Contemporaneous Notes: A forensicator's best friend
this post can actually be pretty short: write contemporaneous notes. La. Terminar. Concluido.Precisa de mais detalhes?Escrever notas contemporâneas é a coisa mais inteligente, melhor e mais importante que você fará em sua carreira no DFIR. Eles irão ajudá-lo, salvá-lo, protegê-lo, e ajudá-lo em todos os aspectos do seu trabalho. Não cometas o erro de pensar que as notas contemporâneas serão uma “evidência extra” que te vai causar problemas, ou contradizer as conclusões do teu relatório. Em vez disso, serão os teus melhores amigos.
- What are contemporaneous notes?Não sou advogado, por isso dou-lhe a minha opinião. Notas contemporâneas são provas documentais do que você fez, disse, observou ou foi dito. Estas são produzidas por si durante o seu trabalho. Devem ser escritas o mais próximo possível do evento. Pode ser notas manuscritas, um documento digitado, logs/screenshots de ferramentas, e-mails, fotografias/vídeos, ou um <inserir a nota favorita tomando app aqui> arquivo. Na realidade, eles provavelmente serão uma mistura de todos estes.São usadas notas contemporâneas para explicar as suas acções durante um incidente ou investigação. Eles também ajudam outros que trabalham em sua equipe a saber que ações você tomou. Isto evitará erros, duplicação de trabalho ou (pior) passos em falta que precisam ser dados. Por último, as notas contemporâneas fornecerão evidência e responsabilidade de suas ações nas semanas, meses, ou mesmo anos após o fato. as “regras” de notas contemporâneas
- o que devo incluir?
- isso é muito. Mais alguma coisa?Sim, Escreva quando se empanturrar. Ha Ha. Certo.Na verdade, não. Deixou cair um disco rígido? Anotar. Esqueceste-te de analisar uma amostra de memória até voltares para o laboratório? Limpe o arquivo. Então toma nota. Encheste um fuso horário nos teus cálculos? Arranja-o. Anotar.As notas protegem-te. As pessoas cometem erros. Vais cometer erros. Se você está tendo seu trabalho de revisão por pares ou desafiado, então ter essas notas irá apoiar a sua versão de eventos. Claro, Esqueceste-te de cortar a saída de uma ferramenta. Acontece. Mas tu arranjaste-o. É melhor do que bater, não documentá-lo, e então um ou dois anos depois se perguntando Por que o carimbo de tempo do hash é três dias após a captura da memória. É sempre muito pior explicar erros sem notas para apoiar a sua versão dos eventos. As notas dão-te credibilidade mesmo que tenhas cometido um erro.Então … ‘contemporâneo’, o que significa isso?
- Recursos& Ligações
What are contemporaneous notes?Não sou advogado, por isso dou-lhe a minha opinião. Notas contemporâneas são provas documentais do que você fez, disse, observou ou foi dito. Estas são produzidas por si durante o seu trabalho. Devem ser escritas o mais próximo possível do evento. Pode ser notas manuscritas, um documento digitado, logs/screenshots de ferramentas, e-mails, fotografias/vídeos, ou um <inserir a nota favorita tomando app aqui> arquivo. Na realidade, eles provavelmente serão uma mistura de todos estes.São usadas notas contemporâneas para explicar as suas acções durante um incidente ou investigação. Eles também ajudam outros que trabalham em sua equipe a saber que ações você tomou. Isto evitará erros, duplicação de trabalho ou (pior) passos em falta que precisam ser dados. Por último, as notas contemporâneas fornecerão evidência e responsabilidade de suas ações nas semanas, meses, ou mesmo anos após o fato.
as “regras” de notas contemporâneas
não existem regras duras e rápidas, e todos irão desenvolver o seu estilo à medida que escrevem mais e mais notas. Algumas pessoas escrevem apenas um pouco e preferem confiar em registros de ferramentas, screenshots, ou fotografias. Outros documentarão obsessivamente. Você terá que encontrar o que vai funcionar para você e seu estilo, bem como o seu tipo de trabalho DFIR. Deve também ter em conta qualquer quadro regulamentar a que esteja sujeito.Então, vamos começar com o seguinte::
- todas as entradas, fotos ou logs devem ter uma data e hora. Esta data e hora não precisa ser sincronizada com um relógio atômico Suíço, mas deve ser precisa.
- se forem notas de caligrafia e cometerem um erro, entrem em pânico, risquem o que escreveram com uma única linha, para que ainda seja legível, escrevam o que queriam dizer, depois assinem e Datem a secção riscada.
- se você se esqueceu de documentar um evento (e você são notas de caligrafia ou imprimi-los), na parte inferior escreva “fora de ordem”, coloque a data e hora do evento e, em seguida, adicionar os detalhes relevantes. Assine esta secção manuscrita, se necessário.
o que devo incluir?
você não pode incluir tudo, mas você precisa descobrir o que é importante para documentar. Se você fizer uma imagem de um disco rígido, não escreva o MD5/SHA1 se estiver no log da ferramenta – basta incluir o log em suas notas. Pense nos aspectos nebulosos do seu trabalho que não são capturados por logs de ferramentas ou outra saída automatizada.
algumas áreas que eu acredito são críticas para documentar são:
- data/hora em que se envolveu numa investigação / incidente.
- Onde está localizado (no local, por telefone, Acesso Remoto, etc.).
- quando recebe informação; quem forneceu esta informação.
- quando forneceu conselhos ou uma actualização do estado; a quem; e que informação foi fornecida.
- medidas tomadas ao lidar com um incidente ou ao lidar com provas.Reuniões realizadas; que estiveram presentes nessas reuniões; a essência geral da reunião; decisões críticas tomadas nessa reunião.
- se forneceu opções verbais ou recomendações a um cliente ou gestão (por exemplo, a escala de uma violação, que dados sensíveis foram potencialmente extraídos, dados ilícitos identificados, possíveis medidas de contenção ou reparação); quais eram essas opções? A quem os forneceu?
- o cliente compreendeu essas opções? O que escolheram (ou não escolheram) fazer?
- quando recebeu dados/provas/informações e de quem.
- quando você passou dados / evidências / informações para alguém, ou colocou em algum lugar.
- sucesso de uma ferramenta (por exemplo, disco rígido com sucesso imaginado).
- falha de uma ferramenta (por exemplo, falha de captura de memória, quebra de script, disco rígido não legível).
- quando deixou de trabalhar ou mudou de turno. Para quem transferiu a propriedade? Que informação lhes forneceu?
- …provavelmente mais que as pessoas podem adicionar aqui
isso é muito. Mais alguma coisa?Sim, Escreva quando se empanturrar.
Ha Ha. Certo.Na verdade, não. Deixou cair um disco rígido? Anotar. Esqueceste-te de analisar uma amostra de memória até voltares para o laboratório? Limpe o arquivo. Então toma nota. Encheste um fuso horário nos teus cálculos? Arranja-o. Anotar.As notas protegem-te. As pessoas cometem erros. Vais cometer erros. Se você está tendo seu trabalho de revisão por pares ou desafiado, então ter essas notas irá apoiar a sua versão de eventos. Claro, Esqueceste-te de cortar a saída de uma ferramenta. Acontece. Mas tu arranjaste-o. É melhor do que bater, não documentá-lo, e então um ou dois anos depois se perguntando Por que o carimbo de tempo do hash é três dias após a captura da memória. É sempre muito pior explicar erros sem notas para apoiar a sua versão dos eventos. As notas dão-te credibilidade mesmo que tenhas cometido um erro.Então … ‘contemporâneo’, o que significa isso?
num mundo ideal, as suas notas começarão quando iniciar uma investigação, mas isto não é crítico nem, por vezes, prático. Obviamente, quanto mais perto você escrever as notas para o evento real, melhor. No entanto, a regra de ouro é “algumas notas escritas após o fato, são melhores do que nenhuma Nota”. Por exemplo, estás fora e atendes um telefonema. Durante esta chamada, você triagem uma situação, fornecer conselhos, e tomar uma decisão sobre as ações que você ou sua equipe pode fazer. Se escreveres estas notas no dia seguinte, tudo bem. O facto de as escreveres é a parte importante.Como devo tomar notas contemporâneas?
existem muitos programas de software. A verdade é que qualquer programa que funcione para você e trabalhe com sua equipe. Se todos usarem OneNote: então use isso. Se as pessoas têm uma aplicação especializada, então faz sentido alinhar as suas notas com esse software. Eu coloquei alguns links no fundo deste post, e se você tiver alguns favoritos, me avise e eu vou adicioná-los.Imprimo-os…ou prendo-os…ou quê?Mais uma vez, não há outra regra a não ser torná-la consistente. A melhor prática (na minha opinião) seria, pelo menos, ter uma cópia assinada e impressa. Isto é simplesmente porque (se chegar a ele) advogados e Tribunais adoram assinar cópias em papel. Sim, você pode assinar criptograficamente um documento ou hash o(S) arquivo (s) e provavelmente é bom fazer uma mistura de verificações como esta. Mais uma vez, você deve ser guiado por sua equipe ou quadro regulamentar.
se você tiver alguma dica, exemplos, correções me avise no Twitter ou via Twitter em @mattnotmax. Acredita em mim, escrever notas contemporâneas é a melhor jogada de carreira que podes fazer.
Recursos& Ligações
Actualização 6 De Agosto De 2018: Fui contactado pelos criadores das “Notas Forenses” e considerando que o seu produto parece ter sido concebido para os fins acima, incluí-os abaixo. Nenhum benefício pessoal foi derivado da promoção de qualquer uma das aplicações abaixo. Eu também anotei opções pagas / livres.
OneNote (pago)
KeepNote (livre, não parece ter sido mantido há algum tempo).
Case Notes Professional (FREE)
Dradis (FREE)
Forensic Notes (FREE/PAID)
a bunch more at dfir.formação
