Note contemporanee: a forensicator's best friend

by Posted on

Questo post può essere piuttosto breve: scrivi note contemporanee. C’. Fatto. Finito.

Hai bisogno di maggiori dettagli?

Scrivere note contemporanee è la cosa più intelligente, migliore e più importante che farai nella tua carriera DFIR. Ti aiuteranno, ti salveranno, ti proteggeranno e ti aiuteranno in ogni aspetto del tuo lavoro. NON commettere l’errore di pensare che le note contemporanee saranno alcune “prove extra” che ti metteranno nei guai o contraddiranno i risultati del tuo rapporto. Invece, saranno il tuo migliore amico.

Cosa sono le note contemporanee?

Non sono un avvocato, quindi ti darò la mia opinione. Le note contemporanee sono prove documentali di ciò che hai fatto, detto, osservato o è stato detto. Questi sono prodotti da te durante il corso del tuo lavoro. Dovrebbero essere scritti il più vicino possibile all’evento. Può essere note scritte a mano, un documento digitato, registri/screenshot da strumenti, e-mail, fotografie/video o un file <inserisci l’app preferita per prendere appunti qui>. In realtà, saranno probabilmente un mix di tutti questi.

Le note contemporanee vengono utilizzate in modo da poter tenere conto delle proprie azioni durante un incidente o un’indagine. Aiutano anche gli altri che lavorano nel tuo team per sapere quali azioni hai intrapreso. Ciò eviterà errori, duplicazioni di lavoro o (peggio) passaggi mancanti che devono essere intrapresi. Infine, le note contemporanee forniranno prove e responsabilità delle tue azioni nelle settimane, nei mesi o addirittura negli anni successivi al fatto.

Le “regole” delle note contemporanee

Non ci sono regole dure e veloci, e ognuno svilupperà il proprio stile mentre scrive sempre più note. Alcune persone scrivono solo un po ‘ e preferiscono fare affidamento su registri di strumenti, screenshot o fotografie. Altri documenteranno ossessivamente. Dovrete trovare ciò che funziona per voi e il vostro stile, così come il vostro tipo di lavoro DFIR. È inoltre necessario prendere in considerazione qualsiasi quadro normativo si rientra.

Quindi, iniziamo con quanto segue:

  1. Tutte le voci, le foto o i registri devono avere una data e un’ora. Questa data e questa ora non devono essere sincronizzate con un orologio atomico svizzero, ma dovrebbero essere accurate.
  2. Se sei note di scrittura a mano e commetti un errore, panico, cancella ciò che hai scritto con una singola riga, quindi è ancora leggibile, scrivi ciò che intendevi, quindi firma e datare la sezione barrata.
  3. Se hai dimenticato di documentare un evento (e sei note di scrittura a mano o li hai stampati), in basso scrivi ‘out of order’, inserisci la data e l’ora dell’evento e quindi aggiungi i dettagli pertinenti. Firmare questa sezione scritta a mano, se necessario.

Cosa devo includere?

Non puoi includere tutto, ma devi capire cosa è importante documentare. Se si crea un’immagine di un disco rigido, non scrivere MD5/SHA1 se è nel registro degli strumenti, basta includere il registro nelle note. Pensa agli aspetti nebulosi del tuo lavoro che non vengono catturati dai registri degli strumenti o da altri output automatici.

Alcune aree che credo siano fondamentali per documentare sono:

  1. Data/ora in cui sei stato coinvolto in un’indagine/incidente.
  2. Dove ti trovi (in loco, per telefono, accesso remoto, ecc.).
  3. Quando si ricevono informazioni; chi ha fornito queste informazioni.
  4. Quando hai fornito un consiglio o un aggiornamento di stato; a chi; e quali informazioni sono state fornite.
  5. Passi che hai fatto quando hai a che fare con un incidente o la gestione delle prove.
  6. Riunioni tenute; chi era presente a tali riunioni; l’essenza generale della riunione; decisioni critiche prese in quella riunione.
  7. Se hai fornito opzioni verbali o raccomandazioni a un cliente o alla direzione (ad esempio l’entità di una violazione, quali dati sensibili sono stati potenzialmente esfiltrati, identificati dati illeciti, possibili misure di contenimento o di bonifica); quali erano queste opzioni? A chi li hai forniti?
  8. Il cliente ha compreso queste opzioni? Cosa hanno scelto (o non hanno scelto) di fare?
  9. Quando hai ricevuto dati / prove / informazioni e da chi.
  10. Quando hai passato dati / prove / informazioni a qualcuno o li hai posizionati da qualche parte.
  11. Successo di uno strumento(ad es.
  12. Errore di uno strumento (ad esempio errore di acquisizione della memoria, interruzione dello script, disco rigido non leggibile).
  13. Quando hai smesso di lavorare o hai fatto un cambio di turno. A chi hai trasferito la proprietà? Quali informazioni ha fornito loro?
  14. probably probabilmente più che le persone possono aggiungere qui

Questo è molto. Nient’altro?

Sì, scrivi quando hai riempito.

Ah Ah Ah. Sicuro.

No davvero. Caduto un disco rigido? Prendi nota. Hai dimenticato di cancellare un campione di memoria finche ‘ non sei tornato in laboratorio? Hash il file. Allora prendi nota. Hai inserito un fuso orario nei tuoi calcoli? Sistemalo. Prendi nota.

Le note ti proteggono. Le persone commettono errori. Farai degli errori. Se si sta avendo il vostro lavoro peer reviewed o sfidato, poi avere quelle note eseguirà il backup della versione di eventi. Certo, hai dimenticato di hash l’output di uno strumento. Succede. Ma l’hai sistemato. È meglio che hashing, non documentarlo, e poi uno o due anni dopo chiedendosi perché il timestamp dell’hash è di tre giorni dopo la cattura della memoria. È sempre molto peggio spiegare gli errori senza note per eseguire il backup della versione degli eventi. Le note ti danno credibilità anche se hai commesso un errore.

Quindi contempor ‘contemporaneo’, cosa significa?

In un mondo ideale, le note inizieranno quando si avvia un’indagine, ma questo non è critico o talvolta pratico. Ovviamente, più si scrivono le note all’evento reale, meglio è. TUTTAVIA, la regola d’oro è ‘alcune note scritte dopo il fatto, sono meglio di nessuna nota a tutti’. Per esempio, sei fuori e si prende una telefonata. Durante questa chiamata, si triage una situazione, fornire consigli, e prendere una decisione su quali azioni voi o il vostro team potrebbe fare. Se scrivi queste note il giorno dopo, va bene. Il fatto che tu li scriva è la parte importante.

Come devo prendere appunti contemporanei?

Ci sono un sacco di programmi software. La verità è che qualsiasi programma funziona per te E funziona con il tuo team. Se tutti usano OneNote: allora usalo. Se le persone hanno un’applicazione specializzata, allora ha senso allineare le note a quel software. Ho messo alcuni link in fondo a questo post, e se avete dei preferiti, fatemelo sapere e io li aggiungerò.

Li stampa or o li hash them o cosa?

Ancora una volta, non c’è altra regola che renderla coerente. La migliore pratica (a mio parere) sarebbe quella di avere almeno una copia cartacea firmata. Questo è semplicemente perché (dovrebbe venire ad esso) avvocati e tribunali amore firmato copie cartacee. Sì, è possibile firmare crittograficamente un documento o hash dei file e probabilmente è bene fare un mix di verifiche come questa. Ancora una volta, dovresti essere guidato dal tuo team o dal quadro normativo.

Se avete suggerimenti, esempi, correzioni fatemelo sapere a o via Twitter a @ mattnotmax. Credimi credimi, scrivere chiare note contemporanee è la migliore mossa di carriera che puoi fare.

Risorse& Collegamenti

Aggiornamento 6 agosto 2018: Sono stato contattato dai creatori di “Note forensi” e considerando che il loro prodotto sembra essere progettato per gli scopi di cui sopra, li ho inclusi di seguito. Nessun beneficio personale è stato derivato dalla promozione di una delle seguenti applicazioni. Ho anche notato opzioni a pagamento / gratuite.

OneNote (A PAGAMENTO)
KeepNote (GRATUITO, non sembra che sia stato mantenuto in un po’).
Note caso professionale (GRATUITO)
Dradis (GRATUITO)
Note forensi (GRATUITO/A PAGAMENTO)
Un mucchio di più a dfir.formazione

Published by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.