Computer Online Forensic Evidence Extractor ( COFEE ) - это набор инструментов, разработанный Microsoft , чтобы помочь компьютерным судебным следователям извлекать улики с компьютера Windows . Установленный на USB-накопитель или другой внешний диск , он действует как автоматизированный инструмент судебной экспертизы во время анализа в реальном времени . Microsoft бесплатно предоставляет правоохранительным органам устройства COFEE и онлайн-техническую поддержку.
Разработка и распространение [ править ]
COFEE был разработан Энтони Фангом, бывшим офицером полиции Гонконга, который сейчас работает старшим следователем в группе по обеспечению безопасности в Интернете Microsoft. [1] Фунг задумал устройство после обсуждений, которые он провел на конференции правоохранительных органов в 2006 году, спонсируемой Microsoft. [2] Устройство используют более 2000 офицеров как минимум в 15 странах. [3]
В деле, приведенном Microsoft в апреле 2008 года, COFEE считается решающим в новозеландском расследовании торговли детской порнографией и дает доказательства, которые привели к аресту. [1]
В апреле 2009 года Microsoft и Интерпол подписали соглашение, согласно которому Интерпол будет выступать в качестве основного международного дистрибьютора COFEE. Центр расследований киберпреступлений Университетского колледжа Дублина совместно с Интерполом разрабатывает программы обучения судебно-медицинских экспертов использованию COFEE. [4] Национальный Белый воротничок преступности центр имеет лицензию Microsoft , чтобы быть единственным в США отечественный дистрибьютор КОФЕ. [5]
Публичная утечка [ править ]
6 ноября 2009 г. копии Microsoft COFEE просочились на различные торрент-сайты. [6] Анализ просочившегося инструмента показывает, что это в основном оболочка для других утилит, ранее доступных исследователям. [7] Microsoft подтвердила утечку; однако представитель компании заявил: «Мы не ожидаем, что доступность COFEE для загрузки киберпреступниками станет серьезной проблемой». [8]
Используйте [ редактировать ]
Устройство активируется при подключении к USB- порту. Он содержит 150 инструментов и графический пользовательский интерфейс, которые помогают следователям собирать данные. [1] Сообщается, что программное обеспечение состоит из трех разделов. Первый COFEE настраивается заранее, исследователь выбирает данные, которые он хочет экспортировать, затем они сохраняются на USB-устройстве для подключения к целевому компьютеру. Дополнительный интерфейс генерирует отчеты на основе собранных данных. [7] По оценкам Microsoft, задания, которые раньше занимали 3-4 часа, могут быть выполнены с помощью COFEE всего за 20 минут. [1] [9]
COFEE включает в себя инструменты для расшифровки паролей , восстановления истории Интернета и извлечения других данных. [2] Он также восстанавливает данные, хранящиеся в энергозависимой памяти, которые могут быть потеряны, если компьютер был выключен. [10]
DECAF [ править ]
В середине-конце 2009 года группа программистов анонсировала инструмент под названием Detect and Eliminate Computer Acquired Forensics (DECAF). Сообщается, что этот инструмент защитит компьютеры от COFEE и сделает его неэффективным. [11] Он утверждал, что он обеспечит мониторинг подписей COFEE на USB- устройствах и в запущенных приложениях в реальном времени и что при обнаружении подписи COFEE DECAF будет выполнять множество определяемых пользователем процессов. К ним относятся очистка журнала COFEE, извлечение USB-устройств и заражение или подделка MAC-адресов . [12] 18 декабря 2009 года создатели DECAF объявили, что инструмент был обманом и частью «трюка, призванного повысить осведомленность о безопасности и необходимости в более совершенных инструментах судебной экспертизы».[13] [14] [15] [16]
См. Также [ править ]
- Kali Linux
- нубунту
- Windows To Go , загрузочный USB-накопитель с Windows, на котором можно запускать утилиты для восстановления / сбора данных.
Ссылки [ править ]
- ^ a b c d "Брэд Смит: Конференция по правоохранительным технологиям 2008" . Корпорация Microsoft . 2008-04-28. Архивировано из оригинала на 2012-02-23 . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
- ^ a b Романо, Бенджамин Дж. (2008-04-29). «Устройство Microsoft помогает полиции собирать улики из киберсцены преступления» . Сиэтл Таймс . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
- ^ «Microsoft призывает глобальное государственно-частное партнерство для помощи в борьбе с киберпреступностью (вопросы и ответы с Тимом Крэнтоном, заместителем главного юрисконсульта Microsoft)» . Корпорация Microsoft . 2008-04-28 . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
- ^ «Инициатива Интерпола с Microsoft направлена на повышение глобальных стандартов борьбы с киберпреступностью посредством стратегического партнерства с сектором информационных технологий» . ИНТЕРПОЛ . Архивировано из оригинала на 2009-07-15 . Проверено 16 июля 2009 . CS1 maint: discouraged parameter (link)
- ^ http://www.microsoft.com/industry/government/solutions/cofee/default.aspx
- ^ "Инструмент правоохранительных органов Microsoft COFEE просачивается по всему Интернету" . TechCrunch . Проверено 7 ноября 2009 . CS1 maint: discouraged parameter (link)
- ^ a b «Больше КОФЕ, пожалуйста, вдумайтесь» . Проверено 9 ноября 2009 . CS1 maint: discouraged parameter (link)
- ^ Пуллин, Александра. «Microsoft не беспокоится об утечке COFEE» . Спрашивающий . Проверено 24 августа 2010 года . CS1 maint: discouraged parameter (link)
- ^ Валич, Тео (2007-05-07). «Новый продукт Microsoft идет против преступности: Встречайте (Hot) COFEE» . Tigervision Media. Архивировано из оригинала на 2008-05-17 . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
- ^ Миллс, Элинор (2008-04-29). «У Microsoft есть собственная полицейская академия» . CNet News.com . Проверено 19 мая 2008 . CS1 maint: discouraged parameter (link)
- ^ Майкл, Бартолаччи (2012). Достижения и инновации в беспроводной связи и сетевых технологиях . IGI Global. п. 226. ISBN. 978-1466621541. Проверено 26 июня 2015 года . CS1 maint: discouraged parameter (link)
- ^ Goodin, Dan (14 декабря 2009). «Хакеры объявляют войну международному инструменту криминалистики» . Реестр . Проверено 15 декабря 2009 года . CS1 maint: discouraged parameter (link)
- ^ Итон, Ник. «Анти-КОФЕ-инструмент DECAF объявлен трюком» . Сиэтл, PI . Проверено 26 июня 2015 года . CS1 maint: discouraged parameter (link)
- ^ «DECAF был просто трюком, теперь он закончился» . Slashdot . Проверено 26 июня 2015 года . CS1 maint: discouraged parameter (link)
- ^ "Анти-криминалистический инструмент DECAF geen hoax" . Security.nl . Проверено 26 июня 2015 года . CS1 maint: discouraged parameter (link)
- ^ Zetter, Ким (14 декабря 2009). «Хакеры готовят код самоуничтожения для противодействия полицейской криминалистике» . Wired.com . Проверено 15 декабря 2009 года . CS1 maint: discouraged parameter (link)
Внешние ссылки [ править ]
- Официальный веб-сайт
- «Microsoft Computer Online Forensic Evidence Extractor (COFEE)» . Корпорация Microsoft . Архивировано из оригинала на 2012-06-21 . Проверено 17 октября 2009 . CS1 maint: discouraged parameter (link)
- «Обычный или без кофеина? Инструмент для борьбы с КОФЕ» . Преторианский префект . Архивировано из оригинала на 2009-12-18 . Проверено 18 декабря 2009 . CS1 maint: discouraged parameter (link)
- «Реактивация DECAF за две минуты» . Преторианский префект . Архивировано из оригинального 23 февраля 2014 года . Проверено 18 декабря 2009 . CS1 maint: discouraged parameter (link)