Współczesne notatki: kryminalistyk' s najlepszy przyjaciel

by Posted on

ten post może być naprawdę krótki: napisz współczesne notatki. Tam. Załatwione. Skończone.

Potrzebujesz więcej szczegółów?

pisanie notatek jest najmądrzejszą, najlepszą i najważniejszą rzeczą, jaką zrobisz w swojej karierze DFIR. Pomogą Ci, uratują, ochronią i pomogą w każdym aspekcie Twojej pracy. Nie popełnij błędu, myśląc, że współczesne notatki będą “dodatkowym dowodem”, który wpędzi cię w kłopoty lub zaprzeczy ustaleniom raportu. Zamiast tego będą twoim najlepszym przyjacielem.

Co to są notatki?

nie jestem prawnikiem, więc dam ci swoje zdanie. Współczesne notatki są dokumentalnym dowodem tego, co zrobiłeś, powiedziałeś, zaobserwowałeś lub zostałeś poinformowany. Są one produkowane przez Ciebie w trakcie twojej pracy. Powinny być napisane tak blisko, jak praktyczne do wydarzenia. Może to być odręczne notatki, wpisany dokument, dzienniki/zrzuty ekranu z narzędzi, wiadomości e-mail, zdjęcia/filmy lub <Wstaw ulubioną aplikację do robienia notatek tutaj> plik. W rzeczywistości prawdopodobnie będą one mieszanką tych wszystkich.

Pomagają również innym pracującym w Twoim zespole, aby wiedzieli, jakie działania podjąłeś. Pozwoli to uniknąć błędów, powielania pracy lub (co gorsza) brakujących kroków, które należy podjąć. Wreszcie, równoczesne notatki dostarczą dowodów i odpowiedzialności za swoje działania w tygodniach, miesiącach, a nawet latach po fakcie.

“Zasady” współczesnych notek

nie ma twardych i szybkich zasad, a każdy będzie rozwijał swój styl, pisząc coraz więcej notek. Niektórzy ludzie piszą tylko trochę i wolą polegać na dziennikach narzędzi, zrzutach ekranu lub zdjęciach. Inni będą obsesyjnie dokumentować. Będziesz musiał znaleźć to, co będzie działać dla Ciebie i Twojego stylu, a także Twojego rodzaju pracy DFIR. Należy również wziąć pod uwagę wszelkie ramy regulacyjne, które podlegają.

Zacznijmy więc od następującego:

  1. wszystkie wpisy, zdjęcia lub logi powinny mieć datę i godzinę. Ta Data i godzina nie muszą być zsynchronizowane ze szwajcarskim zegarem atomowym, ale powinny być dokładne.
  2. jeśli piszesz notatki i popełniasz błąd, przekreśl to, co napisałeś, jedną linijką, więc nadal jest czytelne, napisz, co miałeś na myśli, a następnie podpisz i datuj przekreśloną sekcję.
  3. jeśli zapomniałeś udokumentować Zdarzenie (a masz notatki Odręczne lub wydrukowałeś je), na dole napisz “Nie w porządku”, umieść datę i godzinę zdarzenia, a następnie dodaj odpowiednie szczegóły. W razie potrzeby podpisz tę odręczną sekcję.

co powinienem dodać?

nie możesz zawrzeć wszystkiego, ale musisz wypracować to, co jest ważne do udokumentowania. Jeśli tworzysz obraz dysku twardego, nie zapisuj MD5/SHA1, jeśli jest w dzienniku narzędzi – po prostu dołącz dziennik w notatkach. Pomyśl o mglistych aspektach swojej pracy, które nie są przechwytywane przez dzienniki narzędzi lub inne zautomatyzowane dane wyjściowe.

niektóre obszary, które uważam za kluczowe dla dokumentu, to:

  1. Data / godzina zaangażowania się w dochodzenie/incydent.
  2. gdzie się znajdujesz (na miejscu, przez telefon, zdalny dostęp itp.).
  3. kiedy otrzymujesz informacje; kto dostarczył te informacje.
  4. kiedy udzielono porady lub zaktualizowano status; komu i jakie informacje zostały dostarczone.
  5. kroki, które podjąłeś, gdy zajmujesz się incydentem lub obsługą dowodów.
  6. odbytych zebrań; kto był obecny na tych zebraniach; ogólny zarys zebrania; krytyczne decyzje podjęte na tym zebraniu.
  7. jeśli podałeś ustne opcje lub zalecenia dla klienta lub kierownictwa (np. skalę naruszenia, jakie wrażliwe dane zostały potencjalnie usunięte, zidentyfikowane nielegalne DANE, możliwe kroki powstrzymania lub usunięcia); jakie były te opcje? Komu je dostarczyłeś?
  8. czy klient zrozumiał te opcje? Co wybrali (lub nie wybrali) do zrobienia?
  9. kiedy otrzymałeś dane / dowody/informacje i od kogo.
  10. kiedy przekazałeś komuś dane/dowody/informacje lub gdzieś je umieściłeś.
  11. sukces narzędzia (np. dysk twardy pomyślnie sfotografowany).
  12. awaria narzędzia (np. awaria przechwytywania pamięci, łamanie skryptów, nieczytelny dysk twardy).
  13. kiedy przestałeś pracować lub dokonałeś zmiany. Komu przekazałeś własność? Jakie informacje im podałeś?
  14. … prawdopodobnie więcej, że ludzie mogą tu dodać

to dużo. Coś jeszcze?

tak, pisz jak się wypchasz.

Ha Ha Ha. Jasne.

Nie. Upuściłeś dysk? Zanotuj. Zapomniałaś zaszyfrować próbkę pamięci, dopóki nie wróciłaś do laboratorium? Hash pliku. Więc zanotuj. Wypchałeś strefę czasową w swoich obliczeniach? Napraw to. Zanotuj.

uwagi Ludzie popełniają błędy. Popełnisz błędy. Jeśli Twoja praca jest recenzowana lub kwestionowana, posiadanie tych notatek spowoduje utworzenie kopii zapasowej Twojej wersji wydarzeń. Jasne, zapomniałeś hashować wyjście narzędzia. Zdarza się. Ale naprawiłeś to. To lepsze niż haszowanie, nie dokumentowanie, a potem rok lub dwa lata później zastanawianie się, dlaczego znacznik czasu hasha jest trzy dni po przechwyceniu pamięci. Zawsze o wiele gorzej jest wyjaśniać błędy bez notatek, aby wykonać kopię zapasową wersji wydarzeń. Notatki dają Ci wiarygodność, nawet jeśli popełniłeś błąd.

więc … co to znaczy?

w idealnym świecie Twoje notatki zaczną się po rozpoczęciu dochodzenia, ale nie jest to krytyczne, a czasami praktyczne. Oczywiście, im bliżej piszesz notatki do rzeczywistego Wydarzenia, tym lepiej. Jednak złota zasada brzmi: “niektóre notatki pisane po fakcie są lepsze niż żadne notatki”. Na przykład, jesteś poza domem i odbierasz telefon. Podczas tej rozmowy oceniasz sytuację, udzielasz porad i podejmujesz decyzję o tym, jakie działania możesz podjąć ty lub twój zespół. Jeśli zapiszesz te notatki następnego dnia, będzie dobrze. Fakt, że je piszesz, jest ważną częścią.

jak robić notatki?

jest mnóstwo programów. Prawda jest taka, że jakikolwiek program działa dla Ciebie i współpracuje z Twoim zespołem. Jeśli wszyscy używają OneNote: użyj tego. Jeśli ludzie mają wyspecjalizowaną aplikację, sensowne jest dostosowanie notatek do tego oprogramowania. Umieściłem kilka linków na dole tego posta, a jeśli masz jakieś ulubione, daj mi znać, a ja je dodam.

czy je drukować … czy haszować … czy co?

znowu nie ma reguły innej niż sprawienie, by była spójna. Najlepszą praktyką (moim zdaniem) byłoby posiadanie przynajmniej podpisanej, papierowej kopii. Jest tak po prostu dlatego, że (jeśli do tego dojdzie) prawnicy i sądy uwielbiają podpisywane wydruki. Tak, można kryptograficznie podpisać dokument lub zaszyfrować plik(y) i prawdopodobnie dobrze jest zrobić mieszankę takich weryfikacji. Ponownie, powinieneś kierować się swoim zespołem lub ramami regulacyjnymi.

jeśli masz jakieś wskazówki, przykłady, poprawki daj mi znać na Twitterze lub za pośrednictwem @mattnotmax. Zaufaj mi uwierz mi, pisanie jasnych notatek jest najlepszym posunięciem w karierze.

Zasoby & Linki

Aktualizacja 6 Sierpnia 2018: Skontaktowali się ze mną twórcy “Forensic Notes” i biorąc pod uwagę, że ich produkt wydaje się być przeznaczony do powyższych celów, zamieściłem je poniżej. Promowanie którejkolwiek z poniższych aplikacji nie przyniosło żadnych osobistych korzyści. Zauważyłem również płatne/bezpłatne opcje.

OneNote (płatny)
KeepNote (darmowy, nie wygląda, jakby był utrzymywany od jakiegoś czasu).
Case Notes Professional (FREE)
Dradis (FREE)
Forensic Notes (FREE/PAID)
kilka więcej w dfir.szkolenia

Published by admin

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.