit des Ereignisses ein und fügen Sie dann die relevanten Details hinzu. Unterschreiben Sie diesen handschriftlichen Abschnitt bei Bedarf.

Was soll ich einschließen?

Sie können nicht alles einschließen, aber Sie müssen herausfinden, was wichtig zu dokumentieren ist. Wenn Sie ein Image einer Festplatte erstellen, schreiben Sie das MD5 / SHA1 nicht aus, wenn es im Toolprotokoll enthalten ist. Denken Sie an die nebulösen Aspekte Ihrer Arbeit, die nicht von Werkzeugprotokollen oder anderen automatisierten Ausgaben erfasst werden.

Einige Bereiche, die ich für kritisch halte, sind:

  1. Datum / Uhrzeit, zu der Sie in eine Untersuchung / einen Vorfall verwickelt wurden.
  2. Wo Sie sich befinden (vor Ort, über das Telefon, Fernzugriff usw.).
  3. Wenn Sie Informationen erhalten; wer hat diese Informationen bereitgestellt.
  4. Wenn Sie Ratschläge oder eine Statusaktualisierung gegeben haben; an wen; und welche Informationen zur Verfügung gestellt wurden.
  5. Schritte, die Sie bei der Bearbeitung eines Vorfalls oder beim Umgang mit Beweisen unternommen haben.
  6. Abgehaltene Sitzungen; wer war bei diesen Sitzungen anwesend; der allgemeine Kern des Treffens; kritische Entscheidungen, die bei diesem Treffen getroffen wurden.
  7. Wenn Sie einem Kunden oder Management mündliche Optionen oder Empfehlungen gegeben haben (z. B. das Ausmaß eines Verstoßes, welche sensiblen Daten wurden möglicherweise exfiltriert, illegale Daten identifiziert, mögliche Eindämmungs- oder Behebungsschritte); Was waren diese Optionen? Wem hast du sie zur Verfügung gestellt?
  8. Hat der Kunde diese Optionen verstanden? Was haben sie gewählt (oder nicht gewählt)?
  9. Wann und von wem Sie Daten/Nachweise/Informationen erhalten haben.
  10. Wenn Sie Daten / Beweise / Informationen an jemanden weitergegeben oder irgendwo abgelegt haben.
  11. Erfolg eines Tools (z.B. Festplatte erfolgreich abgebildet).
  12. Ausfall eines Tools (z. B. Speichererfassungsfehler, Skriptbruch, Festplatte nicht lesbar).
  13. Wenn Sie aufgehört haben zu arbeiten oder einen Schichtwechsel vorgenommen haben. An wen haben Sie das Eigentum übertragen? Welche Informationen haben Sie ihnen zur Verfügung gestellt?
  14. … wahrscheinlich mehr, die Leute hier hinzufügen können

Das ist viel. Sonst noch was?

Ja, schreiben Sie auf, wenn Sie gestopft haben.

Haha. Sicher.

Nein wirklich. Eine Festplatte fallen lassen? Notieren Sie sich. Haben Sie vergessen, eine Speicherprobe zu hashen, bis Sie ins Labor zurückgekehrt sind? Hash die Datei. Dann notieren Sie sich. Haben Sie eine Zeitzone in Ihre Berechnungen eingefügt? Repariere es. Notieren Sie sich.

Notizen schützen Sie. Menschen machen Fehler. Sie werden Fehler machen. Wenn Sie Ihre Arbeit von Experten begutachten oder herausfordern lassen, werden diese Notizen Ihre Version der Ereignisse sichern. Sicher, Sie haben vergessen, die Ausgabe eines Tools zu hashen. Es passiert. Aber du hast es repariert. Es ist besser, als es zu hashen, es nicht zu dokumentieren und sich dann ein oder zwei Jahre später zu fragen, warum der Zeitstempel des Hashs drei Tage nach der Speichererfassung liegt. Es ist immer viel schlimmer, Fehler ohne Notizen zu erklären, um Ihre Version von Ereignissen zu sichern. Notizen geben Ihnen Glaubwürdigkeit, auch wenn Sie einen Fehler gemacht haben.

Also… ‘zeitgemäß’, was bedeutet das?

In einer idealen Welt beginnen Ihre Notizen, wenn Sie eine Untersuchung beginnen, aber dies ist nicht kritisch oder manchmal praktisch. Je näher Sie die Notizen an das eigentliche Ereignis schreiben, desto besser. Die goldene Regel lautet jedoch: Einige Notizen, die nachträglich geschrieben wurden, sind besser als gar keine Notizen. Zum Beispiel sind Sie unterwegs und nehmen einen Anruf entgegen. Während dieses Anrufs triagieren Sie eine Situation, geben Ratschläge und treffen eine Entscheidung darüber, welche Maßnahmen Sie oder Ihr Team ergreifen könnten. Wenn Sie diese Notizen am nächsten Tag aufschreiben, ist es in Ordnung. Die Tatsache, dass Sie sie aufschreiben, ist der wichtige Teil.

Wie soll ich zeitgleiche Notizen machen?

Es gibt viele Softwareprogramme. Die Wahrheit ist, dass das Programm für Sie UND Ihr Team funktioniert. Wenn jeder OneNote verwendet: dann verwenden Sie das. Wenn Personen über eine spezielle Anwendung verfügen, ist es sinnvoll, Ihre Notizen an dieser Software auszurichten. Ich habe am Ende dieses Beitrags einige Links eingefügt, und wenn Sie Favoriten haben, lassen Sie es mich wissen und ich werde sie hinzufügen.

Drucke ich sie … oder hasche sie … oder was?

Auch hier gibt es keine andere Regel, als sie konsistent zu machen. Best Practice (meiner Meinung nach) wäre, zumindest eine unterschriebene, gedruckte Kopie zu haben. Dies liegt einfach daran (sollte es dazu kommen), dass Anwälte und Gerichte signierte Ausdrucke lieben. Ja, Sie könnten ein Dokument kryptografisch signieren oder die Datei (en) hashen, und es ist wahrscheinlich gut, eine Mischung aus solchen Überprüfungen durchzuführen. Auch hier sollten Sie sich von Ihrem Team oder regulatorischen Rahmen leiten lassen.

Wenn Sie Tipps, Beispiele oder Korrekturen haben, lassen Sie es mich unter oder über Twitter unter @mattnotmax wissen. Vertrauen Sie mir, glauben Sie mir, Das Schreiben klarer gleichzeitiger Notizen ist der beste Karriereschritt, den Sie machen können.

Ressourcen & Links

Aktualisierung 6. August 2018: Ich wurde von den Machern von ‘Forensic Notes’ kontaktiert und da ihr Produkt für die oben genannten Zwecke entwickelt wurde, habe ich sie unten aufgeführt. Es wurde kein persönlicher Nutzen daraus gezogen, eine der folgenden Anwendungen zu bewerben. Ich habe auch bezahlte / kostenlose Optionen notiert.

OneNote (BEZAHLT)
KeepNote (KOSTENLOS, Sieht nicht so aus, als wäre es schon eine Weile gepflegt worden).
Case Notes Professional (KOSTENLOS)
Dradis (KOSTENLOS)
Forensic Notes (KOSTENLOS / KOSTENPFLICHTIG)
Ein paar mehr bei dfir.ausbildung

Published by admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.