Notas contemporáneas: el mejor amigo de un forense's

by Posted on

Este post puede ser bastante corto: escribe notas contemporáneas. Alli. Terminado. Terminar.

Necesita más detalles?

Escribir notas contemporáneas es lo más inteligente, lo mejor y lo más importante que hará en su carrera de DFIR. Ellos te ayudarán, te salvarán, te protegerán y te ayudarán en cada aspecto de tu trabajo. NO cometas el error de pensar que las notas contemporáneas serán una “evidencia adicional” que te meterá en problemas o contradecirá los hallazgos de tu informe. En cambio, serán tu mejor amigo.

¿Qué son las notas contemporáneas?

No soy abogado, así que te daré mi opinión. Las notas contemporáneas son evidencia documental de lo que hiciste, dijiste, observaste o te contaron. Estos son producidos por usted durante el curso de su trabajo. Deben escribirse lo más cerca posible del evento. Puede ser notas escritas a mano, un documento escrito, registros/capturas de pantalla de herramientas,correos electrónicos, fotografías / videos o un archivo <insertar aplicación favorita para tomar notas aquí >. En realidad, probablemente serán una mezcla de todos ellos.

Las notas contemporáneas se utilizan para que pueda dar cuenta de sus acciones durante un incidente o investigación. También ayudan a otras personas que trabajan en su equipo a saber qué acciones tomó. Esto evitará errores, duplicación de trabajo o (lo que es peor) pasos faltantes que deben emprenderse. Por último, las notas contemporáneas proporcionarán evidencia y responsabilidad de sus acciones en las semanas, meses o incluso años posteriores al hecho.

Las ‘reglas’ de las notas contemporáneas

No hay reglas duras y rápidas, y todos desarrollarán su estilo a medida que escriban más y más notas. Algunas personas escriben solo un poco y prefieren confiar en registros de herramientas, capturas de pantalla o fotografías. Otros documentarán obsesivamente. Tendrás que encontrar lo que funcione para ti y tu estilo, así como tu tipo de trabajo DFIR. También debe tener en cuenta cualquier marco normativo bajo el que se encuentre.

Entonces, comencemos con lo siguiente:

  1. Todas las entradas, fotos o registros deben tener una fecha y hora. Esta fecha y hora no necesita sincronizarse con un reloj atómico suizo, pero debe ser precisa.
  2. Si está escribiendo notas a mano y comete un error, entre en pánico, tache lo que escribió con una sola línea, para que siga siendo legible, escriba lo que quiso decir, luego firme y feche la sección tachada.
  3. Si olvidó documentar un evento (y está escribiendo notas a mano o las ha impreso), en la parte inferior escriba ‘fuera de orden’, ponga la fecha y hora del evento y luego agregue los detalles relevantes. Firma esta sección manuscrita si es necesario.

¿Qué debo incluir?

No puede incluir todo, pero necesita averiguar qué es importante documentar. Si crea una imagen de un disco duro, no escriba el MD5/SHA1 si está en el registro de herramientas, solo incluya el registro en sus notas. Piense en los aspectos nebulosos de su trabajo que no capturan los registros de herramientas u otros resultados automatizados.

Algunas áreas que creo que son críticas para documentar son:

  1. Fecha / hora en que se involucró en una investigación/incidente.
  2. Dónde se encuentra (in situ, por teléfono, acceso remoto, etc.).
  3. Cuando recibe información; quién proporcionó esta información.
  4. Cuando proporcionó asesoramiento o una actualización de estado; a quién y qué información se proporcionó.
  5. Pasos que tomó al lidiar con un incidente o manejar evidencia.
  6. Reuniones celebradas; quién estuvo presente en esas reuniones; la esencia general de la reunión; decisiones críticas tomadas en esa reunión.
  7. Si proporcionó opciones verbales o recomendaciones a un cliente o a la administración (por ejemplo, la escala de una filtración, qué datos confidenciales se pudieron extraer, datos ilícitos identificados, posibles medidas de contención o reparación); ¿cuáles eran esas opciones? ¿A quién se los diste?
  8. ¿El cliente entendió esas opciones? ¿Qué eligieron (o no eligieron) hacer?
  9. Cuando recibió datos / pruebas / información y de quién.
  10. Cuando pasó datos / evidencia / información a alguien, o los colocó en algún lugar.
  11. Éxito de una herramienta(por ejemplo, el disco duro se visualizó correctamente).
  12. Fallo de una herramienta (por ejemplo, fallo en la captura de memoria, interrupción de scripts, disco duro no legible).
  13. Cuando dejó de trabajar o hizo un cambio de turno. ¿A quién le transfirió la propiedad? ¿Qué información les proporcionaste?
  14. probably probablemente más que la gente puede agregar aquí

Eso es mucho. ¿Algo más?

Sí, anota cuando hayas metido la pata.

Ja, Ja, Ja. Asegúrese.

No realmente. ¿Se le cayó un disco duro? Toma nota. ¿Olvidaste hacer una muestra de memoria hasta que volviste al laboratorio? Hash el archivo. Entonces toma nota. ¿Metiste una zona horaria en tus cálculos? Solucionarlo. Toma nota.

Las notas te protegen. La gente comete errores. Cometerás errores. Si está haciendo que su trabajo sea revisado por pares o desafiado, entonces tener esas notas respaldará su versión de los eventos. Claro, olvidaste hacer hash en la salida de una herramienta. Sucede. Pero lo arreglaste. Es mejor que hacer hash, no documentarlo, y luego uno o dos años más tarde preguntarse por qué la marca de tiempo del hash es tres días después de la captura de memoria. Siempre es mucho peor explicar errores sin notas para respaldar tu versión de los eventos. Las notas te dan credibilidad incluso si cometiste un error.

Entonces contempor “contemporáneo”, ¿qué significa eso?

En un mundo ideal, sus notas comenzarán cuando inicie una investigación, pero esto no es crítico ni a veces práctico. Obviamente, cuanto más cerca de escribir las notas al evento real, mejor. SIN EMBARGO, la regla de oro es que “algunas notas escritas después del hecho, son mejores que ninguna nota en absoluto”. Por ejemplo, estás fuera y tomas una llamada telefónica. Durante esta llamada, usted clasifica una situación, brinda asesoramiento y toma una decisión sobre las acciones que usted o su equipo podrían realizar. Si escribes estas notas al día siguiente, está bien. El hecho de que los escribas es la parte importante.

¿Cómo debo tomar notas contemporáneas?

Hay muchos programas de software. La verdad es que cualquier programa que funcione para usted Y trabaje con su equipo. Si todo el mundo usa OneNote: entonces usa eso. Si la gente tiene una aplicación especializada, entonces tiene sentido alinear sus notas con ese software. He puesto algunos enlaces al final de esta publicación, y si tienes alguno de tus favoritos, házmelo saber y los añadiré.

¿Los imprimo print o los hago hash?o qué?

De nuevo, no hay otra regla que hacerla consistente. La mejor práctica (en mi opinión) sería al menos tener una copia impresa firmada. Esto es simplemente porque (en caso de que llegue el momento) a los abogados y tribunales les encantan las copias impresas firmadas. Sí, podría firmar criptográficamente un documento o hash el archivo (s) y probablemente sea bueno hacer una mezcla de verificaciones como esta. Una vez más, debe guiarse por su equipo o marco regulatorio.

Si tiene algún consejo, ejemplo o corrección, hágamelo saber en o a través de Twitter en @mattnotmax. Créeme, escribir notas contemporáneas claras es el mejor movimiento profesional que puedes hacer.

Recursos & Enlaces

Actualización 6 de agosto de 2018: Fui contactado por los creadores de’ Notas forenses ‘ y considerando que su producto parece estar diseñado para los propósitos anteriores, los he incluido a continuación. No se obtuvo ningún beneficio personal de la promoción de ninguna de las siguientes solicitudes. También he notado opciones de pago / gratuitas.

OneNote (DE PAGO)
KeepNote (GRATIS, no parece que se haya mantenido en un tiempo).
Notas de casos Profesionales (GRATIS)
Dradis (GRATIS)
Notas forenses (GRATIS/DE PAGO)
Un montón más en dfir.formación

Published by admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.