Thursday, August 03, 2006

Forensically Sound Evidence

Mike Murr pointed me to his blog post Forensically Sound Duplicate. He suggests replacing this definition of a forensically sound duplicate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that follows.

"A 'forensically-sound' duplicate of a drive is, first and foremost, one created by a method which does not, in any way, alter any data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive being duplicated. Second, a forensically-sound duplicate must contain a copy of every bit, byte and sector of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source drive, including unallocated 'empty' space and slack space, precisely as such data appears on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source drive relative to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. Finally, a forensically-sound duplicate will not contain any data (except known filler characters) ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than which was copied from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source drive."

This is Mike's replacement:

"A forensically sound duplicate is a complete and accurate representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence. A forensically sound duplicate is obtained in a manner that may inherently (due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquistion tools, techniques, and process) alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence, but does not explicitly alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence. If data not directly contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence is included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duplicate, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduced data must be distinguishable from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence. The use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term complete refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence that are both relevant, and reasonably believed to be relevant."

I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement "A forensically sound duplicate is a complete and accurate representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence." That is broad and still accurate enough to refer to hard drives, memory, or network traffic. I'm not comfortable with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alteration portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suggested definition.

24 comments:

Anonymous said...

Network forensic imaging and analysis applications (read EnCase Enterprise) modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive in order to acquire it. So, while information was introduced to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby modifying it, that information is known and would not materially alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence contained on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive.

Obviously policies could be introduced into an environment that would allow for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EEE server to be resident on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic process, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when a surgical strike needs to be done on a non-compliant PC.

Would you say that network acquisitions are not an acceptable method of performing a forensic process if said network acquisitions modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive through logon, logs, or introduction of software to initiate imaging, if those are known quantities?

Richard Bejtlich said...

I see no problem with network acquisitions. Maybe Mike should say "A forensically sound duplicate is obtained in a manner that does not materially alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence." ?

Michael Murr said...

It's funny that you mention "does not materially alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence", that was a word-for-word definition that came up during email conversations ;)

I was shying away from "materially alter" since loading up an imaging tool into RAM could overwrite remnants of a deleted process in memory, which could have evidentiary value. Also, logging in to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r disk images can materially alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source disk (e.g. overwrite unallocated space which could also have evidentiary value). I don't know how often this type of scenario would happen, but it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. That's why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "A forensically sound duplicate is obtained in a manner that may inherently (due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquistion tools, techniques, and process) alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence" part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition got introduced. I skipped materially alter and expanded it into data alteration inherent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition, and data alteration that is explicit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool.

To me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wording "data alteration that is explicit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool", is a little awkward. I'm still looking for a better way of stating this without making it into anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r paragraph in and of itself :)

Richard Bejtlich said...

Hi Mike,

I see what you mean now. How about

"A forensically sound duplicate is obtained in a manner that does not materially alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence, except to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum extent necessary to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence." ?

Anonymous said...

Richard,

I can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original point you made, and I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes you proposed. I don't want to kill a good idea by adding too many words, but at some point, should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re be mention of something along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence via an applicable/justified/documented means?

What I'm trying to get at is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to have documentation with regards to not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means used to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence, but also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 justification for using that means.

Richard Bejtlich said...

Harlan -- good idea. Any suggested wording?

Anonymous said...

Let's see...building on your mods...

"A forensically sound duplicate is obtained in a manner that does not materially alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence, except to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum extent necessary to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence. The manner used to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence must be documented, and should be justified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent applicable."

Note, given that I am also a veteran, I am not simply peppering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 verbage with "must" and "should"...I've carefully considered this and I believe that both terms have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rightful place.

Michael Murr said...

The part about "does not materially alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence, except to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum extent necessary to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence" can be a little hard to define. What if dd makes a bigger footprint (when running in memory) than dcfldd (I don't know if this is true, just making up an example). So, images obtained from a live system using dd are not forensically sound since dcfldd alters cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence less? Craig and I went back and forth about this a lot, and it led to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realization of a couple of things:

1) The altering inherent in acquisition is different than explicit steps taken to alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence. This is a similar vein to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Observer effect/Heisenberg Uncertainty Principle/etc.

2) There comes a point where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances also come into play. Not having a "forensically sound duplicate" because your imaging program takes up 3 bytes more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next imaging program (exaggerated for emphasis) is perhaps a little unreal. Forensic examiners/analysts/scientists/etc. aren't perfect, we work with what we have.

2.1) To combine and extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous two thoughts, realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition (including what evidence was duplicated and how it was duplicated) feeds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis component. There are two categories of analysis, analysis that uses deductive logic and analysis that uses inductive logic (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is analysis that uses both, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "combined" analysis can be broken down into its deductive and inductive components). With deductive reasoning, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusions are contained (sometimes implicitly) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 premises. With inductive reasoning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusions go beyond what is present (even implicitly) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 premises. You can only really make deductive conclusions based on what evidence was obtained. Inductive conclusions are easier to attack because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are based on evidence you don't have (perhaps couldn't gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisiton process).

From this point of view, "altering" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it be inherent or explicit) doesn't really invalidate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deductive conclusions (because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are based on what you were able to acquire). Altering of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence could lead to questions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reliability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusions (both deductive and inductive) because anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examiner can't recreate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image (which equates to reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 premises, a.k.a. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duplicate being analyzed). By focusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition only, we're assuming that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner/analyst/scientist/etc. performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis understands cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between what can be deduced and what can be inferred inductively. So, even if your imaging program uses "3 bytes more than my imaging program" what you may not be able to deduce as much , but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deductions you make are still valid. What you can infer by inductive reasoning however may be less. (Probably not with just 3 bytes difference, but you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea).

3) The focus of a forensically sound duplicate (at least in my original blog entry) is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition. Acquiring a "forensically sound duplicate" of some source evidence (or component of source evidence) is normally part of a larger process. I agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re must be documentation as to how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence was duplicated, but I don't think it belongs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of a "forensically sound duplicate". Instead it lies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger process (a correct, reliable, and repeatable examination process which has acquisition as a component). I like Harlan's wording, I think he did a good job of placing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "must" and "should" :)

Anonymous said...

What if dd makes a bigger footprint...

Mike, I think that this is a good argument for tool testing and verification...something we're supposed to do anyway. Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances, and given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wording I added last night, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means is documented and justified, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it should suffice.

For example, take your difference between dd and dcfldd. Any differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools should be thoroughly documented. Given a live acquisition of a Windows XP system, you're going to have entries for each created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prefetch directory, as well as beneath cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist key for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account that was active during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition. These changes can/should/must be documented, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder must know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences when deciding which tool to use.

Given 2.1, when testifying in court, shouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst only give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts?

WRT 3), I agree. The documentation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process doesn't need to lie with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition...however, it is necessary.

Harlan

Anonymous said...

I had a couple of thoughts on this thread; one caveat first, though, I don't have much experience in forensics or incident response, so this is pretty much an outsider's PoV.

As far as what constitutes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum alterations necessary to obtain a forensically sound duplicate of evidence, I don't think it's going to be very useful to try and come up with categorical rules such as "'foo' must be used instead of 'bar' because 'blah'". In some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be tools which should absolutely never be used, but in most cases it's going to depend on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances. There was a good example earlier of taking an image from a live system, where any tool already in place is likely to be preferable to one that's not, simply because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you don't have to install a new program. As I understand it, that's why Harlan is focusing on justification and documentation over defining exactly what is an acceptable amount of change; you want to give analysts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir judgement to make decisions based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances, but you also want to be able to verify that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting evidence is trustworthy. Not only does that sort of documentation give you a paper trail, but it also influences cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst's decisions - if you know you will have to justify your reasoning later, you're apt to be more careful about justifying it to yourself up front, which, intuitively at least, should produce more sound reasoning and better decisions.

Also, I have to disagree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suggestion that analysts testifying in court should give only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts. As I understand it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of using an expert witness in a case is to provide interpretation for facts that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jury cannot be expected to interpret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. My impression is that any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r type of forensic evidence (ballistics, DNA evidence, autopsy results, etc.) is presented by an expert witness who also gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir interpretation of what that evidence means in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case; I think that's just as appropriate for digital forensic evidence.

I think that in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r types of forensics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a great deal of latitude given to trained and approved investigators to exercise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir judgement in acquiring and handling evidence, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also guidelines and procedures in place to try to ensure that people are accountable for that judgement. My impression is that that's probably a good direction for digital forensics to take as well. The difficulty is in getting away from trying to take an algorithmic approach to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, which seems to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 natural response for computer science people (myself included).

-Tim

Anonymous said...

Tim,

With regards to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst or an expert witness testifying, I can see your point with regards to interpretation. You're right, facts do need to be interpretted for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jury, and one would hope that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attorneys on each side would see that this is done appropriately.

With regards to documentation, yes, that's what I'm pushing for.

Harlan

Anonymous said...

This is Craig Ball. Sorry this may come up as anonymous, but I didn't want to open yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r account to leave a post. Many worthwhile thoughts here, if only to get us reflecting that forensically sound isn't necessarily something we can precisely define for every situation.

Even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 familiar instance of imaging a hard drive removed from a system (such that live acquisition isn't a factor), we understand that a couple of unreadable sectors may prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition of those sectors or even of larger contiguous blocks, depending upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool employed. I doubt any experienced examiner would contend that an acquisition isn't forensically sound because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a few bad sectors (assuming, of course that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and methodology employed were competent and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of as many sectors as was technically feasible under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances). We typically wouldn't send a drive in for clean room extraction or scanning tunneling electron microscopy for a bad sector or two, unless (possibly) later analysis showed that those sectors just happened to fall within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case making/breaking evidence. Life is too short. Cost is too high, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realities are that reliable data can be gleaned from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining 234 million-odd sectors on that 120GB drive!

If we are compelled to alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data using best available methods, I think it's important that we be able to quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 footprints we've left at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene. Just as at a physical crime scene, sometimes you have to stomp around. But just as at a physical crime scene, you choose your steps with care, monitor and record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 route you take, and (as much as possible) make sure you're not stomping on critical evidence. For acquisition of an offline drive, we can demand exacting standards, in part because it's not that difficult for a properly trained examiner to meet those standards. When you're talking about data acquisition from an old fax machine or a failing drive, you do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very best you can and stand ready to fully explain and justify your actions. Most importantly of all, you've got to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limits of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you've acquired; that is, where and how is it rendered unreliable due to changes in acquisition or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media may have supplied a byte of data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time value but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS doesn't use that byte, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time displayed is fanciful).

What I want to avoid is diluting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard for competent action for those media and circumstances where we can and should demand a rigorous standard (e.g., offline hard drives). In our efforts to accommodate circumstances necessitating compromise (live acquisition of data in volatile memory), we shouldn't strive for a one-size-fits-all definition if that opens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door to sloppier forensics.

Michael Murr said...

So my response (4 comments back) was responding to both Harlan and Richard. I'll respond to Harlan's first since it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shorter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two :)

Harlan, in regards to documentation (it appears) we both agree that documentation is a "must", but that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation requirement doesn't belong in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of forensically sound duplicate.

In regards to Richard's suggested wording of "...except to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum extent necessary to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two side effects (introduced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wording) that I wanted to avoid. First it doesn't differentiate between data alteration that is inherent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition, and explicit data alteration. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wording also sets a relatively high standard as to what tools can generate a "forensically sound duplicate".

If we go with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard "except to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mimimum extent necessary", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what tools actually meet this? Running dd under Windows Forensic Toolchest makes a larger footprint than just running dd by itself. So does this mean that Windows Forensic Toolchest can not yield forensically sound duplicates as it doesn't alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence "to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum extent necessary"? Also, Craig brings in a good point (and this was contained in Harlan's post as well) that if you document what data was altered/lost/introduced (and can defend your actions) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should be on solid ground, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "minimum extent necessary" wording.

The differentiation between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two types of data alteration (inherent and explicit) in my original wording was "A forensically sound duplicate is obtained in a
manner that may inherently (due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquistion tools, techniques, and process) alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence, but does not explicitly alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence." I left this intentionally broad with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implicit understanding that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be documentation to go with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duplicate and so as to not restrict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of tools that collect valid evidence but don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smallest footprint.

I think an analogy might clarify things a bit. Consider a person that has been stabbed and is lying dead on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground. Collecting a specimen of blood is analagous to creating an image of a hard disk (or RAM). In both cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual collection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence needs to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original evidence as much as is reasonable. In both cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re also needs to be supporting documentation, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation itself doesn't determine whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection contaminated/invalidated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence. In addition, documenting your path through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime scene is part of a larger strategy for evidence collection.

Anonymous said...

Mike and Craig,

Excellent points. I fully agree with Craig's point of not "dilute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard for competent action"...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wording specifies and implies many important aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, such as "competent".

I also agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should not be an effort for a one-size-fits-all definition or standard, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason Craig mentioned.

Mike, I do think that a requirement (a "must") for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation requirement does need to associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition in some direct manner, although I agree that it does not need to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual definition.

Harlan

Anonymous said...

Mike,

> Collecting a specimen of blood is analagous to creating an image of a
> hard disk (or RAM). <

An interesting analogy which is made possible only because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject is conveniently dead. We might imagine what would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject were alive and we collected all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence. :-) Historically, digital evidence has most often been introduced under a document production cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory; hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to show that a particular document is a true and accurate copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original. I doubt however that any serious forensic technician would consider a blood sample to be a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original. A sample is not a copy, it is a *sample*. People who apply any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se definitions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "live" response scenario inevitably end up focusing on a subset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available evidence, namely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y collected. If a computer is running when you arrive on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene you *will* throw away at least some evidence irrespective of what course of action you follow. A better question would be how to collect reliable evidence since clearly forensic duplication is not always an option.

- Rossetoecioccolato.

Michael Murr said...
This comment has been removed by a blog administrator.
Michael Murr said...

Oops, I hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 login and publish when i meant to hit preview... Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last post (which I deleted so I could fix some typos):

Here's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r approach...

Let's break this down into two components, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection (i.e. copying of bits by use of some software [or potentially hardware] tool) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements for admissibility into court.

The only real requirements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection tool are:
1) The tool creates an accurate representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source.
2) Any introduced data is distinguishable from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source.

Tools can be tested for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of requirements. Now I'm not advocating sloppy forensics, just focusing this section soley on copying bits from one place to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements for admissibility into court is a different story. I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are any hard-fast rules/laws that say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original evidence can not be altered as a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence to be admitted. There are a number of guidelines and best-practices related to digital evidence collection that are used to help with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues surrounding evidence admissibility.

I'm a little leary of creating a definition for evidence collection that includes best practices and guidelines as requirements unless you say something like:
"A forensically sound duplicate is an accurate representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source where any introduced data is distinguishable from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source and follows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se best practices and guidelines when applicable: ..." Making a guideline or best-practice mandatory in a definition doesn't make much sense since it's a guidline and/or best practice not a hard-fast rule. By wording a defintion in this way (or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r similar manner) we are keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual collection distinct from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admissibility in court.

As far as to what guidelines and best practices to include, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that has been a real stickler is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alteration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence. Perhaps rewording "minimum data alteration" into something more abstract along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of "evidence preservation"? For example: "The collection should take (all) reasonable steps to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source." What is considered "reasonable" can vary due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium and circumstances.

Also, I'm curious as to what people would consider as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal for a definition of "forensically sound duplicate"? Are we just trying to get something that is likely to be admissible in court? Are we striving for scientific rigor? Are we going for just a definition or an actual standard? The more I'm reading our posts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I'm starting to think we've all got different goals.

Michael Murr said...

Sigh... I could have sworn I hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preview button again... :/

At any rate, (ignoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obvious guidline instead of guideline typo) I did want to add something after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sentence "What is considered "reasonable" can vary due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium and circumstances." If we want to come up with a list of what is "reasonable" for various medium/circumstance combinations would we really just in essence be applying ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r standards/guidelines/best practices for evidence preservation, or listing hard-fast technical requirements?

Anonymous said...

Michael,

IMHO, we have been well on our way to a pretty solid definition. For practical purposes, splitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement for court admissability may be a good approach, but I don't see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's any need to go back and rewrite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition.

Perhaps removing "duplication" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition would be appropriate.

George/Rossetoecioccolato makes a good point...any time you're dealing with a live system, you're going to end up "throwing away at least some evidence". This is true to an extent, even if you do nothing...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Order of Volatility is a good guide post for this. Once you start interacting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, this becomes more pronounced. However, as we've discussed, implementation needs to be separated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition.

I would be very interested in any wording that Rossetoecioccolato might suggest.

Finally, admissability in court should always be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of a definition or process such as what we've been discussing. We should start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual standard is going to be something else entirely, and I believe it may end up being more of a process and education than an actual hard and fast standard.

Harlan

Anonymous said...

I'd like to make a suggestion with regards to this thread...is it possible to move this to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forum? I can easily see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TaoSecurity blog is not necessarily going to scale easily.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime, I'm going to put some thought into coming up with some actual wording, reworking or simply redoing what we've got so far. After posting my previous response, I took a look at terms such as "evidence", "evidence dynamics", etc., and I'm beginning to wonder if "duplication" should even be part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition.

Michael Murr said...

I'd be quite interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removal of "duplication", going down this path can lead to some interesting alternatives.

As far as hosting this discussion, we can move to forensicfocus.com, or I can add anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forum over at libforensics.org (I already have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software in place). Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r possibility is to set up a (temporary?) mailing list.

Any preferences?

Michael Murr said...

[It's a bad night for me and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preview button]

There is also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of making this a sourceforge project (using sourceforge to host cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mailing lists, forums, etc.)

Craig said...

I applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point made about sampling versus replication. A bit of blood may be sufficiently complete for DNA testing, but you couldn't perform an autopsy. Most of my work is akin to autopsy. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 body is contaminated in collection, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autopsy is complicated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence or absence of potentially revealing evidence. Likewise, a single bit flip caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong cable may be enough to make a big block of intelligible data inacessible to me. If I can't validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streams by hashing, just how much difference is present and what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boundaries of change? The definition we accept shouldn't open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door to new avenues of cross-examination that might be avoided by by what Michael aptly terms "scientific rigor."

I suggest that we direct our efforts in support of "scientific rigor" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than simply "admissibility." The standard for admissibility generally is low, and for expert opinions concerning scientific evidence, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 touchstone is (essentially) "scientific rigor." The Daubert standard addresses matters such as peer review and acceptance within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discipline; consequently, if we focus sufficiently on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scientific rigor, admissibility will follow. It's not enough just to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence in. We need standards tending to insulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence from attack on process--standards grounded on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of collection and replicability/verifiability.

I think we are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right track separating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard for collection from analysis and admissibility. Ideally, two able forensic examiners will look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data and reach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same conclusions (what we mean often when we say "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones and zeroes don't lie"). But, now-and-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's room for interpretation, and honest differences of opinion between reasonable people.

With collection, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process should be objective, and improvisation greeted with skepticism. I anticipate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 roles of data collector and examiner will soon diverge, especially in my area, civil litigation. I expect to see collection responsibilities devolve upon less expensive data harvest technicians, trained in collection but not analysis. We've seen this evolution in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forensic disciplines, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who collects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blood or trace isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst. As civil litigation demands broader preservation duties than those of review and production, it won't make economic sense for forensic examiners to be imaging drives or collecting ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r onsite data.

If I'm right, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collector won't share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examiner's skill set, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition needs to be rigorous to insure integrity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. It must be as objective as possible, leaving little room for compromse of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence. Right now, our experience and credibility tend to carry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day in court. When we are relying upon collection by someone else, all we have is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objective integrity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collector as, e.g., a Certified Collection Technician.

So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question is not what standard will we demand of ourselve, but what rigor will we demand of a stranger if our sworn testimony hinges on those efforts?

Anonymous said...

Craig,

Good points, all.

Mike, Libforensics.org or Sourceforge...eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one. You seem to have access to one, and are more familiar than I with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Pick one.

Harlan