Contemporary Notes: a forensicator' s best friend

by Posted on

ez a bejegyzés valójában elég rövid lehet: írjon kortárs jegyzeteket. Ott. Kész. Befejeztem.

további részletekre van szüksége?

Kortárs jegyzetek írása a legokosabb, legjobb és legfontosabb dolog, amit a dfir karrierje során megtesz. Segítenek neked, megmentenek, megvédenek és segítenek a munkád minden területén. Ne kövesse el azt a hibát, hogy azt gondolja, hogy a korabeli jegyzetek néhány extra bizonyíték lesz, amelyek bajba kerülnek, vagy ellentmondanak a jelentés megállapításainak. Ehelyett ők lesznek a legjobb barátod.

mik a korabeli jegyzetek?

nem vagyok ügyvéd, szóval csak megadom a részemet. A korabeli jegyzetek dokumentális bizonyítékai annak, amit tettél, mondott, megfigyelt, vagy mondták. Ezeket Ön állítja elő munkája során. Ezeket a lehető legközelebb kell írni az eseményhez. Ez lehet kézzel írott jegyzetek, gépelt dokumentum, naplók/screenshotok eszközök, e-mailek, fényképek/videók, vagy egy <helyezze kedvenc jegyzetelés app itt> fájlt. A valóságban valószínűleg ezek keveréke lesz.

egyidejű jegyzetek használják, így lehet elszámolni a tevékenységek során egy esemény vagy vizsgálat. Segítenek a csapatban dolgozó másoknak is, hogy megtudják, milyen lépéseket tett. Ezzel elkerülhető a hibák, a munka megkettőzése vagy (ami még rosszabb) a végrehajtandó lépések hiánya. Végül, a korabeli feljegyzések bizonyítékot és elszámoltathatóságot nyújtanak cselekedeteiről a hetek, hónapok vagy akár évek után.

a korabeli jegyzetek ‘szabályai’

nincsenek kemény és gyors szabályok, és mindenki kialakítja a stílusát, ahogy egyre több jegyzetet ír. Vannak, akik csak egy kicsit írnak, és inkább az eszközök, képernyőképek vagy fényképek naplóira támaszkodnak. Mások megszállottan dokumentálnak. Meg kell találnia, hogy mi fog működni az Ön és a stílusa, valamint a DFIR-munka típusa. Figyelembe kell vennie minden olyan szabályozási keretet is, amely alá tartozik.

Tehát kezdjük a következőkkel:

  1. minden bejegyzésnek, fotónak vagy naplónak dátummal és idővel kell rendelkeznie. Ezt a dátumot és időt nem kell szinkronizálni egy svájci atomórával, de pontosnak kell lennie.
  2. ha jegyzeteket írsz, és hibát követsz el, pánikba esel, egyetlen sorral áthúzod, amit írtál, hogy még mindig olvasható legyen, írd le, mire gondoltál, majd írd alá és dátumozd az áthúzott részt.
  3. Ha elfelejtett dokumentálni egy eseményt (és jegyzeteket írt vagy nyomtatott), alul írja be az ‘out of order’ szót, írja be az esemény dátumát és időpontját, majd adja meg a vonatkozó részleteket. Ha szükséges, írja alá ezt a kézzel írt részt.

mit kell tartalmaznia?

nem lehet mindent belefoglalni, de ki kell dolgoznia, hogy mi fontos a dokumentáláshoz. Ha képet készít egy merevlemezről, ne írja ki az MD5/SHA1 – et, ha az szerepel az eszköznaplóban-csak írja be a naplót a jegyzeteibe. Gondoljon a munka homályos aspektusaira, amelyeket nem rögzítenek a szerszámnaplók vagy más automatizált kimenet.

egyes területek, amelyekről úgy gondolom, hogy kritikusak a dokumentáláshoz, a következők:

  1. dátum/idő, amikor részt vett egy nyomozásban / incidensben.
  2. hol tartózkodik (helyszíni, telefonon keresztül, távoli hozzáférés stb.).
  3. amikor információt kap; ki adta meg ezt az információt.
  4. mikor adott tanácsot vagy állapotfrissítést; kinek; és milyen információkat kapott.
  5. az esemény kezelése vagy a bizonyítékok kezelése során tett lépések.
  6. ülések; ki volt jelen ezeken az üléseken; az ülés általános lényege; az ülésen hozott kritikus döntések.
  7. ha szóbeli opciókat vagy ajánlásokat adott meg egy ügyfélnek vagy vezetőségnek (pl. a jogsértés mértéke, milyen érzékeny adatokat szűrtek ki potenciálisan, tiltott adatokat azonosítottak, lehetséges elszigetelési vagy helyreállítási lépések); melyek voltak ezek a lehetőségek? Kinek adtad át őket?
  8. megértette az ügyfél ezeket a lehetőségeket? Mit választott (vagy nem választott)?
  9. mikor kapott adatokat/bizonyítékokat/információkat és kitől.
  10. amikor adatokat/bizonyítékokat/információkat továbbított valakinek, vagy elhelyezte valahol.
  11. egy eszköz sikere (pl. a merevlemez sikeres leképezése).
  12. eszköz meghibásodása (pl. memóriafoglalási hiba, szkripttörés, a merevlemez nem olvasható).
  13. amikor abbahagyta a munkát vagy műszakváltást hajtott végre. Kinek adtad át a tulajdonjogot? Milyen információkat adott nekik?
  14. …valószínűleg több, hogy az emberek hozzá itt

ez sok. Még valami?

igen, írja le, amikor kitöltötte.

Ha Ha Ha. Persze.

nem igazán. Elejtett egy merevlemezt? Jegyezd fel. Elfelejtettél kivonni egy memóriamintát, amíg vissza nem jöttél a laborba? Töröld ki a fájlt. Ezután jegyezze fel. Betömtél egy időzónát a számításaidba? Javítsd meg. Jegyezd fel.

a Megjegyzések megvédik Önt. Az emberek hibáznak. Hibákat fogsz elkövetni. Ha munkája szakértői felülvizsgálatot vagy kihívást jelent, akkor ezek a jegyzetek biztonsági másolatot készítenek az események verziójáról. Persze, elfelejtette kivonni egy eszköz kimenetét. Megesik. De megjavítottad. Jobb, mint kivonatolni, nem dokumentálni, majd egy – két évvel később azon tűnődni, miért van a hash időbélyegzője három nappal a memória rögzítése után. Mindig sokkal rosszabb a hibák magyarázata jegyzetek nélkül az események verziójának biztonsági mentéséhez. A jegyzetek akkor is hitelességet adnak, ha hibát követett el.

tehát … ‘kortárs’, mit jelent ez?

egy ideális világban a jegyzetek akkor kezdődnek, amikor vizsgálatot indít, de ez nem kritikus vagy néha praktikus. Nyilvánvaló, hogy minél közelebb írod a jegyzeteket a tényleges eseményhez, annál jobb. Az aranyszabály azonban az, hogy néhány jegyzet, amelyet a tény után írtak, jobb, mint egyáltalán nincs jegyzet. Például kint vagy, és telefonálsz. A hívás során osztályoz egy helyzetet, tanácsot ad, és döntést hoz arról, hogy milyen lépéseket tehet Ön vagy csapata. Ha másnap megírja ezeket a jegyzeteket, az rendben van. Az a tény, hogy felírja őket, a fontos rész.

hogyan készítsek egyidejű jegyzeteket?

rengeteg szoftver van. Az igazság az, hogy bármelyik program működik az Ön számára, és együttműködik a csapatával. Ha mindenki használja a OneNote-ot: akkor használja azt. Ha az emberek egy speciális alkalmazás, akkor van értelme, hogy összehangolják a jegyzeteket, hogy a szoftver. Feltettem néhány linket a bejegyzés aljára, és ha van kedvenced, tudasd velem, és hozzáadom őket.

kinyomtatom őket…vagy kivonom őket … vagy mi?

ismét nincs más szabály, mint hogy következetes legyen. A legjobb gyakorlat (véleményem szerint) az lenne, ha legalább aláírt, nyomtatott példány lenne. Ez egyszerűen azért van, mert (ha ez megtörténik) Az ügyvédek és a bíróságok szeretik az aláírt nyomtatott példányokat. Igen, kriptográfiailag aláírhat egy dokumentumot, vagy kivonhatja a fájl(oka) t, és valószínűleg jó az ilyen ellenőrzések keveréke. Ismét a csapatának vagy a szabályozási keretnek kell irányítania.

ha bármilyen tipped, példád, javításod van, tudasd velem a Twitteren vagy a @mattnotmax címen. Bízz bennem higgy nekem, egyértelmű egyidejű jegyzetek írása a legjobb karrier-lépés, amelyet megtehetsz.

Források & Linkek

Frissítés 6 Augusztus 2018: A ‘Forensic Notes’ alkotói kapcsolatba léptek velem, és úgy tűnik, hogy terméküket a fenti célokra tervezték, az alábbiakban felsoroltam őket. Az alábbi alkalmazások bármelyikének népszerűsítéséből nem származott személyes előny. Azt is megjegyezte, fizetett/ingyenes lehetőségek.

OneNote (fizetett)
KeepNote (ingyenes, nem úgy néz ki, mintha egy ideje karbantartották volna).
Case Notes Professional (ingyenes)
Radar (ingyenes)
Forensic Notes (ingyenes/fizetett)
egy csomó több dfir.képzés

Published by admin

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.