Actualmente, las agencias de aplicación de la ley (LEA) llevan a su servidor completo (o quizás a todos los servidores) en una situación de VPS / Cloud o de varios inquilinos.
¿Hemos pensado en alguna directriz de políticas donde las imágenes / instantáneas de máquinas virtuales se puedan guardar y proporcionar como evidencia en lugar del hardware en realidad?
¿Hay algún grupo que promueva un cambio de política con alternativas tecnológicas al enfoque de martillo?
A las autoridades policiales no les importa su tiempo de actividad. La aplicación de la ley no se preocupa por sus pérdidas. Quieren preservar la cadena de custodia y la integridad de la evidencia. Si su equipo es incautado como parte de una redada, tomarán toda su máquina. Si desea procesar a alguien por ingresar a su buzón, exigirán una imagen del disco que sea idéntica, obtenida a través de un método conocido como forense. Por esta razón, compañías como Guia enviarán a alguien a defender su software forense en la corte de forma gratuita, si lo requiere.
La policía no aceptará una imagen de VMWare, ya que tienen que demostrarle a un juez que tienen una copia 100% precisa de los datos. Tratar de defender un proceso no estándar cuando tienen abogados defensores mirándolos a la cara no es algo que quieran intentar. La noción de tecnicismo es común.
Al final del día, debe asegurarse de poder hacer una copia forense de la unidad y mantener la cadena de custodia de la evidencia. Un abogado defensor le preguntará cómo sabe que la copia era correcta y cómo puede demostrar que la copia o el disco original no fue manipulado. Si no puede responder eso, destrozarán su caso.
Lea otras preguntas en las etiquetas forensics cloud-computing datacenter