Note contemporane: a forensicator 's best friend

by Posted on

acest post poate fi de fapt destul de scurt: scrie note contemporane. Acolo. Făcut. Terminat.

aveți nevoie de mai multe detalii?

scrierea notelor contemporane este cel mai inteligent, cel mai bun și cel mai important lucru pe care îl veți face în cariera DFIR. Te vor ajuta, te vor salva, te vor proteja și te vor ajuta în fiecare aspect al muncii tale. Nu faceți greșeala de a crede că notele contemporane vor fi unele ‘dovezi suplimentare’ care vă vor pune probleme sau vor contrazice constatările raportului. În schimb, ei vor fi cel mai bun prieten al tău.

ce sunt notele contemporane?

nu sunt avocat, așa că îți dau părerea mea. Notele contemporane sunt dovezi documentare despre ceea ce ați făcut, spus, observat sau vi s-a spus. Acestea sunt produse de tine în timpul muncii tale. Acestea ar trebui să fie scrise cât mai aproape de eveniment. Poate fi note scrise de mână, un document tastat, jurnale/capturi de ecran din instrumente, e-mailuri, fotografii/videoclipuri sau un fișier <introduceți aplicația preferată de luare a notelor aici>. În realitate, ele vor fi, probabil, un amestec de toate acestea.

notele contemporane sunt utilizate astfel încât să puteți explica acțiunile dvs. în timpul unui incident sau al unei investigații. De asemenea, îi ajută pe ceilalți care lucrează în echipa dvs. să știe ce acțiuni ați întreprins. Acest lucru va evita erorile, duplicarea muncii sau (mai rău) pașii lipsă care trebuie întreprinși. În cele din urmă, notele contemporane vor furniza dovezi și răspunderea acțiunilor dvs. în săptămânile, lunile sau chiar anii de după fapt.

‘Regulile’ notelor contemporane

nu există reguli dure și rapide și toată lumea își va dezvolta stilul pe măsură ce scrie din ce în ce mai multe note. Unii oameni scriu doar puțin și preferă să se bazeze pe jurnalele de instrumente, capturi de ecran sau fotografii. Alții se vor documenta obsesiv. Va trebui să găsiți ceea ce va funcționa pentru dvs. și stilul dvs., precum și tipul dvs. de muncă DFIR. De asemenea, trebuie să țineți cont de orice cadru de reglementare în care vă încadrați.

deci, să începem cu următoarele:

  1. toate intrările, fotografiile sau jurnalele ar trebui să aibă o dată și o oră. Această dată și oră nu trebuie sincronizate cu un ceas atomic elvețian, dar ar trebui să fie exacte.
  2. dacă sunteți note de scriere de mână și faceți o greșeală, intrați în panică, traversați ceea ce ați scris cu o singură linie, deci este încă lizibil, scrieți ce ați vrut să spuneți, apoi semnați și datați secțiunea încrucișată.
  3. dacă ați uitat să documentați un eveniment (și sunteți note de scriere de mână sau le-ați tipărit), în partea de jos scrieți ‘în ordine’, puneți data și ora evenimentului și apoi adăugați detaliile relevante. Semnați această secțiune scrisă de mână, dacă este necesar.

ce ar trebui să includ?

nu puteți include totul, dar trebuie să aflați ce este important să documentați. Dacă faceți o imagine a unui hard disk, nu scrieți MD5/SHA1 dacă este în Jurnalul de instrumente – includeți doar jurnalul în notele dvs. Gândiți-vă la aspectele nebuloase ale muncii dvs. care nu sunt capturate de jurnalele de instrumente sau de alte ieșiri automate.

unele domenii care cred că sunt esențiale pentru document sunt:

  1. Data/ora la care ați fost implicat într-o investigație / incident.
  2. unde vă aflați (la fața locului, prin telefon, acces la distanță etc.).
  3. când primiți informații; cine a furnizat aceste informații.
  4. când ați furnizat sfaturi sau o actualizare de stare; cui; și ce informații au fost furnizate.
  5. pașii pe care i-ați făcut atunci când ați avut de-a face cu un incident sau când ați manipulat dovezi.
  6. întâlniri ținute; cine a fost prezent la acele întâlniri; esența generală a întâlnirii; deciziile critice luate la acea întâlnire.
  7. dacă ați furnizat opțiuni sau recomandări verbale unui client sau conducerii (de exemplu, amploarea unei încălcări, ce date sensibile au fost potențial exfiltrate, date ilicite identificate, posibile măsuri de izolare sau remediere); care au fost aceste opțiuni? Cui i le-ai dat?
  8. clientul a înțeles aceste opțiuni? Ce au ales (sau nu au ales) să facă?
  9. când ați primit date/dovezi / informații și de la cine.
  10. când ați transmis date/dovezi / informații cuiva sau le-ați plasat undeva.
  11. succesul unui instrument (de exemplu, hard disk imaginat cu succes).
  12. eșecul unui instrument (de exemplu, eroare de captare a memoriei, ruperea scriptului, hard disk-ul nu poate fi citit).
  13. când ați încetat să lucrați sau ați făcut o schimbare de tură. Cui i-ai transferat proprietatea? Ce informații le-ați furnizat?
  14. …probabil mai multe pe care oamenii le pot adăuga aici

asta e mult. Altceva?

Da, scrie Când ai umplut.

Ha Ha Ha. Sigur.

nu într-adevăr. A scăzut un hard disk? Notează. Ați uitat să hash o mostră de memorie până când te-ai întors la laborator? Hash fișierul. Apoi faceți o notă. Ai băgat un fus orar în calculele tale? Repară-l. Notează.

Notele vă protejează. Oamenii fac greșeli. Vei face greșeli. Dacă aveți munca dvs. revizuită sau contestată, atunci aceste note vor face o copie de rezervă a versiunii dvs. de evenimente. Sigur, ai uitat să hash ieșirea unui instrument. Se mai întâmplă. Dar ai reparat-o. Este mai bine decât să-l hash, să nu-l documentezi și apoi unul sau doi ani mai târziu să te întrebi de ce ștampila de timp a hash-ului este la trei zile după capturarea memoriei. Este întotdeauna mult mai rău să explici Erorile fără note care să susțină versiunea evenimentelor. Notele vă oferă credibilitate chiar dacă ați făcut o greșeală.

deci … ‘contemporan’, ce înseamnă asta?

într-o lume ideală, notele dvs. vor începe atunci când începeți o investigație, dar acest lucru nu este critic sau uneori practic. Evident, cu cât scrieți notele mai aproape de evenimentul real, cu atât mai bine. Cu toate acestea, regula de aur este ‘unele note scrise după fapt, sunt mai bune decât nici o notă la toate’. De exemplu, sunteți afară și luați un apel telefonic. În timpul acestui apel, încercați o situație, oferiți sfaturi și luați o decizie cu privire la acțiunile pe care dvs. sau echipa dvs. le-ați putea face. Dacă scrieți aceste note a doua zi, este în regulă. Faptul că le scrieți este partea importantă.

cum ar trebui să iau note contemporane?

există o mulțime de programe software. Adevărul este că oricare program funcționează pentru tine și lucrează cu echipa ta. Dacă toată lumea folosește OneNote: atunci folosiți asta. Dacă oamenii au o aplicație specializată, atunci este logic să vă aliniați notele la acel software. Am pus câteva link-uri în partea de jos a acestui post, și dacă aveți orice favorite, lasă-mă să știu și le voi adăuga.

să le tipăresc … sau să le hașez … sau ce?

din nou, nu există altă regulă decât să o facem consecventă. Cea mai bună practică (în opinia mea) ar fi să ai cel puțin o copie semnată, pe hârtie. Acest lucru este pur și simplu pentru că (ar trebui să vină la ea) avocați și instanțe dragoste semnat exemplare. Da, ați putea semna criptografic un document sau hash fișierul(fișierele) și este probabil bine să faceți o combinație de verificări ca aceasta. Din nou, ar trebui să fiți ghidat de echipa dvs. sau de Cadrul de reglementare.

dacă aveți sfaturi, Exemple, corecții, anunțați-mă la sau prin Twitter la @mattnotmax. Crede-mă crede-mă, scrierea de note contemporane clare este cea mai bună mișcare de carieră pe care o poți face.

Resurse & Link-Uri

Actualizare 6 August 2018: Am fost contactat de creatorii ‘Forensic Notes’ și având în vedere produsul lor pare a fi proiectat pentru scopurile de mai sus le-am inclus mai jos. Nici un beneficiu personal a fost derivat din promovarea oricare dintre cererile de mai jos. Am remarcat, de asemenea, plătit/gratuit opțiuni.

OneNote (plătit)
KeepNote (gratuit, nu pare să fi fost menținut într-un timp).
Case Notes Professional (gratuit)
Dradis (gratuit)
Forensic Notes (gratuit/plătit)
o grămadă mai mult la dfir.formare

Published by admin

Lasă un răspuns

Adresa ta de email nu va fi publicată.