Nello scenario ipotetico in cui qualcuno è riuscito a ottenere un accesso illecito a un router SOHO (qualsiasi modello di wifi consumer funzionerà bene), quali passi puoi intraprendere per verificarlo, in modo da presentare le prove a un tribunale?
Questi dispositivi non sembrano avere molto integrato il logging, e anche se lo fanno, come puoi dimostrare che non sono stati manomessi? Quali prove affidabili possono essere ottenute da tali dispositivi?
Sottolineo che solo perché non hanno molta registrazione non significa che non ne abbiano. Supponendo che tu abbia riconosciuto l'intrusione prima che il registro si arresti, credo che ne vedresti le prove sulla maggior parte dei router SOHO di fascia consumer che ho usato se la registrazione era abilitata. Sono stato in grado di rilevare tentativi di intrusione (e DoS) sui router da DLink, Linksys e Netgear analizzando i loro registri relativamente vicino all'evento.
Inoltre, se si desidera proteggere una distribuzione, l'esecuzione di dd-wrt offre un meccanismo di registrazione significativamente più robusto tramite syslogd che supporta i registri che vengono offload per fornire un record permanente ed evitare il problema di rollover.
Tuttavia, come ritengo sia stato sottolineato sopra, il logging è spesso disattivato per impostazione predefinita su questi dispositivi e, di conseguenza, non riesco a vedere di poterne ricavare molto in quel caso.
Per chiarire, penso che tu stia chiedendo dei router a banda larga domestici di fascia consumer con wireless integrato (802.11a / b / g / n), giusto?
Out of the box, avrai un momento molto difficile provare qualsiasi tipo di intrusione usando questi dispositivi. Oltre al fatto non c'è nulla che autentica i tuoi utenti validi. Come distinguere tra utenti legali e illegali?
Per manomissioni, è necessario disporre di un'istantanea del dispositivo e della configurazione durante l'installazione per confrontarla con essa dopo che è stata manomessa.
Leggi altre domande sui tag legal forensics investigation