Attualmente le forze dell'ordine (LEA) prendono l'intero server (o forse tutti i server) in una situazione VPS / Cloud o multi-tenant.
Abbiamo pensato a linee guida sulle policy in cui le immagini / le istantanee VM possono essere kepts e fornite come prova al posto dell'hardware effettivamente?
C'è qualche gruppo che sostiene il cambiamento delle politiche con alternative tecnologiche all'approccio del maglio?
Le forze dell'ordine non si preoccupano del tempo di attività. Le forze dell'ordine non si preoccupano delle tue perdite. Vogliono preservare la catena di custodia e l'integrità delle prove. Se il tuo equipaggiamento viene sequestrato come parte di un raid, prenderà tutta la tua macchina. Se vuoi perseguire qualcuno per irruzione nella tua scatola, chiederanno un'immagine identicamente provata dell'unità, ottenuta tramite un metodo che è noto per essere forense dal punto di vista del suono. Per questo motivo, aziende come Guida invieranno qualcuno a difendere i loro software legali in tribunale gratuitamente, se richiesto.
Le forze dell'ordine non accetteranno un'immagine VMWare, perché devono dimostrare a un giudice che hanno una copia accurata dei dati al 100%. Cercare di difendere un processo non standard quando hanno avvocati della difesa che li guardano in faccia non è qualcosa che vogliono provare. La nozione di tecnicità è comune.
Alla fine della giornata, è necessario assicurarsi di poter effettuare una copia forense del disco e mantenere la catena di custodia sulle prove. Un avvocato difensore ti chiederà come sai che la copia è stata accurata e come puoi dimostrare che la copia o l'unità originale non è stata manomessa. Se non puoi rispondere, ti farà a pezzi il tuo caso.
Leggi altre domande sui tag cloud-computing forensics datacenter