samtida anteckningar: en forensicator's bästa vän

by Posted on

det här inlägget kan faktiskt vara ganska kort: skriv samtida anteckningar. Där. Färdig. Färdig.

behöver du mer detaljer?

att skriva samtida anteckningar är det smartaste, bästa och viktigaste du kommer att göra i din dfir-karriär. De hjälper dig, räddar dig, skyddar dig och hjälper dig i alla aspekter av ditt arbete. Gör inte misstaget att tro att samtida anteckningar kommer att vara några ‘extra bevis’ som kommer att få dig i trubbel, eller motsäga dina rapportresultat. Istället, de kommer att vara din bästa vän.

vad är samtida anteckningar?

jag är inte en advokat, så jag ska bara ge dig min take. Samtida anteckningar är dokumentation för vad du gjorde, sa, observerade eller fick höra. Dessa produceras av dig under ditt arbete. De ska skrivas så nära som praktiskt till evenemanget. Det kan vara handskrivna anteckningar, ett skrivet dokument, loggar/skärmdumpar från verktyg, e-postmeddelanden, fotografier / videor eller en <infoga favorit anteckningsapp här> fil. I verkligheten kommer de förmodligen att vara en blandning av alla dessa.

samtida anteckningar används så att du kan redogöra för dina handlingar under en incident eller utredning. De hjälper också andra som arbetar i ditt team att veta vilka åtgärder du tog. Detta kommer att undvika fel, dubbelarbete eller (sämre) saknade steg som måste vidtas. Slutligen kommer samtidiga anteckningar att ge bevis och ansvarsskyldighet för dina handlingar i veckorna, månaderna eller till och med år efter det faktum.

reglerna för samtida anteckningar

det finns inga hårda och snabba regler, och alla kommer att utveckla sin stil när de skriver fler och fler anteckningar. Vissa människor skriver bara lite och föredrar att förlita sig på loggar av verktyg, skärmdumpar eller fotografier. Andra kommer att dokumentera obsessivt. Du måste hitta vad som fungerar för dig och din stil, liksom din typ av dfir-arbete. Du måste också ta hänsyn till alla regelverk du omfattas av.

så, låt oss börja med följande:

  1. alla poster, foton eller loggar ska ha datum och tid. Detta datum och tid behöver inte synkroniseras med en schweizisk atomur, men det borde vara korrekt.
  2. om du är handskrivna anteckningar och du gör ett misstag, panik, korsa ut vad du skrev med en enda rad, så det är fortfarande läsbart, skriv vad du menade, skriv sedan och datera det korsade avsnittet.
  3. om du har glömt att dokumentera en händelse (och du är handskrivna anteckningar eller har skrivit ut dem), längst ner skriv ‘out of order’, sätt datum och tid för händelsen och lägg sedan till relevanta uppgifter. Underteckna detta handskrivna avsnitt om det behövs.

Vad ska jag inkludera?

du kan inte inkludera allt, men du måste ta reda på vad som är viktigt att dokumentera. Om du gör en bild av en hårddisk, skriv inte ut MD5/SHA1 om den finns i verktygsloggen – inkludera bara loggen i dina anteckningar. Tänk på de oklara aspekterna av ditt arbete som inte fångas av verktygsloggar eller annan automatiserad produktion.

vissa områden som jag tror är kritiska att dokumentera är:

  1. datum / tid du blev involverad i en utredning/incident.
  2. där du befinner dig (på plats, via telefon, fjärråtkomst etc.).
  3. när du får information; som lämnade denna information.
  4. när du gav råd eller en statusuppdatering; till vem; och vilken information som lämnades.
  5. steg du tog när du hanterade en incident eller hanterade bevis.
  6. möten som hölls; som var närvarande vid dessa möten; den allmänna kontentan av mötet; kritiska beslut som fattades vid det mötet.
  7. om du gav muntliga alternativ eller rekommendationer till en klient eller ledning (t. ex. omfattningen av ett brott, vilka känsliga uppgifter var potentiellt exfiltrerade, olagliga uppgifter identifierade, möjliga inneslutnings-eller åtgärdssteg); vilka var dessa alternativ? Vem gav du dem till?
  8. förstod kunden dessa alternativ? Vad valde de (eller inte valde) att göra?
  9. när du fick data/bevis / information och från vem.
  10. när du skickade data / bevis / information till någon eller placerade den någonstans.
  11. framgång för ett verktyg (t.ex. hårddisk framgångsrikt avbildad).
  12. fel på ett verktyg (t.ex. minnesinspelningsfel, skriptbrott, hårddisk inte läsbar).
  13. när du slutade arbeta eller gjorde en skiftändring. Vem överförde du äganderätten till? Vilken information gav du dem?
  14. … förmodligen mer som folk kan lägga till här

det är mycket. Något annat?

ja, Skriv ner när du fyllde upp.

Ha Ha Ha. Säker.

Nej verkligen. Tappade en hårddisk? Gör en anteckning. Glömt att hash ett minnesprov tills du kom tillbaka till labbet? Hash filen. Gör sedan en anteckning. Fyllda upp en tidszon i dina beräkningar? Åtgärda. Gör en anteckning.

anteckningar skyddar dig. Människor gör misstag. Du kommer att göra misstag. Om du har ditt arbete peer reviewed eller utmanas, sedan ha dessa anteckningar kommer att säkerhetskopiera din version av händelser. Visst, du glömde att hash utmatningen av ett verktyg. Det händer. Men du fixade det. Det är bättre än att Hasha det, inte dokumentera det, och sedan ett eller två år senare undrar varför hashens tidsstämpel är tre dagar efter minnesupptagningen. Det är alltid mycket värre att förklara fel utan anteckningar för att säkerhetskopiera din version av händelser. Anteckningar ger dig trovärdighet även om du gjorde ett misstag.

så … ‘samtida’ , vad betyder det?

i en idealisk värld börjar dina anteckningar när du startar en utredning, men det är inte kritiskt eller ibland praktiskt. Självklart, ju närmare du skriver anteckningarna till den faktiska händelsen desto bättre. Men den gyllene regeln är ‘några anteckningar skrivna i efterhand, är bättre än inga anteckningar alls’. Till exempel är du ute och du tar ett telefonsamtal. Under detta samtal, du triage en situation, ge råd, och fatta ett beslut om vilka åtgärder du eller ditt team kan göra. Om du skriver dessa anteckningar nästa dag är det OK. Det faktum att du skriver upp dem är den viktiga delen.

hur ska jag ta samtida anteckningar?

det finns gott om program. Sanningen är att vilket program som fungerar för dig och arbetar med ditt team. Om alla använder OneNote: använd sedan det. Om människor har en specialiserad applikation, är det vettigt att anpassa dina anteckningar till den programvaran. Jag har lagt några länkar längst ner i det här inlägget, och om du har några favoriter, låt mig veta och jag lägger till dem.

skriver jag ut dem…eller hash dem … eller vad?

återigen finns det ingen annan regel än att göra den konsekvent. Bästa praxis (enligt min mening) skulle vara att åtminstone ha en undertecknad, papperskopia. Detta beror helt enkelt på att (om det kommer till det) advokater och domstolar älskar undertecknade papperskopior. Ja, du kan kryptografiskt underteckna ett dokument eller hash filen / filerna och det är nog bra att göra en blandning av verifieringar så här. Återigen bör du styras av ditt team eller regelverk.

om du har några tips, exempel, korrigeringar låt mig veta på eller via Twitter på @mattnotmax. Lita på mig tro mig, skriva tydliga samtida anteckningar är den bästa karriär du kan göra.

Resurser & Länkar

Uppdatering 6 Augusti 2018: Jag blev kontaktad av skaparna av ‘Forensic Notes’ och med tanke på deras produkt verkar vara utformad för ovanstående ändamål jag har inkluderat dem nedan. Ingen personlig fördel härrör från att främja någon av nedanstående ansökningar. Jag har också noterat betalda / fria alternativ.

OneNote (betald)
KeepNote (Gratis, ser inte ut som det har bibehållits på ett tag).
Case Notes Professional (gratis)
Dradis (gratis)
Forensic Notes (gratis/betald)
ett gäng mer på dfir.träning

Published by admin

Lämna ett svar

Din e-postadress kommer inte publiceras.