En el escenario hipotético en el que alguien ha logrado obtener acceso ilegal a un enrutador SOHO (cualquiera de los modelos de wifi de los consumidores funcionará bien), ¿qué pasos puede tomar para verificar esto, a fin de presentar pruebas ante un tribunal?
Parece que estos dispositivos no tienen mucho registro incorporado, e incluso si lo hacen, ¿cómo puede demostrar que no fueron manipulados? ¿Qué evidencia confiable se puede obtener de tales dispositivos?
Señalo que solo porque no tengan mucho registro no significa que no tengan ninguno. Suponiendo que reconoció la intrusión antes de la renovación del registro, creo que vería evidencia de ello en la mayoría de los enrutadores SOHO de nivel de consumidor que he usado si el registro estuviera habilitado. Pude detectar intentos de intrusión (y DoS) en enrutadores de DLink, Linksys y Netgear al analizar sus registros relativamente cerca del evento.
Además, si buscaba proteger una implementación, ejecutar dd-wrt proporciona un mecanismo de registro mucho más robusto a través de syslogd que admite la descarga de registros para proporcionar un registro permanente y evitar el problema de transferencia.
Sin embargo, como creo que se señaló anteriormente, el registro suele estar desactivado de forma predeterminada en estos dispositivos y, como resultado, no puedo ver mucho de ellos en ese caso.
Para aclarar, creo que está preguntando acerca de los enrutadores de banda ancha domésticos de grado de consumidor con tecnología inalámbrica integrada (802.11a / b / g / n), ¿verdad?
Fuera de la caja, le será muy difícil probar cualquier tipo de intrusión con estos dispositivos. Además del hecho, no hay nada que autentique a sus usuarios válidos. ¿Cómo distinguirías entre usuarios legales e ilegales?
Para la manipulación, necesitaría tener una instantánea del dispositivo y la configuración cuando se configura para compararla después de que haya sido manipulada.
Lea otras preguntas en las etiquetas forensics legal investigation