Microsoft pomaga walczyć z malware. Narzędzie, które zostało zaprezentowane na szkoleniu z zakresu wykrywania przestępczości komputerowej (dla FBI, Interpolu i innych podobnych agencji) pozwala na wykonanie 150 poleceń na działającym systemie, który ma zostać skonfiskowany do analizy. Jest to już druga tego typu konferencja, pierwsza została zorganizowana w roku 2006, więc stosunkowo dawno temu.
COFEE (ang. Computer Online Forensic Evidence Extractor), czyli Komputerowy Ekstraktor Dowodów Online, pozwala na zdobycie dowodów, które w przypadku wyłączenia komputera z prądu lub wypięcia z sieci zostałyby bezpowrotnie utracone. Wg kanadyjskiego oddziału policji ds przestępstw komputerowych brak tego narzędzia nie pozwoliłby przeprowadzić likwidacji pewnego botnetu. Można o tym przeczytać także w innym wpisie na naszym blogu.
Natychmiast pojawiły się spekulacje, że COFEE pozwala na nieautoryzowane ominięcie Bit Defendera w Windows Vista tudzież dostęp do zaszytego w Viście backdoora, jednak zostały oficjalnie zdementowane.
Co ciekawe, Microsoft przyznaje, że COFEE nie jest nową zabawką, a jedynie kompilacją dostępnych na rynku narzędzi.
Krótki rzut oka do Internetu pozwala znaleźć następujące aplikacje:
- Forensic Acquisition Utilities
- Windows Forensic Toolkit
- Windows Memory Forensics Toolkit
- The Forensic Toolkit (Windows NT 4.0 SP3)
Oczywiście Microsoft nigdy się nie przyzna oficjalnie co wykorzystał, więc tutaj można tylko spekulować.
Jak to działa? Zapewne ze względu na braki techniczne ekip dochodzeniowych, narzędzie obsługuje się banalnie prosto. Do włączonego komputera wystarczy wpiąć pendrive USB z zainstalowaną aplikacją, a reszta zrobi się sama. Potem należy go tylko dobrze opisać i dostarczyć biegłemu, który po odpowiednim przeszkoleniu (zapewne tylko przez Microsoft za duże pieniądze), będzie potrafił właściwie zinterpretować wyniki. Proste i zapewne efektywne.
Truchlejcie botodzierżcy! Oto nadchodzi wasz kres… :->