Contemporaneous Notes: a forensicator's best friend

by Posted on

this post can actually be pretty short: write contemporaneous notes. Siellä. Tehdä. Valmis.

tarvitaanko tarkempaa tietoa?

aikalaismuistiinpanojen kirjoittaminen on dfir-urasi fiksuin, paras ja tärkein asia. He auttavat, pelastavat, suojelevat ja auttavat sinua kaikessa työssäsi. Älä tee sitä virhettä ajatella, että samanaikaiset muistiinpanot ovat joitakin “lisätodisteita”, jotka saavat sinut vaikeuksiin, tai ristiriidassa raportin havainnot. Sen sijaan he ovat paras ystäväsi.

Mitä ovat aikalaishuomautukset?

en ole lakimies, joten annan vain osani. Aikalaismuistiinpanot ovat asiakirjatodisteita siitä, mitä teit, sanoit, havainnoit tai kerroit. Nämä tuotetaan sinulle aikana työsi. Ne tulisi kirjoittaa niin lähelle tapahtumaa kuin se on käytännössä mahdollista. Se voi olla käsin kirjoitettuja muistiinpanoja, tyypitetty asiakirja, lokit/kuvakaappaukset työkaluista, sähköposteista, valokuvia/videoita tai <lisää suosikkimerkintäsovellus tähän> – tiedosto. Todellisuudessa ne ovat todennäköisesti sekoitus näistä kaikista.

Contemporative notes käytetään, jotta voit selittää tekosi tapahtuman tai tutkinnan aikana. He myös auttavat muita tiimissäsi työskenteleviä tietämään, mitä toimia olet tehnyt. Näin vältetään virheet, päällekkäistä työtä, tai (pahempaa) puuttuvat vaiheet, jotka on toteutettava. Lopuksi contemporative muistiinpanot tarjoavat todisteita ja tilivelvollisuutta teoistasi viikkoina, kuukausina tai jopa vuosia sen jälkeen.

nykysävelten “säännöt”

kovia ja nopeita sääntöjä ei ole, ja jokainen kehittää tyyliään kirjoittaessaan yhä enemmän nuotteja. Jotkut ihmiset kirjoittavat vain vähän ja mieluummin luottaa lokit työkaluja, kuvakaappauksia, tai valokuvia. Toiset dokumentoivat pakkomielteisesti. Sinun täytyy löytää, mikä toimii sinulle ja tyyli, sekä Tyyppi DFIR työtä. Sinun on myös otettava huomioon kaikki sääntelykehykset, joihin kuulut.

joten aloitetaan seuraavasti:

  1. kaikki merkinnät, kuvat tai lokit pitäisi olla päivämäärä ja kellonaika. Tätä päivämäärää ja aikaa ei tarvitse synkronoida sveitsiläiseen atomikelloon, mutta sen pitäisi olla tarkka.
  2. jos olet käsinkirjoitettu ja teet virheen, panikoi, yliviivaa mitä kirjoitit yhdellä rivillä, niin se on edelleen luettavissa, kirjoita mitä tarkoitit, allekirjoita ja päivätä yliviivattu osio.
  3. jos unohdit dokumentoida tapahtuman (ja olet käsialamuistiinpanoja tai olet tulostanut ne), Kirjoita alareunaan “epäkunnossa”, laita tapahtuman päivämäärä ja kellonaika ja lisää sitten asiaan liittyvät yksityiskohdat. Allekirjoita tämä käsin kirjoitettu kohta tarvittaessa.

mitä minun pitäisi sisällyttää?

kaikkea ei voi sisällyttää mukaan, mutta pitää selvittää, mikä dokumentoinnissa on tärkeää. Jos teet kuvan kiintolevystä, älä kirjoita MD5/SHA1: tä, jos se on työkalulokissa – sisällytä loki vain muistiinpanoihisi. Ajattele töidesi hämäriä puolia, joita työkalulokit tai muu automatisoitu ulostulo eivät vangitse.

jotkut alueet, joiden uskon olevan kriittisiä asiakirjan kannalta, ovat:

  1. päivämäärä/aika, jolloin sekaannuit tutkintaan / välikohtaukseen.
  2. missä olet (paikan päällä, puhelimitse, etäyhteydellä jne.).
  3. kun saat tietoja; kuka antoi nämä tiedot.
  4. kun annoit neuvoja tai tilannepäivityksen, kenelle ja mitä tietoja annettiin.
  5. toimenpiteet, jotka olet ottanut käsitellessäsi tapahtumaa tai käsitellessäsi todisteita.
  6. pidetyt kokoukset; kuka oli läsnä näissä kokouksissa; kokouksen yleinen sisältö; kokouksessa tehdyt kriittiset päätökset.
  7. jos annoit suullisia vaihtoehtoja tai suosituksia asiakkaalle tai johdolle (esim. rikkomuksen laajuus, mitä arkaluonteisia tietoja mahdollisesti oli poistettu, laittomat tiedot tunnistettu, mahdolliset eristämis-tai korjaustoimet), mitkä olivat nämä vaihtoehdot? Kenelle annoit ne?
  8. ymmärsikö asiakas nämä vaihtoehdot? Mitä he valitsivat (tai eivät valinneet) tehdä?
  9. kun sait tietoja/todisteita/tietoja ja keneltä.
  10. kun TIEDOT/todisteet/tieto välitettiin jollekulle, tai ne sijoitettiin jonnekin.
  11. työkalun onnistuminen (esim.kiintolevy onnistuneesti kuvattu).
  12. työkalun epäonnistuminen (esim.muistin kaappaushäiriö, komentosarjan katkeaminen, kiintolevy ei luettavissa).
  13. kun lopetit työnteon tai vaihdoit vuoroa. Kenelle siirsit omistusoikeuden? Mitä tietoja annoitte heille?
  14. … luultavasti enemmän, että ihmiset voivat lisätä tähän

se on paljon. Oliko muuta?

Kyllä, Kirjoita ylös Kun täytät.

Ha Ha. Toki.

ei oikeastaan. Pudotti kovalevyn? Kirjoita muistiin. Unohditko tuhota muistinäytteen ennen kuin palasit labraan? Hash tiedosto. Kirjoita sitten muistiin. Tungit aikavyöhykkeen laskelmiisi? Korjaa se. Kirjoita muistiin.

Notes protect you. Ihmiset tekevät virheitä. Teet virheitä. Jos sinulla on työsi vertaisarvioitu tai haastettu, sitten ottaa nuo muistiinpanot varmuuskopioida versio tapahtumista. Toki, unohdit hash ulostulo työkalu. Sellaista sattuu. Mutta sinä korjasit sen. Se on parempi kuin sen tiivistäminen, dokumentoimatta jättäminen ja sitten yksi tai kaksi vuotta myöhemmin ihmetteleminen, miksi hasiksen aikaleima on kolme päivää muistikaappauksen jälkeen. Se on aina paljon pahempi selittää virheitä ilman muistiinpanoja varmuuskopioida oman version tapahtumista. Muistiinpanot antavat uskottavuutta, vaikka olisi tehnyt virheen.

So … ‘contemporative’, mitä se tarkoittaa?

ideaalimaailmassa muistiinpanosi alkavat, kun aloitat tutkimuksen, mutta tämä ei ole kriittistä tai joskus käytännöllistä. On selvää, että mitä lähempänä muistiinpanot ovat varsinaista tapahtumaa, sen parempi. Kultaisena sääntönä on kuitenkin, että “jotkut jälkikäteen kirjoitetut nuotit ovat parempia kuin ei nuotteja ollenkaan”. Olet esimerkiksi ulkona ja vastaat puheluun. Tämän puhelun aikana, voit triage tilanne, antaa neuvoja, ja tehdä päätöksen siitä, mitä toimia sinä tai tiimisi voisi tehdä. Jos kirjoitat laput ylös seuraavana päivänä, se on OK. Tärkeintä on, että kirjoitat ne ylös.

Miten minun pitäisi tehdä samanaikaisia muistiinpanoja?

ohjelmia on runsaasti. Totuus on, että mikä tahansa ohjelma toimii sinulle ja toimii tiimisi kanssa. Jos kaikki käyttävät OneNotea: käytä sitä. Jos ihmisillä on erikoistunut sovellus, niin on järkevää kohdistaa muistiinpanot kyseiseen ohjelmistoon. Olen laittanut joitakin linkkejä alareunassa tämän viestin, ja jos sinulla on suosikkeja, kerro minulle ja minä lisätä ne.

tulostanko ne … vai laitanko ne hanskaan … vai mitä?

taas ei ole muuta sääntöä kuin tehdä siitä johdonmukainen. Paras käytäntö (mielestäni) olisi ainakin saada allekirjoitettu, paperikopio. Tämä johtuu yksinkertaisesti siitä (jos se tulee) lakimiehet ja tuomioistuimet rakastavat allekirjoitettu paperikopioita. Kyllä, voit Kryptografisesti allekirjoittaa asiakirjan tai hash tiedosto(t) ja se on luultavasti hyvä tehdä sekoitus varmennukset kuten tämä. Jälleen, sinun pitäisi ohjata tiimisi tai sääntelykehys.

jos sinulla on vinkkejä, esimerkkejä, korjauksia, kerro minulle tai Twitterin kautta osoitteessa @mattnotmax. Usko pois, selkeiden aikalaismuistiinpanojen kirjoittaminen on paras urasiirto.

Resurssit & Linkit

Päivitys 6. Elokuuta 2018: Minuun ottivat yhteyttä luojat ‘Forensic Notes’ ja ottaen huomioon niiden tuote näyttää olevan suunniteltu edellä tarkoituksia varten olen sisällyttänyt ne alla. Mitään henkilökohtaista hyötyä ei saatu edistämällä mitään alla sovelluksia. Olen myös pannut merkille maksulliset / ilmaiset vaihtoehdot.

OneNote (maksullinen)
KeepNote (ilmainen, ei näytä siltä, että se olisi säilynyt vähään aikaan).
Case Notes Professional (FREE)
Dradis (FREE)
Forensic Notes (FREE/PAID)
a bunch more at dfir.koulutus

Published by admin

Vastaa

Sähköpostiosoitettasi ei julkaista.