Soudobé Poznámky: forensicator's nejlepší kamarádkou

by Posted on

Tento příspěvek může být ve skutečnosti docela krátký: napište soudobé poznámky. Kde. Být. Dokončený.

potřebujete více podrobností?

psaní současných poznámek je nejchytřejší, nejlepší a nejdůležitější věc, kterou uděláte ve své kariéře DFIR. Pomohou vám, zachrání vás, ochrání vás a pomohou vám ve všech aspektech vaší práce. Nedělejte chybu, když si myslíte, že současné poznámky budou nějaké “další důkazy”, které vás dostanou do potíží, nebo jsou v rozporu se zjištěními vaší zprávy. Místo toho budou vaším nejlepším přítelem.

co jsou současné poznámky?

nejsem právník, takže vám dám svůj názor. Současné poznámky jsou dokumentárním důkazem toho, co jste udělali, řekli, pozorovali nebo jim bylo řečeno. Ty jsou vyráběny vámi v průběhu vaší práce. Měly by být napsány co nejblíže k události. To může být ručně psané poznámky, zadaný dokument, protokoly / screenshoty z nástrojů, e-maily, fotografie/videa, nebo <vložit oblíbené poznámky při aplikaci zde> soubor. V realitě, pravděpodobně budou kombinací všech těchto.

současné poznámky se používají, abyste mohli odpovídat za své činy během incidentu nebo vyšetřování. Pomáhají také ostatním, kteří pracují ve vašem týmu, aby věděli, jaké kroky jste podnikli. Tím se zabrání chybám, duplicitě práce nebo (horšímu) chybějícím krokům, které je třeba provést. Konečně, současné poznámky poskytnou důkazy a odpovědnost za vaše činy v týdnech, měsíce, nebo dokonce roky po skutečnosti.

“pravidla” současných poznámek

neexistují žádná tvrdá a rychlá pravidla a každý si bude rozvíjet svůj styl, když bude psát stále více poznámek. Někteří lidé píší jen málo a raději se spoléhají na protokoly nástrojů, screenshotů nebo fotografií. Jiní budou dokumentovat posedle. Budete muset najít to, co bude pracovat pro vás a váš styl, stejně jako váš typ práce DFIR. Musíte také vzít v úvahu jakýkoli regulační rámec, pod který spadáte.

začněme tedy s následujícím:

  1. všechny záznamy, fotografie nebo protokoly by měly mít datum a čas. Toto datum a čas nemusí být synchronizovány se švýcarskými atomovými hodinami, ale měly by být přesné.
  2. Pokud jste rukopis poznámky a uděláte chybu, panika, přes to, co jsi napsal, s jeden řádek, tak je stále čitelný, napište, co jste myslel, pak podepsat a datum přeškrtnuté části.
  3. Pokud jste zapomněli zdokumentovat událost (a ty jsou rukopis poznámky nebo tisknout nich), na dně napsat ‘mimo provoz’, dal datum a čas události a pak přidejte příslušné detaily. V případě potřeby podepište tuto ručně psanou sekci.

co bych měl zahrnout?

nemůžete zahrnout vše, ale musíte zjistit, co je důležité dokumentovat. Pokud vytvoříte obrázek pevného disku, nepište MD5 / SHA1, pokud je v protokolu nástrojů – stačí zahrnout protokol do poznámek. Přemýšlejte o mlhavých aspektech vaší práce, které nejsou zachyceny protokoly nástrojů nebo jiným automatizovaným výstupem.

některé oblasti, které považuji za důležité pro dokument, jsou:

  1. datum/čas, kdy jste se zapojili do vyšetřování / incidentu.
  2. kde se nacházíte (na místě, po telefonu, vzdálený přístup atd.).
  3. když obdržíte informace; kdo tyto informace poskytl.
  4. když jste poskytli radu nebo aktualizaci stavu; komu; a jaké informace byly poskytnuty.
  5. kroky, které jste podnikli při řešení incidentu nebo při manipulaci s důkazy.
  6. schůze konané; kdo byl přítomen na těchto schůzích; obecná podstata schůze; kritická rozhodnutí učiněná na této schůzi.
  7. Pokud jste za předpokladu, slovní volby, nebo doporučení, aby klient nebo řízení (např. rozsah porušení, co citlivých údajů byl potenciálně zmizel, nedovolené údajů identifikovat, je to možné uzavření nebo sanační kroky); jaké byly ty možnosti? Komu jste je poskytl?
  8. rozuměl klient těmto možnostem? Co si vybrali (nebo si nevybrali)?
  9. když jste obdrželi data / důkazy/informace a od koho.
  10. když jste někomu předali data / důkazy/informace nebo je někam umístili.
  11. úspěch nástroje (např. pevný disk úspěšně zobrazený).
  12. selhání nástroje (např. selhání snímání paměti, přerušení skriptu, pevný disk není čitelný).
  13. když jste přestali pracovat nebo provedli změnu směny. Na koho jste převedl vlastnictví? Jaké informace jste jim poskytl?
  14. … pravděpodobně více, že lidé mohou přidat zde

to je hodně. Ještě něco?

Ano, zapište si, když jste se nacpali.

Ha Ha Ha. Jist.

ne opravdu. Upustil pevný disk? Poznamenat. Zapomněli jste si dát vzorek paměti, dokud jste se nevrátili do laboratoře? Hash soubor. Pak si poznamenejte. Nacpal Časové pásmo ve svých výpočtech? Sprav to. Poznamenat.

poznámky vás chrání. Lidé dělají chyby. Budete dělat chyby. Pokud máte svou práci recenzovanou nebo napadenou, pak tyto poznámky zálohují vaši verzi událostí. Jistě, Zapomněli jste hash výstup nástroje. Stává se to. Ale spravil jsi to. Je to lepší, než hash, ne dokumentující to, a pak jeden nebo dva roky později přemýšlel, proč časové razítko hash je tři dny po paměti zachytit. Vždy je mnohem horší vysvětlit chyby bez poznámek k zálohování vaší verze událostí. Poznámky vám dávají důvěryhodnost, i když jste udělali chybu.

takže … “současné”, co to znamená?

v ideálním světě se vaše poznámky začnou při zahájení vyšetřování, ale to není kritické nebo někdy praktické. Je zřejmé, že čím blíže píšete poznámky ke skutečné události, tím lépe. Nicméně, zlaté pravidlo je “některé poznámky napsané po faktu, jsou lepší než žádné poznámky vůbec”. Například jste venku a telefonujete. Během tohoto hovoru, třídíte situaci, poskytnout radu, a rozhodněte se, jaké akce byste vy nebo váš tým mohli udělat. Pokud tyto POZNÁMKY napíšete další den, je to v pořádku. Skutečnost, že je píšete, je důležitá část.

Jak mám brát současné poznámky?

existuje spousta softwarových programů. Pravdou je, že jakýkoli program pracuje pro vás a pracuje s vaším týmem. Pokud každý používá OneNote: pak to použijte. Pokud mají lidé specializovanou aplikaci, pak má smysl sladit vaše poznámky s tímto softwarem. Dal jsem nějaké odkazy v dolní části tohoto příspěvku, a pokud máte nějaké oblíbené, dejte mi vědět a já je přidat.

mám je vytisknout … nebo je hash … nebo co?

opět neexistuje žádné jiné pravidlo, než aby bylo konzistentní. Nejlepší praxe (podle mého názoru) by bylo mít alespoň podepsanou, tištěnou kopii. Je to prostě proto, že (pokud k tomu dojde) právníci a soudy milují podepsané tištěné kopie. Ano, můžete Kryptograficky podepsat dokument nebo hash soubor(y) a je to asi dobré udělat mix ověření, jako je tento. Opět byste se měli řídit vaším týmem nebo regulačním rámcem.

pokud máte nějaké tipy, příklady, opravy, dejte mi vědět na nebo přes Twitter na @mattnotmax. Věř mi věř mi, psaní jasných současných poznámek je nejlepší kariérní krok, který můžete udělat.

Zdroje & Odkazy

Aktualizace 6. Srpna 2018: Byl jsem kontaktován tvůrci “forenzních poznámek” a vzhledem k tomu, že se zdá, že jejich produkt je navržen pro výše uvedené účely, zahrnul jsem je níže. Z propagace žádné z níže uvedených aplikací nebyl získán žádný osobní prospěch. Také jsem si všiml, placené / volné možnosti.

OneNote (Placené)
KeepNote (zdarma, nevypadá, že by byl udržován za chvíli).
Case Notes Professional (zdarma)
Dradis (zdarma)
forenzní poznámky (zdarma/placené)
banda více na dfir.školení

Published by admin

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.