Microsoft poluje na pirackie pliki w Twoim komputerze
Najpierw zbiór narzędzi COFEE, który Microsoft opracował jedynie dla różnych organów ścigania w celu zabezpieczania dowodów na komputerach, pojawił się na jednej ze stron służących do współdzielenia plików. Niedługo potem kopie programu można było znaleźć w sieciach BitTorrent.
13.11.2009 14:06
Pakiet programów Computer Online Forensic Evidence Extractor (COFEE) został stworzony z myślą o komputerowych laikach, którzy muszą podłączyć pamięć USB do komputera poddawanego przeszukaniu, aby w ten sposób uzyskać pełny raport o jego zawartości. Jeśli jednak ktoś spodziewa się cudów, może być rozczarowany. Wersja, w posiadaniu której znalazła się redakcja heise Security, nie zaskoczy niczym szczególnym komputerowych profesjonalistów.
COFEE uruchamia się za pomocą mechanizmu Autorun już w momencie podłączenia pamięci USB i wykonuje przy tym skrypt wiersza poleceń. Narzędzia takie jak whoami, autoruns i tym podobne tworzą przy tym raport z podstawowymi informacjami, które następnie są przetwarzane z myślą o estetycznym wyświetlaniu w przeglądarce. W badanym przez nas zbiorze nie ma wyrafinowanych narzędzi, które pozwalałyby np. odtwarzać skasowane pliki albo wydobywać informacje ukryte w inny sposób. W gruncie rzeczy zasadnicza wartość dodana zawiera się w prostej obsłudze i skoncentrowaniu na uzyskiwaniu dowodów, które mogą być znaczące dla sądu.
Już sama instrukcja towarzysząca temu pakietowi co nieco mówi o technicznym zaawansowaniu pakietu. Oficjalnie jest ona datowana na wrzesień 2009. ale jedyny system operacyjnym, który można przeszukiwać za jego pomocą, to Windows XP – nigdzie nie wspomina się słowem ani o Viście ani o Windows 7. Struktura katalogów narzędzi wyspecjalizowanych pod kątem wersji również zawiera jedynie katalogi win2k, win2k03 i winxp.
Jeśli ktoś przypadkiem natknie się na kopię COFEE, powinien traktować ją z największą ostrożnością. Nie tylko z tego powodu, że jest to program chroniony prawem autorskim, ale również dlatego, że nie można mieć pewności, czy za jego pomocą nie są przemycane backdoory czy oprogramowanie szpiegujące (spyware).
wydanie internetowe www.heise-online.pl