Notes contemporaines: un forensicator ' s best friend

by Posted on

Ce post peut en fait être assez court: écrire des notes contemporaines. Y. Faire. Terminer.

Besoin de plus de détails?

Écrire des notes contemporaines est la chose la plus intelligente, la meilleure et la plus importante que vous ferez dans votre carrière DFIR. Ils vous aideront, vous sauveront, vous protégeront et vous aideront dans tous les aspects de votre travail. NE FAITES PAS l’erreur de penser que les notes contemporaines seront des “preuves supplémentaires” qui vous causeront des ennuis ou contrediront les conclusions de votre rapport. Au lieu de cela, ils seront votre meilleur ami.

Que sont les notes contemporaines?

Je ne suis pas avocat, alors je vais juste vous donner mon avis. Les notes contemporaines sont des preuves documentaires de ce que vous avez fait, dit, observé ou raconté. Ceux-ci sont produits par vous au cours de votre travail. Ils doivent être écrits aussi près que possible de l’événement. Il peut s’agir de notes manuscrites, d’un document dactylographié, de journaux/captures d’écran d’outils, d’e-mails, de photographies / vidéos ou d’un fichier < insérer une application de prise de notes préférée ici >. En réalité, ils seront probablement un mélange de tous ces éléments.

Les notes contemporaines sont utilisées afin que vous puissiez rendre compte de vos actions lors d’un incident ou d’une enquête. Ils aident également les autres personnes travaillant dans votre équipe à savoir quelles actions vous avez prises. Cela évitera les erreurs, la duplication des travaux ou (pire) les étapes manquantes qui doivent être entreprises. Enfin, des notes contemporaines fourniront des preuves et des comptes rendus de vos actions dans les semaines, les mois, voire les années suivant les faits.

Les “règles” des notes contemporaines

Il n’y a pas de règles strictes, et chacun développera son style au fur et à mesure qu’il écrira de plus en plus de notes. Certaines personnes n’écrivent que peu et préfèrent s’appuyer sur des journaux d’outils, des captures d’écran ou des photographies. D’autres documenteront de manière obsessionnelle. Vous devrez trouver ce qui fonctionnera pour vous et votre style, ainsi que votre type de travail DFIR. Vous devez également tenir compte de tout cadre réglementaire dans lequel vous tombez.

Commençons donc par ce qui suit:

  1. Toutes les entrées, photos ou journaux doivent avoir une date et une heure. Cette date et cette heure n’ont pas besoin d’être synchronisées avec une horloge atomique suisse, mais elles doivent être précises.
  2. Si vous écrivez des notes manuscrites et que vous faites une erreur, paniquez, rayez ce que vous avez écrit d’une seule ligne, pour qu’il soit toujours lisible, écrivez ce que vous vouliez dire, puis signez et datez la section barrée.
  3. Si vous avez oublié de documenter un événement (et que vous écrivez des notes manuscrites ou que vous les avez imprimées), en bas, écrivez “en panne”, mettez la date et l’heure de l’événement, puis ajoutez les détails pertinents. Signez cette section manuscrite si nécessaire.

Que dois-je inclure?

Vous ne pouvez pas tout inclure, mais vous devez déterminer ce qui est important à documenter. Si vous créez une image d’un disque dur, n’écrivez pas le MD5 / SHA1 s’il est dans le journal de l’outil – incluez simplement le journal dans vos notes. Pensez aux aspects nébuleux de votre travail qui ne sont pas capturés par les journaux d’outils ou d’autres sorties automatisées.

Certains domaines que je crois essentiels à documenter sont:

  1. Date/heure à laquelle vous avez été impliqué dans une enquête/un incident.
  2. Où vous vous trouvez (sur place, par téléphone, accès à distance, etc.).
  3. Lorsque vous recevez des informations; qui a fourni ces informations.
  4. Lorsque vous avez fourni des conseils ou une mise à jour de l’état; à qui et quelles informations ont été fournies.
  5. Mesures que vous avez prises lorsque vous traitez un incident ou manipulez des preuves.
  6. Réunions tenues; qui était présent à ces réunions; l’essentiel de la réunion; les décisions critiques prises lors de cette réunion.
  7. Si vous avez fourni des options ou des recommandations verbales à un client ou à la direction (par exemple, l’ampleur d’une violation, quelles données sensibles ont été potentiellement exfiltrées, les données illicites identifiées, les étapes possibles de confinement ou de correction); quelles étaient ces options? À qui les avez-vous fournis ?
  8. Le client a-t-il compris ces options ? Qu’ont-ils choisi (ou non) de faire?
  9. Lorsque vous avez reçu des données / preuves / informations et de qui.
  10. Lorsque vous avez transmis des données / preuves / informations à quelqu’un ou que vous les avez placées quelque part.
  11. Succès d’un outil (par exemple, le disque dur a été imité avec succès).
  12. Défaillance d’un outil (par exemple, échec de la capture de mémoire, rupture de script, disque dur non lisible).
  13. Lorsque vous avez cessé de travailler ou changé de poste. À qui avez-vous transféré la propriété? Quelles informations leur avez-vous fournies ?
  14. probably probablement plus que les gens peuvent ajouter ici

C’est beaucoup. Autre chose ?

Oui, notez quand vous avez bourré.

Ha Ha Ha. Assurer.

Non vraiment. Vous avez laissé tomber un disque dur? Prenez une note. Vous avez oublié de hacher un échantillon de mémoire jusqu’à ce que vous reveniez au labo? Hachez le fichier. Ensuite, prenez une note. Bourré un fuseau horaire dans vos calculs? Remédier. Prenez une note.

Les notes vous protègent. Les gens font des erreurs. Vous ferez des erreurs. Si votre travail est examiné par des pairs ou contesté, le fait d’avoir ces notes sauvegardera votre version des événements. Bien sûr, vous avez oublié de hacher la sortie d’un outil. Ça arrive. Mais tu l’as réparé. C’est mieux que de le hacher, de ne pas le documenter, puis un ou deux ans plus tard, de se demander pourquoi l’horodatage du hachage est trois jours après la capture de la mémoire. Il est toujours bien pire d’expliquer des erreurs sans notes pour sauvegarder votre version des événements. Les notes vous donnent de la crédibilité même si vous avez fait une erreur.

Alors’ ‘contemporain’, qu’est-ce que cela signifie?

Dans un monde idéal, vos notes commenceront lorsque vous commencerez une enquête, mais ce n’est pas critique ou parfois pratique. De toute évidence, plus vous écrivez les notes à l’événement réel, mieux c’est. CEPENDANT, la règle d’or est que “certaines notes écrites après coup valent mieux que pas de notes du tout”. Par exemple, vous êtes dehors et vous prenez un appel téléphonique. Au cours de cet appel, vous triez une situation, donnez des conseils et prenez une décision sur les actions que vous ou votre équipe pourriez entreprendre. Si vous écrivez ces notes le lendemain, ce n’est pas grave. Le fait que vous les écriviez est la partie importante.

Comment dois-je prendre des notes contemporaines?

Il existe de nombreux logiciels. La vérité est que quel que soit le programme qui fonctionne pour vous ET qui fonctionne avec votre équipe. Si tout le monde utilise OneNote: alors utilisez-le. Si les gens ont une application spécialisée, il est logique d’aligner vos notes sur ce logiciel. J’ai mis quelques liens au bas de ce post, et si vous avez des favoris, faites-le moi savoir et je les ajouterai.

Dois-je les imprimeror ou les hacheror ou quoi?

Encore une fois, il n’y a pas d’autre règle que de la rendre cohérente. La meilleure pratique (à mon avis) serait d’avoir au moins une copie papier signée. C’est tout simplement parce que les avocats et les tribunaux adorent les copies papier signées. Oui, vous pouvez signer cryptographiquement un document ou hacher le ou les fichiers et il est probablement bon de faire un mélange de vérifications comme celle-ci. Encore une fois, vous devez être guidé par votre équipe ou votre cadre réglementaire.

Si vous avez des conseils, des exemples, des corrections, faites-le moi savoir sur ou via Twitter à @mattnotmax. Croyez-moi Croyez-moi, écrire des notes contemporaines claires est le meilleur mouvement de carrière que vous puissiez faire.

Ressources & Liens

Mise à jour 6 août 2018: J’ai été contacté par les créateurs de “Notes médico-légales” et étant donné que leur produit semble être conçu aux fins ci-dessus, je les ai inclus ci-dessous. Aucun avantage personnel n’a été tiré de la promotion de l’une des applications ci-dessous. J’ai également noté des options payantes / gratuites.

OneNote (PAYANT)
KeepNote (GRATUIT, Ne semble pas avoir été maintenu depuis un certain temps).
Case Notes Professional (GRATUIT)
Dradis (GRATUIT)
Forensic Notes (GRATUIT / PAYANT)
Un tas de plus chez dfir.formation

Published by admin

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.