samtidige noter: en retsmediciner' s bedste ven

by Posted on

dette indlæg kan faktisk være ret kort: skriv samtidige noter. Dér. Gjort. Færdig.

brug for flere detaljer?

at skrive samtidige noter er den smarteste, bedste og vigtigste ting, du vil gøre i din dfir-karriere. De vil hjælpe dig, redde dig, beskytte dig og hjælpe dig i alle aspekter af dit arbejde. Gør ikke fejlen ved at tro, at samtidige noter vil være nogle ‘ekstra beviser’, der får dig i problemer eller modsiger dine rapportresultater. I stedet vil de være din bedste ven.

Hvad er samtidige noter?

jeg er ikke advokat, så jeg vil bare give dig min tage. Samtidige noter er dokumentation for, hvad du gjorde, sagde, observeret, eller fik at vide. Disse produceres af dig i løbet af dit arbejde. De skal skrives så tæt som praktisk til arrangementet. Det kan være håndskrevne noter, et skrevet dokument, logfiler/skærmbilleder fra værktøjer, e-mails, fotografier/videoer eller en <indsæt favorit note tager app her> fil. I virkeligheden, de vil sandsynligvis være en blanding af alle disse.

samtidige noter bruges, så du kan redegøre for dine handlinger under en hændelse eller efterforskning. De hjælper også andre, der arbejder i dit team, med at vide, hvilke handlinger du har taget. Dette vil undgå fejl, dobbeltarbejde eller (værre) manglende trin, der skal udføres. Endelig, samtidige noter vil give bevis og ansvarlighed for dine handlinger i ugerne, måneder, eller endda år efter det faktum.

reglerne for samtidige noter

der er ingen hårde og hurtige regler, og alle vil udvikle deres stil, når de skriver flere og flere noter. Nogle mennesker skriver kun lidt og foretrækker at stole på logfiler over værktøjer, skærmbilleder eller fotografier. Andre vil dokumentere obsessivt. Du bliver nødt til at finde, hvad der fungerer for dig og din stil, såvel som din type DFIR-arbejde. Du skal også tage hensyn til eventuelle lovgivningsmæssige rammer, du falder ind under.

så lad os starte med følgende:

  1. alle poster, fotos eller logfiler skal have en dato og et klokkeslæt. Denne dato og tid behøver ikke at blive synkroniseret til et svensk atomur, men det skal være nøjagtigt.
  2. hvis du er håndskriftsnotater, og du laver en fejl, panik, krydse det, du skrev med en enkelt linje, så det er stadig læsbart, skriv hvad du mente, og underskriv og dato det krydsede afsnit.
  3. hvis du har glemt at dokumentere en begivenhed (og du er håndskriftsnotater eller har udskrevet dem), skal du nederst skrive ‘ude af drift’, angive dato og klokkeslæt for begivenheden og derefter tilføje de relevante detaljer. Skriv om nødvendigt dette håndskrevne afsnit.

Hvad skal jeg medtage?

du kan ikke medtage alt, men du skal finde ud af, hvad der er vigtigt at dokumentere. Hvis du laver et billede af en harddisk, skal du ikke skrive MD5/SHA1 ud, hvis den er i værktøjsloggen – bare Inkluder loggen i dine noter. Tænk på de tågede aspekter af dit arbejde, der ikke er fanget af værktøjslogfiler eller anden automatiseret output.

nogle områder, jeg mener er kritiske for dokumentet, er:

  1. dato / tid du blev involveret i en undersøgelse/hændelse.
  2. hvor du befinder dig (på stedet, over telefonen, fjernadgang osv.).
  3. når du modtager information; hvem leverede disse oplysninger.
  4. når du har givet råd eller en statusopdatering; til hvem; og hvilke oplysninger blev givet.
  5. trin, du tog, når du beskæftiger dig med en hændelse eller håndterer beviser.
  6. afholdt møder; der var til stede på disse møder; mødets generelle kerne; kritiske beslutninger truffet på dette møde.
  7. hvis du har givet mundtlige muligheder eller anbefalinger til en klient eller ledelse (f. eks. omfanget af et brud, hvilke følsomme data blev potentielt eksfiltreret, ulovlige data identificeret, mulige indeslutnings-eller afhjælpningstrin); hvad var disse muligheder? Hvem gav du dem til?
  8. forstod klienten disse muligheder? Hvad valgte de (eller ikke valgte) at gøre?
  9. når du har modtaget data/beviser/oplysninger og fra hvem.
  10. når du har videregivet data/beviser/oplysninger til nogen, eller placeret det et eller andet sted.
  11. et værktøjs succes (f.eks.
  12. fejl i et værktøj (f.eks. hukommelsesfejl, scriptbrud, harddisk ikke læsbar).
  13. da du stoppede med at arbejde eller lavede en skiftændring. Hvem overdrog du ejerskabet til? Hvilke oplysninger gav du dem?
  14. …sandsynligvis mere, som folk kan tilføje her

det er meget. Andet?

ja, skriv ned, når du fyldte op.

Ha Ha Ha. Sikker.

nej virkelig. Faldt en harddisk? Lav en note. Glemte at hash en hukommelsesprøve, indtil du kom tilbage til laboratoriet? Hash filen. Lav derefter en note. Fyldt op en tidssone i dine beregninger? Ordne det. Lav en note.

noter beskytter dig. Folk begår fejl. Du vil lave fejl. Hvis du har dit arbejde peer gennemgået eller udfordret, derefter have disse noter vil sikkerhedskopiere din version af begivenheder. Sikker på, du har glemt at hash output af et værktøj. Det sker. Men du ordnede det. Det er bedre end hashing det, ikke dokumentere det, og så et eller to år senere spekulerer på, hvorfor hashens tidsstempel er tre dage efter hukommelsesfangsten. Det er altid meget værre at forklare fejl uden noter for at sikkerhedskopiere din version af begivenheder. Noter giver dig troværdighed, selvom du begik en fejl.

så … ‘samtidige’, hvad betyder det?

i en ideel verden starter dine noter, når du starter en undersøgelse, men dette er ikke kritisk eller undertiden praktisk. Naturligvis, jo tættere du skriver noterne til den aktuelle begivenhed, jo bedre. Men den gyldne regel er ‘nogle noter skrevet efter det faktum, er bedre end ingen noter overhovedet’. For eksempel er du ude, og du tager et telefonopkald. Under dette opkald, du triage en situation, give råd, og træffe en beslutning om, hvilke handlinger du eller dit team kan gøre. Hvis du skriver disse noter op næste dag, er det OK. Det faktum, at du skriver dem op, er den vigtige del.

hvordan skal jeg tage samtidige noter?

der er masser af programmer. Sandheden er, at uanset hvilket program der fungerer for dig og arbejder med dit team. Hvis alle bruger OneNote: brug derefter det. Hvis folk har en specialiseret applikation, er det fornuftigt at justere dine noter til det pågældende program. Jeg har lagt nogle links i bunden af dette indlæg, og hvis du har nogen favoritter, så lad mig det vide, så tilføjer jeg dem.

udskriver jeg dem…eller hash dem … eller hvad?

igen er der ingen anden regel end at gøre den konsistent. Bedste praksis (efter min mening) ville være at i det mindste have en underskrevet, papirkopi. Dette er simpelthen fordi (skulle det komme til det) advokater og domstole elsker underskrevne papirkopier. Ja, du kan kryptografisk underskrive et dokument eller hash filen(E), og det er nok godt at lave en blanding af verifikationer som denne. Igen skal du ledes af dit team eller lovgivningsmæssige rammer.

hvis du har nogle tip, eksempler, rettelser, så lad mig det vide på eller via kvidre på @mattnotmaks. Tro mig Tro mig, at skrive klare samtidige noter er det bedste karrierebevægelse, du kan lave.

Ressourcer & Links

Opdatering 6 August 2018: Jeg blev kontaktet af skaberne af ‘Forensic Notes’, og i betragtning af at deres produkt ser ud til at være designet til ovenstående formål, har jeg inkluderet dem nedenfor. Der blev ikke opnået nogen personlig fordel ved at promovere nogen af nedenstående applikationer. Jeg har også bemærket betalte / gratis muligheder.

OneNote (betalt)
KeepNote (Gratis, ser ikke ud som om det er blevet opretholdt i et stykke tid).
Case Notes Professional (gratis)
Dradis (gratis)
Forensic Notes (gratis/betalt)
en flok mere på dfir.træning

Published by admin

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.