Forensics en un router SOHO

Forensics se reduce a cuán bien entrenada y confiable es la persona que realiza el análisis forense y no está relacionada con el diseño de hardware.

Si el software de su enrutador está comprometido, no hay un libro de cosas que puedan cambiarse, ya que cualquier cosa que la mente pueda concebir puede hacerse de manera realista. Los procesadores en los enrutadores en estos días pueden ejecutar compiladores, intérpretes y, una vez que obtiene un acceso de shell y root, son computadoras pequeñas que siempre se ejecutan, tienen acceso a todo el tráfico, están conectadas a Internet y la mayoría de las personas ni siquiera piensan que son riesgo de seguridad.

Si realmente desea presentar un caso, solicite a un profesional desinteresado que haga todo el trabajo. Cualquier juez o abogado defensor descartaría rápidamente la opinión de alguien que presionó la acción basándose en la "evidencia" que ellos mismos recolectaron. Solo tiene que mostrar cómo llegó a sospechar un problema y llamar a los expertos: cualquier cosa que haga antes podría ir en contra de sus intereses.

  

Si necesita hacer un caso que un SOHO   enrutador fue manipulado de ninguna manera,   ¿Qué pasos podrías tomar para establecer?   esto y luego lo que proporcionarías   como evidencia?

La única forma en la que puedo pensar es si los registros se duplicaban en un host de registro separado, una comparación rápida de los conjuntos de registros sería una prueba sólida. Aunque ese nunca será realmente el caso de un enrutador SOHO / Home.

Si tiene los cables correctos, debe usar jtag o similar para volcar el firmware y compararlo con una copia limpia del fabricante u otro enrutador. Creo que sería posible, pero debes ser muy cuidadoso para asegurarte de que el dispositivo original se tome una imagen de manera forense, pero una vez hecho esto, debería ser relativamente simple.