Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
«КОФЕ» перенаправляется сюда. Для напитка см. Кофе .

Computer Online Forensic Evidence Extractor ( COFEE ) - это набор инструментов, разработанный Microsoft , чтобы помочь компьютерным судебным следователям извлекать улики с компьютера Windows . Установленный на USB-накопитель или другой внешний диск , он действует как автоматизированный инструмент судебной экспертизы во время анализа в реальном времени . Microsoft бесплатно предоставляет правоохранительным органам устройства COFEE и онлайн-техническую поддержку.

Разработка и распространение [ править ]

COFEE был разработан Энтони Фангом, бывшим офицером полиции Гонконга, который сейчас работает старшим следователем в группе по обеспечению безопасности в Интернете Microsoft. [1] Фунг задумал устройство после обсуждений, которые он провел на конференции правоохранительных органов в 2006 году, спонсируемой Microsoft. [2] Устройство используют более 2000 офицеров как минимум в 15 странах. [3]

В деле, приведенном Microsoft в апреле 2008 года, COFEE считается решающим в новозеландском расследовании торговли детской порнографией и дает доказательства, которые привели к аресту. [1]

В апреле 2009 года Microsoft и Интерпол подписали соглашение, согласно которому Интерпол будет выступать в качестве основного международного дистрибьютора COFEE. Центр расследований киберпреступлений Университетского колледжа Дублина совместно с Интерполом разрабатывает программы обучения судебно-медицинских экспертов использованию COFEE. [4] Национальный Белый воротничок преступности центр имеет лицензию Microsoft , чтобы быть единственным в США отечественный дистрибьютор КОФЕ. [5]

Публичная утечка [ править ]

6 ноября 2009 г. копии Microsoft COFEE просочились на различные торрент-сайты. [6] Анализ просочившегося инструмента показывает, что это в основном оболочка для других утилит, ранее доступных исследователям. [7] Microsoft подтвердила утечку; однако представитель компании заявил: «Мы не ожидаем, что доступность COFEE для загрузки киберпреступниками станет серьезной проблемой». [8]

Используйте [ редактировать ]

Устройство активируется при подключении к USB- порту. Он содержит 150 инструментов и графический пользовательский интерфейс, которые помогают следователям собирать данные. [1] Сообщается, что программное обеспечение состоит из трех разделов. Первый COFEE настраивается заранее, исследователь выбирает данные, которые он хочет экспортировать, затем они сохраняются на USB-устройстве для подключения к целевому компьютеру. Дополнительный интерфейс генерирует отчеты на основе собранных данных. [7] По оценкам Microsoft, задания, которые раньше занимали 3-4 часа, могут быть выполнены с помощью COFEE всего за 20 минут. [1] [9]

COFEE включает в себя инструменты для расшифровки паролей , восстановления истории Интернета и извлечения других данных. [2] Он также восстанавливает данные, хранящиеся в энергозависимой памяти, которые могут быть потеряны, если компьютер был выключен. [10]

DECAF [ править ]

В середине-конце 2009 года группа программистов анонсировала инструмент под названием Detect and Eliminate Computer Acquired Forensics (DECAF). Сообщается, что этот инструмент защитит компьютеры от COFEE и сделает его неэффективным. [11] Он утверждал, что он обеспечит мониторинг подписей COFEE на USB- устройствах и в запущенных приложениях в реальном времени и что при обнаружении подписи COFEE DECAF будет выполнять множество определяемых пользователем процессов. К ним относятся очистка журнала COFEE, извлечение USB-устройств и заражение или подделка MAC-адресов . [12] 18 декабря 2009 года создатели DECAF объявили, что инструмент был обманом и частью «трюка, призванного повысить осведомленность о безопасности и необходимости в более совершенных инструментах судебной экспертизы».[13] [14] [15] [16]

См. Также [ править ]

  • Kali Linux
  • нубунту
  • Windows To Go , загрузочный USB-накопитель с Windows, на котором можно запускать утилиты для восстановления / сбора данных.

Ссылки [ править ]

  1. ^ a b c d "Брэд Смит: Конференция по правоохранительным технологиям 2008" . Корпорация Microsoft . 2008-04-28. Архивировано из оригинала на 2012-02-23 . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
  2. ^ a b Романо, Бенджамин Дж. (2008-04-29). «Устройство Microsoft помогает полиции собирать улики из киберсцены преступления» . Сиэтл Таймс . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
  3. ^ «Microsoft призывает глобальное государственно-частное партнерство для помощи в борьбе с киберпреступностью (вопросы и ответы с Тимом Крэнтоном, заместителем главного юрисконсульта Microsoft)» . Корпорация Microsoft . 2008-04-28 . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
  4. ^ «Инициатива Интерпола с Microsoft направлена ​​на повышение глобальных стандартов борьбы с киберпреступностью посредством стратегического партнерства с сектором информационных технологий» . ИНТЕРПОЛ . Архивировано из оригинала на 2009-07-15 . Проверено 16 июля 2009 . CS1 maint: discouraged parameter (link)
  5. ^ http://www.microsoft.com/industry/government/solutions/cofee/default.aspx
  6. ^ "Инструмент правоохранительных органов Microsoft COFEE просачивается по всему Интернету" . TechCrunch . Проверено 7 ноября 2009 . CS1 maint: discouraged parameter (link)
  7. ^ a b «Больше КОФЕ, пожалуйста, вдумайтесь» . Проверено 9 ноября 2009 . CS1 maint: discouraged parameter (link)
  8. ^ Пуллин, Александра. «Microsoft не беспокоится об утечке COFEE» . Спрашивающий . Проверено 24 августа 2010 года . CS1 maint: discouraged parameter (link)
  9. ^ Валич, Тео (2007-05-07). «Новый продукт Microsoft идет против преступности: Встречайте (Hot) COFEE» . Tigervision Media. Архивировано из оригинала на 2008-05-17 . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
  10. ^ Миллс, Элинор (2008-04-29). «У Microsoft есть собственная полицейская академия» . CNet News.com . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
  11. ^ Майкл, Бартолаччи (2012). Достижения и инновации в беспроводной связи и сетевых технологиях . IGI Global. п. 226. ISBN. 978-1466621541. Проверено 26 июня 2015 года . CS1 maint: discouraged parameter (link)
  12. ^ Goodin, Dan (14 декабря 2009). «Хакеры объявляют войну международному инструменту криминалистики» . Реестр . Проверено 15 декабря 2009 года . CS1 maint: discouraged parameter (link)
  13. ^ Итон, Ник. «Анти-КОФЕ-инструмент DECAF объявлен трюком» . Сиэтл, PI . Проверено 26 июня 2015 года . CS1 maint: discouraged parameter (link)
  14. ^ «DECAF был просто трюком, теперь он закончился» . Slashdot . Проверено 26 июня 2015 года . CS1 maint: discouraged parameter (link)
  15. ^ "Анти-криминалистический инструмент DECAF geen hoax" . Security.nl . Проверено 26 июня 2015 года . CS1 maint: discouraged parameter (link)
  16. ^ Zetter, Ким (14 декабря 2009). «Хакеры готовят код самоуничтожения для противодействия полицейской криминалистике» . Wired.com . Проверено 15 декабря 2009 года . CS1 maint: discouraged parameter (link)

Внешние ссылки [ править ]

  • Официальный веб-сайт
  • «Microsoft Computer Online Forensic Evidence Extractor (COFEE)» . Корпорация Microsoft . Архивировано из оригинала на 2012-06-21 . Проверено 17 октября 2009 . CS1 maint: discouraged parameter (link)
  • «Обычный или без кофеина? Инструмент для борьбы с КОФЕ» . Преторианский префект . Архивировано из оригинала на 2009-12-18 . Проверено 18 декабря 2009 . CS1 maint: discouraged parameter (link)
  • «Реактивация DECAF за две минуты» . Преторианский префект . Архивировано из оригинального 23 февраля 2014 года . Проверено 18 декабря 2009 . CS1 maint: discouraged parameter (link)