Contemporaneous Notes: a forensicator' s best friend

by Posted on

dette innlegget kan faktisk være ganske kort: skriv samtidige notater. Der. Gjøre. Ferdig.

Trenger du flere detaljer?

Skrive samtidige notater Er den smarteste, beste og viktigste du vil gjøre i din dfir karriere. De vil hjelpe deg, redde deg, beskytte deg og hjelpe deg i alle aspekter av arbeidet ditt. IKKE gjør den feilen å tro at samtidige notater vil være noen ‘ekstra bevis’ som vil få deg i trøbbel, eller motsi rapportens funn. I stedet vil de være din beste venn.

Hva er samtidige notater?

jeg er ikke advokat, så jeg skal bare gi deg min ta. Samtidige notater er dokumentasjonsbevis for hva du gjorde, sa, observerte eller ble fortalt. Disse er produsert av deg i løpet av arbeidet ditt. De skal skrives så nært som praktisk til arrangementet. Det kan være håndskrevne notater, et skrevet dokument, logger/skjermbilder fra verktøy, e-post, fotografier/videoer eller en <sett inn favoritt notatskriving app her> fil. I virkeligheten, de vil trolig være en blanding av alle disse.

samtidige notater brukes slik at du kan gjøre rede for dine handlinger under en hendelse eller etterforskning. De hjelper også andre som jobber i teamet ditt til å vite hvilke handlinger du tok. Dette vil unngå feil, duplisering av arbeid eller (verre) manglende trinn som må gjennomføres. Til slutt, samtidige notater vil gi bevis og ansvarlighet av dine handlinger i uker, måneder, eller år etter det faktum.

reglene for samtidige notater

det er ingen harde og raske regler, og alle vil utvikle sin stil når de skriver flere og flere notater. Noen skriver bare litt og foretrekker å stole på logger av verktøy, skjermbilder eller fotografier. Andre vil dokumentere obsessivt. Du må finne hva som vil fungere for deg og din stil, så vel som din TYPE DFIR-arbeid. Du må også ta hensyn til eventuelle regelverk du faller inn under.

Så, la oss starte med følgende:

  1. alle oppføringer, bilder eller logger skal ha en dato og klokkeslett. Denne datoen og klokkeslettet trenger ikke å synkroniseres til En Sveitsisk atomur, men den skal være nøyaktig.
  2. hvis du er håndskrift notater, og du gjør en feil, panikk, krysse ut hva du skrev med en enkelt linje, så det er fortsatt lesbar, skrive hva du mente, deretter signere og dato krysset ut delen.
  3. hvis du har glemt å dokumentere en hendelse (og du er håndskrift notater eller har skrevet dem), nederst skrive ‘out of order’, sette dato og klokkeslett for hendelsen og deretter legge til relevante detaljer. Signer denne håndskrevne delen om nødvendig.

Hva skal jeg inkludere?

du kan ikke inkludere alt, men du må finne ut hva som er viktig å dokumentere. Hvis du lager et bilde av en harddisk, må DU ikke skrive UT MD5 / SHA1 hvis den er i verktøyloggen – bare ta med loggen i notatene dine. Tenk på de nebulous aspektene av arbeidet ditt som ikke er fanget av verktøylogger eller annen automatisert utgang.

noen områder jeg mener er kritiske for dokumentet er:

  1. Dato / klokkeslett du ble involvert i en undersøkelse / hendelse.
  2. hvor du befinner Deg (på stedet, over telefon, ekstern tilgang etc.).
  3. når du mottar informasjon; hvem ga denne informasjonen.
  4. når du ga råd eller en statusoppdatering; til hvem; og hvilken informasjon ble gitt.
  5. Trinn du tok når du håndterte en hendelse eller håndteringsbevis.
  6. Møter holdt; hvem var til stede på disse møtene; møtets generelle kjerne; kritiske beslutninger som ble gjort på dette møtet.
  7. hvis du ga muntlige alternativer Eller anbefalinger til en klient eller ledelse (f. eks. omfanget av et brudd, hvilke sensitive data ble potensielt eksfiltrert, ulovlige data identifisert, mulige tiltak for inneslutning eller utbedring); hva var disse alternativene? Hvem ga du dem til?
  8. forstod klienten disse alternativene? Hva har de valgt (eller ikke valgt) å gjøre?
  9. når du mottok data / bevis / informasjon og fra hvem.
  10. når du passerte data / bevis / informasjon til noen, eller plassert den et sted.
  11. Suksess for et verktøy (f.eks harddisk vellykket avbildet).
  12. Feil på et verktøy (f.eks. minneopptakssvikt, skriptbrudd, harddisk ikke lesbar).
  13. når du sluttet å jobbe eller gjorde en skiftendring. Hvem overførte du eierskapet til? Hvilken informasjon ga du dem?
  14. … sannsynligvis mer som folk kan legge til her

Det er mye. Noe mer?

ja, skriv ned når du har fylt opp.

Ha Ha Ha. Sikker.

Nei egentlig. Droppet en harddisk? Lag et notat. Glemte å ha en minneprøve til du kom tilbake til laboratoriet? Hash filen. Deretter gjør du et notat. Fylt opp en tidssone i beregningene dine? Fiks det. Lag et notat.

Notater beskytter deg. Folk gjør feil. Du vil gjøre feil. Hvis du har arbeidet ditt peer reviewed eller utfordret, vil det å ha disse notatene sikkerhetskopiere din versjon av hendelsene. Jo, du glemte å hash utgangen av et verktøy. Det skjer. Men du fikset det. Det er bedre enn å hashe det, ikke dokumentere det, og deretter ett eller to år senere lurer på hvorfor tidsstempelet til hash er tre dager etter minneopptaket. Det er alltid mye verre å forklare feil uten notater for å sikkerhetskopiere din versjon av hendelser. Notater gir deg troverdighet selv om du har gjort en feil.

så … ‘samtidig’, hva betyr det?

i en ideell verden vil notatene dine starte når du starter en undersøkelse, men dette er ikke kritisk eller noen ganger praktisk. Åpenbart, jo nærmere du skriver notatene til selve hendelsen jo bedre. Men den gylne regelen er ‘noen notater skrevet i ettertid, er bedre enn ingen notater i det hele tatt’. For eksempel er du ute og du tar en telefonsamtale. Under denne samtalen, du triage en situasjon, gi råd, og ta en beslutning om hvilke handlinger du eller teamet kan gjøre. Hvis du skriver disse notatene opp neste dag, ER DET OK. Det faktum at du skriver dem opp er den viktige delen.

hvordan skal jeg ta samtidige notater?

det er mange programmer. Sannheten er at uansett hvilket program som fungerer FOR deg og jobber med teamet ditt. Hvis Alle bruker OneNote: bruk deretter Det. Hvis folk har et spesialisert program, er det fornuftig å justere notatene dine til den programvaren. Jeg har lagt noen linker nederst i dette innlegget, og hvis du har noen favoritter, gi meg beskjed og jeg vil legge dem.

skriver jeg ut dem…eller hash dem … eller hva?

Igjen, Det er Ingen regel annet enn å gjøre det konsistent. Beste praksis (etter min mening) ville være å minst ha en signert, papirkopi. Dette er rett og slett fordi (skulle det komme til det) advokater og domstoler elsker signerte papirkopier. Ja, du kan kryptografisk signere et dokument eller hash filen (e), og det er nok bra å gjøre en blanding av verifikasjoner som dette. Igjen bør du styres av teamet ditt eller regelverket.

hvis du har noen tips, eksempler, rettelser gi meg beskjed på eller Via Twitter på @mattnotmax. Stol På Meg Tro meg, skrive klare samtidige notater er den beste karriere flytte du kan gjøre.

Ressurser& Lenker

Oppdatering 6. August 2018: Jeg ble kontaktet av skaperne av ‘Forensic Notes’ og vurderer deres produkt ser ut til å være utformet for de ovennevnte formål jeg har tatt dem nedenfor. Ingen personlig fordel ble avledet fra å fremme noen av de nedenfor applikasjoner. Jeg har ogsa notert betalte / gratis alternativer.

OneNote (BETALT)
KeepNote (GRATIS, ser IKKE ut som om Den har blitt vedlikeholdt på en stund).
Case Notes Professional (GRATIS)
Dradis (GRATIS)
Rettsmedisinske Notater (GRATIS/BETALT)
en haug mer på dfir.trening

Published by admin

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.