Wednesday, August 28, 2019

DFIR Open Mic Night

So, here's a thought...

At a well-attended DFIR conference, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be a DFIR open mic comedy night.  In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evening, after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event is done for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 venue for something a little light-hearted. For example, OSDFCon has had a mixer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 days, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re've been finger foods and adult beverages, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a bar right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lobby.  Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 venue already has chairs and a mic, why not use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m? 

So, Chatham House rules apply, as well as:

  • No sales pitches
  • No shaming anyone, any company or organization, product, etc.
  • Use no names, unless you're sending praise/shout-outs
  • Be cool - a little light profanity isn't an issue, but don't be vulgar or disgusting

I think a lot of folks would enjoy something like this...it's a great way to engage, and provide some folks who maybe didn't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir talk accepted a chance to get up on stage and see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do with public speaking.

After all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a LOT of weird or funny things that go on during an IR engagement.  Some may not be funny at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but with a little embellishment ("don't let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts get in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of a good story...") some time later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're freakin' hilarious!  So why not share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se with everyone else?

For example, I did an IR years ago with a global organization, one that had multiple tools available.  We'd seen Mimikatz being run in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment; in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOC (which was located in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r country) had alerted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 headquarters organization to this finding.  A manager in charge of one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools was running searches for "mimikatz" across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure; unfortunately, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detections being used was, "any command line that includes "mimikatz"".  This was intended to catch things like "Invoke-Mimikatz", but it caught everything else.  The first couple of times this happened, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOC would send an alert, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local SOC manager (a guy about 6' 7", 275 lbs, bodybuilder type) would go nuts, telling (well, not "telling", per se...) us that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy was back, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 veins in his head and neck were popping out.

So, not funny at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but something we can laugh about now...

Thoughts?  Go?  No go?  Is this something you'd participate in, or just want to watch?  Or watch until maybe you got your nerve up (liquid courage) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n got up on stage? 

Friday, August 16, 2019

Program Execution...Or Not

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, different means have been used to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR analysis process, and one of those has been artifact categories.  This is where categories are created and artifacts placed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various columns, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y relate to those categories.  One such example is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS IR poster, which provides a great visual reminder for folks looking to employ this approach.  Honestly, it is a good way to approach analysis...looking at even a single system image, artifacts have grown over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 versions of Windows have progressed from XP to Win7, through to Win10, and as such, it benefits a large portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community to have a repeatable approach to analysis.

However, when using approaches such as this, we need to keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category titles.  Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of "program execution" provide an indication of applications that were launched on a system, but what does that mean?

At this point, I can guess what you're thinking...wait, what?? And believe me, I get it.  "Program execution" means exactly that...that a program was executed.  End of story.  But wait...is that what it really means?

Consider this for a second...someone unfamiliar with a program or application might "open" it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first try, to see what it does.  Command line tools, for example, often contain information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir usage, which we can see by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r typing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command prompt (no arguments), or by adding "/?" or "-h" ("--help" for Linuxphiles).  This causes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program to run, but not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is actually used.

As an example, I opened a command prompt, and changed directories to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C:\Windows\Prefetch folder.  Most analysts who've been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry for some time are familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application prefetch files, often referred to as simply "Prefetch". Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are files are widely known as an artifact of "program execution".

I first typed "dir ftp*.pf" to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were any Prefetch files that appeared to point to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of ftp.exe, and got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expected result: File Not Found.  Next, I typed "ftp /?" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prompt, which displayed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage syntax of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application.

I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n retyped (actually, I hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 up arrow twice...) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'dir' command, and this time, I found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a file named FTP.EXE-7BA637EA.pf, which was 2,685 bytes in size.

So, what happened?  I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, but only to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where I could read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage syntax. I didn't actually use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program to transfer files or exfil data in any way.  However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of program execution were populated.

Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing applies to GUI applications, maybe even more so.  You can launch a GUI application, look around at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface, maybe click a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options to see what functionality is available, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UI without ever having employed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application.

Case in point...consider this analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefCon 2018 CTF file server image.  Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r publicly available write-ups addressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of interest (which application was used to delete forensic artifacts?) with various findings.  One was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 itempos.pl RegRipper plugin; not an artifact normally associated with program execution, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application was resident on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktop.  The two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r write-ups went with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist artifacts, widely associated with program execution; however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no verification that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application was actually used to, as stated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTF question, delete forensic artifacts.  As such, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI application could have been launched, closed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n something else could have been used to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specified actions. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions in question were never verified.

As such, something to consider going forward is, when artifacts of program execution are found, what do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really mean?

Finally, a question...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a way to make use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP protocol on Windows workstations (XP, 7, 8, 10) that does not leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'normal' artifacts of program execution (i.e., Prefetch file, UserAssist entry) that does not involve disabling any default functionality.  What is it, and how would you determine/verify it?

Addendum, 18 Aug: So far, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's only been one attempt to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final question.  I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re...check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's at least one more, and maybe even more than one!

Chasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR Cure, pt II

Following my first post on this topic, an interesting comment was shared that I thought would really benefit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion, as well as benefit from a furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r look.

To paraphrase, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment was along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of,"...how do you justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional cost of a second (or third) look when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results are coming out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same?"

In my experience, that hasn't been an issue.

First, when someone has decided that additional eyes on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is a justified step to take, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value is already understood, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost-benefit analysis has already been done.  Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pro bono case I mentioned in my previous post; in that case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value was understood prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attorney contacting me, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision was made after contact and initial discussions/scoping to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work pro bono.

Second, while I have been aware of and party to "second looks", in my experience, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results are rarely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "first look". The comment above assumes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, but I simply haven't found that to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. 

I did some pro bono work (different case from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one previously mentioned) involving someone leaving a firm, and "salting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earth" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way out.  What I mean by this is that someone submitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir letter of resignation, and after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building, it was found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system was infected with ransomware.  In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were assigned was "communal", in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a critical application installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, with just one license, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO needed to have access to it at all times.  My analysis was actually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third look, and I was able to demonstrate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evening prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "incident", someone had logged in at 9pm and browsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web for about 6 minutes.  During that time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system became infected, and a persistence mechanism was established, which led to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware launching when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user (not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO) logged in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next morning and wrote out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir letter of resignation.  The case was thrown out, and a counter suit for libel went forward, based on my report.

This is just one example, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings were different enough from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement officer's report and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r consultant's report that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome was significantly impacted, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case altered. 

Tuesday, August 13, 2019

Chasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR Cure

I've wondered for some time now, how do "customers" (recipients of DFIR services) determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality and accuracy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rendered product?  Throughout my time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, I've known some customers to "seek a second opinion", but is this something that's really pervasive?

I was watching a new medical mystery show recently called "Chasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cure".  This show is all about folks with severe, debilitating illnesses that have gone un- or mis-diagnosed for extended periods of time. This subject is near and dear to me because about 25 years ago, I went through a similar situation, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duration of my issue was a few months, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than years.  In one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show segments, a woman was suffering from a debilitating ailment that had gone misdiagnosed for several years, and she was able to receive a confident diagnosis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show (i.e., PCOS).  What I found interesting was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctors who made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagnosis (on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show) were looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of tests that had been ordered by previous doctors, meaning that several medical professionals had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 woman had been told by previous doctors that did not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 condition for which she was finally diagnosed.  So, this was not just a matter of two (or more) professionals having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data and arriving at different conclusions, as much as it was about a  professional in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field specifically discounting a diagnosis.  The result was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 woman and her family suffered for several more years, where she could have received treatment much earlier.  However, not being satisfied with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer she was given led her to continue seeking a diagnosis.

That got me to thinking...how do those who contract for DFIR services know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis and findings cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're receiving are correct and accurate?  Sure, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings don't go cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can seek a second (or third) opinion, but how do to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know that what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive is correct? 

Several years ago, I was contacted by an attorney who had a case that involved a person being in a specific location based on computer evidence.  In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case had to do with someone claiming that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were at a convenience store, and this attorney's case would be held up if that person had been behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer keyboard.  The attorney had first 'contracted' with a part-time IT sysadmin who serviced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir office to conduct analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer data, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysadmin had reportedly found evidence that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person had, in fact, been behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyboard.  The attorney asked me to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finding, which I was able to do.  However,

The question, "...are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se findings correct?" ever asked?  Does it matter?  I believe it does, and I also believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of circumstances where it may behoove a customer/recipient to seek a second opinion:

PCI Investigations - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "window of compromise" is a variable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "potentially how many credit card numbers were compromised" equation.  This cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n leads to corrective or punitive actions, such as fines, and as such, is significantly impacted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation.  For example, misinterpreting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time stamp associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AppCompatCache data can extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "window of compromise" from weeks to years, and severely impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merchant, who receives a much greater fine.

Compliance - this goes back to things like PCI investigations, as during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst may find that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merchant was not compliant with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI DSS (or standards set by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r regulatory body) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach.

Cyber Insurance - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of an investigation can significantly impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of a claim; issues with data collection and interpretation may lead to findings that indicate considerable gaps in "due diligence", and claims may not be paid.

HR - findings as a result of a DFIR investigation in support of HR can significantly impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 employee, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.  Misinterpretations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data may lead to an employee being unjustly accused or dismissed; I worked a pro bono case to this effect several years ago.

Ransomware - something we see reported quite often in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media is that "...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no evidence of data exfiltration found...", and that's a good thing which fits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired narrative.  But is it correct?  Were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR analysts aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifact locations within Windows systems that might provide a different view of that answer?  After all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actors behind Samas and Ryuk ransomware deployments have been observed spending months (yes, I did spell that correctly...) within an infrastructure before deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ransomware, so...yeah...

I'm not suggesting that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry is rampant with errors in data collection and interpretation, not at all.  There are a lot of great analysts out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re doing a lot of great work, and providing accurate results and findings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers.  However, like any industry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things do happen, and like ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r situations, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y happen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can have a serious impact. We also have to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that operating systems are getting more sophisticated all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, and applications are flourishing and getting more numerous.  This is all to say that things are much more complex than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were 20 years ago, and with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of people coming into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR field, how do we keep up on keeping everyone at a common level of knowledge?

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry that I've seen change over time is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of collection, parsing, and pre-processing frameworks.  When I started out in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, even if a DFIR analyst collected a dozen or more images, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y analyzed those images cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.  Over time, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's been a move to cover and address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's been a subsequent increase in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of available data.  As such, in a move establish a level of consistency, a lot of DFIR teams have developed means for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise-level collection and pre-processing of data.  All of this can add an additional layer of abstraction between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst.

I'm also fully aware that over time, we learn things.  I was talking to Brett Shavers recently, and he brought up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario of going back and looking at previous cases.  Like Brett, when I've done this, I've marveled at how far I've come since that case; what are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things I've learned since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that I could apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case if I were to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue today?

I would think, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, that without some compelling reason, most who purchase DFIR services accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive as correct and accurate.  In this age of legal and regulatory requirements that both impact and depend on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of DFIR analysis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct and accurate collection and interpretation of digital data is paramount, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of cases where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "customer" may benefit from a second, or even a third opinion.  After all, we do this with medical issues, don't we?

To that point, that 'compelling reason' would likely consist of findings that are markedly contrary and contradictory to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired narrative.  There is likely a 'threshold' that some may accept; for example, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI example above...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are likely merchants who receive information about those findings and are able to absorb whatever judgement is levied by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Council.  However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also those merchants for whom cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 judgement is what I've referred to as a "cratering fine"; that is, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fine is levied, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business (a small mom-and-pop restaurant, for example) ceases to exist.  I've seen this happen.  In such cases, given what's at stake, it may behoove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merchant to seek a second opinion.