Forensics su un router SOHO

La Forensics si riduce a quanto ben addestrato e affidabile sia la persona che fa la scientifica e non è correlata alla progettazione dell'hardware.

Se il software del tuo router è compromesso, non esiste un libro di cose che possano essere modificate dal momento che qualsiasi cosa possa concepire la mente, può essere realisticamente fatto. I processori sui router in questi giorni possono eseguire compilatori, interpreti e una volta ottenuto un accesso shell e root, sono piccoli computer che funzionano sempre, hanno accesso a tutto il traffico, sono connessi a Internet e la maggior parte della gente non crede nemmeno di essere un rischio per la sicurezza.

Se vuoi davvero creare un caso, chiedi a un professionista interessato di fare tutto il lavoro. Qualsiasi giudice o avvocato difensore eliminerebbe rapidamente come parziale l'input di qualcuno che preme un'azione basata su "prove" che si sono raccolti. Devi solo mostrare come sei arrivato a sospettare un problema e hai chiamato gli esperti: qualsiasi cosa tu abbia passato avrebbe probabilmente funzionato contro i tuoi interessi.

If you need to make a case that a SOHO router was tampered with in any way, what steps could you take to establish this and then what would you provide as evidence?

L'unico modo che posso pensare è che se i registri fossero duplicati in un host di log separato, un rapido confronto dei set di log sarebbe una prova evidente. Anche se ciò non sarà mai realistico per un router SOHO / Home.

Se hai i cavi giusti, dovresti usare jtag o simili per scaricare il firmware e confrontarlo con una copia pulita dal produttore o da un altro router. Penso che sarebbe possibile ma devi stare molto attento a garantire che il dispositivo originale sia ripreso in modo forense dal punto di vista tecnico, ma una volta eseguito dovrebbe essere relativamente semplice.