Разбира се в този случай става въпрос за Microsoft Computer Online Forensic Evidence Extractor (COFEE) инструмента, който бе разработен по молба на няколко от трибуквените агенции в САЩ. COFEE се предоставя безплатно на полицейските служби в цял свят ( чрез Интерпол ) и служи за извличане на информация от компютрите, анализирани като веществени доказателства ( computer forensics ). Според публикуваните прес-релийзи използването му изисква минимални компютърни познания, което е добра новина за повечето полицейски експерти – с негова помощ може да се прехване още при първоначалният оглед информация, която би се загубила при евентуално изключване на компютъра и пренасянето му за изследване в лаборатория ( нали сте гледали CSI ? E, няма нищо общо ). В общи линии, единственото, което се иска е, да се включи USB флаш памет към компютъра и оттам нататък автоматично се стартират предварително настроени тестове и скриптове за колекциониране на данни.
Разработен през 2008-ма, с помоща на бивш Хонг-Конгски полицай, дълго време въпросния инструмент или по-скоро набор инструменти имаше широка слава в хакерските общества, основно поради факта, че беше недостъпен за широката публика и съответно не беше преминал през анализа, на който обикновенно се подлагат инструментите за информационна сигурност или анализ на доказателства.
В последствие през ноември 2009-та най-накрая COFEE изтече в публичното пространство и както обикновенно – резултатите са разочароващи – повечето прилежащи инструменти са инсталирани в Windows още от времето на Win 2000. В последствие Microsoft леко промениха начина, по който описват COFEE – вече е инструмент за ускоряване работата на експертите, който позволява анализа да се извърши за 20 минути, а не за обичайните 3-4 часа. Всъщност представлява обвивка, стартираща стандартните at, autorunsc, getmac, handle, hostname, ipconfig,
msinfo32, nbstat, net, netdom, netstat, openfiles, psfile, pslist,
psloggedon, psservice, pstat, psuptime, quser, route, sc, sclist,
showgrps, systeminfo, tasklist, whoami.
В следствие на теча се появи инструмента DECAF или Detect and Eliminate Computer Assisted Forensics, който цели именно блокиране на работата на COFEE. За отбелязване е, че този инструмент само възпрепятства точно изпълнението на MS продукта ( триене на лога на COFEE, размонтиране на USB устройствата и генериране на фалшиви MAC адреси ), без да унищожава или да влияе по някакъв начин на същинските данни – те са безпрепятствено достъпни, ако използвате друг похват за анализ. В последствие групата, разработила DECAF се опита да го използва за повече или по-малко политически цели. DECAF беше деактивиран отдалечено, като в последствие групата SОLDIERX успя да разработи пач за реактивация.
Както COFEE, така и DECAF са достъпни от thepiratebay.org, като специално за първият ще ви трябва компютър с Windows XP за първоначална инсталация и стандартна флаш памет, с размер поне 1 Gb.
Алтернативи на COFEE, и то доста мощни могат да са специализираната за forensic дистрибуция Helix или Windows Forensic Toolchest. Всъщност дори и любимият ми Backtrack има вграден инструментариум за поне 90% от функционалността на COFEE. Разбира се ,всички тези инструменти изискват рестарт на системата, но в общия случай, ако системата има FireWire порт, то той може да се използва за пълен дъмп на паметта ( това не е бъг, фийчър е ).
August 23rd, 2010 от singu
