Forensics en un router SOHO

6

Estoy interesado en la confiabilidad de la información determinada al realizar análisis forenses en un enrutador SOHO. La mayoría de estos enrutadores no parecen ser muy avanzados, por lo que me pregunto si sería posible detectar una manipulación indebida.

Si los archivos de registro se han cambiado, por ejemplo, ¿podría detectarse esto? Dado que usan memoria flash, ¿habría restos de encarnaciones anteriores del archivo para demandar como prueba?

Si necesita demostrar que un enrutador SOHO fue manipulado de alguna manera, ¿qué pasos podría tomar para establecer esto y luego qué aportaría como evidencia?

    
pregunta Sonny Ordell 23.06.2011 - 17:53
fuente

3 respuestas

4

Forensics se reduce a cuán bien entrenada y confiable es la persona que realiza el análisis forense y no está relacionada con el diseño de hardware.

Si el software de su enrutador está comprometido, no hay un libro de cosas que puedan cambiarse, ya que cualquier cosa que la mente pueda concebir puede hacerse de manera realista. Los procesadores en los enrutadores en estos días pueden ejecutar compiladores, intérpretes y, una vez que obtiene un acceso de shell y root, son computadoras pequeñas que siempre se ejecutan, tienen acceso a todo el tráfico, están conectadas a Internet y la mayoría de las personas ni siquiera piensan que son riesgo de seguridad.

Si realmente desea presentar un caso, solicite a un profesional desinteresado que haga todo el trabajo. Cualquier juez o abogado defensor descartaría rápidamente la opinión de alguien que presionó la acción basándose en la "evidencia" que ellos mismos recolectaron. Solo tiene que mostrar cómo llegó a sospechar un problema y llamar a los expertos: cualquier cosa que haga antes podría ir en contra de sus intereses.

    
respondido por el bmike 23.06.2011 - 18:02
fuente
2
  

Si necesita hacer un caso que un SOHO   enrutador fue manipulado de ninguna manera,   ¿Qué pasos podrías tomar para establecer?   esto y luego lo que proporcionarías   como evidencia?

La única forma en la que puedo pensar es si los registros se duplicaban en un host de registro separado, una comparación rápida de los conjuntos de registros sería una prueba sólida. Aunque ese nunca será realmente el caso de un enrutador SOHO / Home.

    
respondido por el scuzzy-delta 24.06.2011 - 04:51
fuente
-1

Si tiene los cables correctos, debe usar jtag o similar para volcar el firmware y compararlo con una copia limpia del fabricante u otro enrutador. Creo que sería posible, pero debes ser muy cuidadoso para asegurarte de que el dispositivo original se tome una imagen de manera forense, pero una vez hecho esto, debería ser relativamente simple.

    
respondido por el woozle 11.04.2012 - 15:54
fuente

Lea otras preguntas en las etiquetas