Contemporaneous Notes: a forensicator's best friend

by Posted on

deze post kan eigenlijk vrij kort zijn: schrijf contemporaneous notes. Er. Gemaakt. Afgewerkt.

meer details nodig?

gelijktijdig schrijven is het slimste, beste en belangrijkste wat je zult doen in je DFIR-carrière. Ze zullen je helpen, je redden, je beschermen en je helpen in elk aspect van je werk. Maak niet de fout te denken dat gelijktijdige notities zal een aantal ‘extra bewijs’ dat zal je in de problemen, of in tegenspraak met uw rapport bevindingen. In plaats daarvan zullen ze je beste vriend zijn.

wat zijn gelijktijdige noten?

ik ben geen advocaat, dus ik geef je mijn mening. Contemporane notities zijn documentair bewijs van wat je deed, zei, waarnam, of werd verteld. Deze worden door u geproduceerd in de loop van uw werk. Ze moeten zo dicht mogelijk bij het evenement worden geschreven. Het kan handgeschreven notities zijn, een getypt document, logs/screenshots van gereedschappen, e-mails, foto ‘s/video’ s, of een <Voeg favoriete notitie-app hier in> bestand. In werkelijkheid zullen ze waarschijnlijk een mix van al deze zijn.

gelijktijdige notities worden gebruikt om uw acties tijdens een incident of onderzoek te verantwoorden. Ze helpen ook anderen die in je team werken om te weten welke acties je hebt ondernomen. Dit voorkomt fouten, dubbel werk of (erger nog) ontbrekende stappen die moeten worden ondernomen. Tot slot, gelijktijdige notities zal bewijs en verantwoording van uw acties in de weken, maanden, of zelfs jaren na het feit te bieden.

the ‘rules’ of contemporaneous notes

er zijn geen harde en snelle regels, en iedereen zal zijn stijl ontwikkelen naarmate hij meer en meer noten schrijft. Sommige mensen schrijven slechts een beetje en de voorkeur aan te vertrouwen op logs van tools, screenshots, of foto ‘ s. Anderen zullen obsessief documenteren. Je zult moeten vinden wat zal werken voor u en uw stijl, evenals uw type van DFIR werk. U moet ook rekening houden met het regelgevingskader waar u onder valt.

dus, laten we beginnen met het volgende:

  1. alle items, foto ‘ s of logs moeten een datum en tijd hebben. Deze datum en tijd hoeven niet gesynchroniseerd te worden met een Zwitserse atoomklok, maar het moet wel nauwkeurig zijn.
  2. als u handschrift notities en je maakt een fout, paniek, doorhalen wat je schreef met een enkele regel, zodat het nog steeds leesbaar, schrijf wat je bedoelde, ondertekenen en datum van de doorgestreepte sectie.
  3. als u een gebeurtenis bent vergeten te documenteren (en u bent notities in handschrift of hebt ze afgedrukt), schrijf dan onderaan ‘niet in orde’, vul de datum en tijd van de gebeurtenis in en voeg de relevante gegevens toe. Teken deze handgeschreven sectie indien nodig.

wat moet ik opnemen?

u kunt niet alles opnemen, maar u moet uitzoeken wat belangrijk is om te documenteren. Als je een afbeelding van een harde schijf maakt, schrijf dan de MD5/SHA1 niet uit als deze in het gereedschapslogboek staat – voeg de log in je notities toe. Denk na over de vage aspecten van uw werk die niet worden vastgelegd door Tool logs of andere geautomatiseerde uitvoer.

enkele gebieden die volgens mij van cruciaal belang zijn om te documenteren zijn::

  1. datum / tijd waarop u betrokken raakte bij een onderzoek/incident.
  2. waar u zich bevindt (on-site, via de telefoon, toegang op afstand enz.).
  3. wanneer u informatie ontvangt; wie heeft deze informatie verstrekt.
  4. wanneer u advies of een statusupdate hebt verstrekt; aan wie; en welke informatie is verstrekt.
  5. stappen die u hebt ondernomen bij het behandelen van een incident of het behandelen van bewijsmateriaal.
  6. vergaderingen gehouden; wie was bij die vergaderingen aanwezig; de algemene strekking van de vergadering; kritische besluiten genomen tijdens die vergadering.
  7. als u mondelinge opties of aanbevelingen hebt gegeven aan een cliënt of management (bijvoorbeeld de omvang van een inbreuk, welke gevoelige gegevens mogelijk zijn geëxfiltreerd, illegale gegevens zijn geïdentificeerd, mogelijke Insluitings-of herstelstappen); wat waren die opties? Aan wie heb je ze gegeven?
  8. begreep de client deze opties? Wat hebben ze ervoor gekozen (of niet) om te doen?
  9. wanneer u gegevens/bewijzen/informatie hebt ontvangen en van wie.
  10. wanneer u gegevens/bewijs/informatie aan iemand hebt doorgegeven of ergens hebt geplaatst.
  11. succes van een tool (bijv. harde schijf met succes afgebeeld).
  12. falen van een tool (bijvoorbeeld fout bij het vastleggen van geheugen, script breken, harde schijf niet leesbaar).
  13. wanneer u gestopt bent met werken of een dienstwissel hebt gemaakt. Aan wie heb je de eigendom overgedragen? Welke informatie heb je hen gegeven?
  14. … waarschijnlijk meer dat mensen hier kunnen toevoegen

dat is veel. Verder nog iets?

ja, schrijf op wanneer u hebt opgevuld.

Ha Ha Ha. Ervoor.

nee echt. Een harde schijf laten vallen? Maak een notitie. Ben je vergeten een geheugenmonster te verzamelen tot je terug kwam naar het lab? Hash het dossier. Noteer het dan. Een tijdzone in je berekeningen gestopt? Repareer het. Maak een notitie.

notities beschermen u. Mensen maken fouten. Je zult fouten maken. Als u uw werk peer reviewed of uitgedaagd, dan met die notities zal een back-up van uw versie van de gebeurtenissen. Zeker, je vergat de uitvoer van een tool hash. Het gebeurt. Maar je hebt het gemaakt. Het is beter dan hashing, niet documenteren, en dan een of twee jaar later afvragen waarom de tijdstempel van de hash is drie dagen na het vastleggen van het geheugen. Het is altijd veel erger om fouten uit te leggen zonder notities om een back-up van uw versie van gebeurtenissen. Notities geven je geloofwaardigheid, zelfs als je een fout hebt gemaakt.

dus … ‘contemporaneous’, wat betekent dat?

in een ideale wereld beginnen uw notities wanneer u een onderzoek start, maar dit is niet kritisch of soms praktisch. Het is duidelijk dat hoe dichter je de notities bij de werkelijke gebeurtenis te schrijven, hoe beter. Echter, de gouden regel is ‘sommige noten geschreven na het feit, zijn beter dan helemaal geen noten’. Bijvoorbeeld, je bent uit en je neemt een telefoontje aan. Tijdens dit gesprek triage je een situatie, geef advies, en maak je een beslissing over welke acties jij of je team zou kunnen maken. Als je deze notities de volgende dag schrijft, is het oké. Het feit dat je ze opschrijft is het belangrijkste.

Hoe moet ik aantekeningen maken?

er zijn tal van softwareprogramma ‘ s. De waarheid is dat welk programma werkt voor u en werkt met uw team. Als iedereen OneNote gebruikt: gebruik dat dan. Als mensen een gespecialiseerde applicatie hebben, dan is het zinvol om uw notities af te stemmen op die software. Ik heb een aantal links aan de onderkant van dit bericht gezet, en als je favorieten hebt, laat het me weten en Ik zal ze toevoegen.

print ik ze … of hash ze … of wat?

ook hier is er geen andere regel dan het consistent maken. De beste praktijk (naar mijn mening) zou zijn om op zijn minst een ondertekende, gedrukte versie te hebben. Dit is simpelweg omdat (mocht het zover komen) advocaten en rechtbanken gek zijn op gesigneerde papieren exemplaren. Ja, je kunt een document cryptografisch ondertekenen of het bestand(en) hashen en het is waarschijnlijk goed om een mix van verificaties als deze te doen. Ook hier moet u zich laten leiden door uw team of regelgevend kader.

als je tips, voorbeelden, correcties hebt, laat het me weten op of via Twitter op @mattnotmax. Geloof me, het schrijven van duidelijke notities is de beste carrière zet die je kunt maken.

Middelen & Links

Bijgewerkt Op 6 Augustus 2018: Ik werd gecontacteerd door de makers van ‘Forensic Notes’ en gezien hun product lijkt te zijn ontworpen voor de bovenstaande doeleinden heb ik ze hieronder opgenomen. Het promoten van een van de onderstaande toepassingen heeft geen persoonlijk voordeel opgeleverd. Ik heb ook opgemerkt betaalde / gratis opties.

OneNote (betaald)
KeepNote (vrij, lijkt er niet op dat het al een tijdje onderhouden is).
Case Notes Professional (Gratis)
Dradis (gratis)
Forensische Notes (gratis/betaald)
nog meer bij dfir.opleiding

Published by admin

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.