A COFEE (Computer Online Forensic Evidence Extractor), ferramenta forense prevista somente para agentes da lei, criada pela Microsoft, foi vazada em torrents na semana passada, e isso causou um pouco de emoção. O software é composto por três componentes ou fases, apresentados abaixo: 

Primeira fase

Fase de preparação e escopo em que a ferramenta serve, para o
examinador forense mais esclarecido, para a configuração de um perfil
exportações para um disco USB. Este
é um simples processo de tomada de decisão de quais as ferramentas e quais
parâmetros devem ser configurados para serem executados a partir da
unidade USB. 

Segunda fase

É a de aquisição de dados, que serve para técnicos que chegam ao local para recolher provas. Eles usam o disco USB configurado
na fase de preparação e o escopo que funciona através de um conjunto de
ferramentas comuns para coletar dados voláteis, como a execução de
processos etc., e salva a saída de cada comando. 

Terceira fase

Geração do relatório. Mais uma vez foi desenvolvida para o
técnico mais entendido no assunto, pois demanda termos e especificações mais aprofundados. Ele usa o mesmo console GUI como a fase de preparação e escopo, mas, desta vez, para ler os relatórios que são gerados a partir do resultado das ferramentas de correr a partir do disco USB. 

Há na internet alguns artigos de sites de notícias, blogs e comentários relacionados com a questão do software ter vazado e não vejo como os hackers agora teriam mais munição, vendo como COFEE, pois vejo como uma ferramenta de aplicativos compilados. No entanto, COFEE não é muito especial.

Além de ser fornecido pela Microsoft, ele realmente não faz muito mais do que as outras ferramentas forenses lá fora. Por exemplo, IRCR (Incident Response Collection Report) por John McLeod, o Windows Forensics Toolchest por Monty McDougal, FSP Harlan Carvey’s (Forensic Server Project), pois todos operam sob a mesma base de fornecer uma estrutura forense que permite configurar uma lista de comandos utilizados
para coletar dados voláteis e salvar a saída para o uso em alguns
relatórios, ou em um formato que pode ser carregado em um banco de dados
para análise. 

A
Microsoft fornece uma interface gráfica para a seleção de ferramentas
(ver figura), enquanto a maioria dos toolkits usam um arquivo de
configuração ou arquivo em lotes para modificar a seleção de
ferramentas e parâmetros. Parece mesmo a configuração do disco USB vem com uma interface fácil de usar. Além das ferramentas pré-configuradas, você pode adicionar ferramentas a partir de sua própria coleção. 

Uma característica que foi encontrada e parece ser útil no COFEE é a geração aleatória de nome da ferramenta. Enquanto a maioria dos toolkits, lá fora, vai utilizar as ferramentas de uma boa fonte (como o CD Helix), a Microsoft dá um passo adiante em renomear
as ferramentas para nomes aleatórios gerados.

O formato de saída é em XML e, quando carregado no GUI, dá uma visão da informação como visto na figura à esquerda. Como
mencionado, esta não é uma tecnologia forense inovadora, já que muitos toolkits
têm uma boa saída de dados por enquadrar em HTML.

Mais do mesmo em termos de ferramentas forenses, COFEE mantém hashes das ferramentas em um arquivo de checksum e também tem vários diretórios de ferramentas específicas de SO (WinXP, \ win2k03, etc.). Segundo
a documentação, não é compatível com Vista e Windows 7, mas,
aparentemente, uma nova versão está prevista para esses sistemas
operacionais.

Fiquem com Deus e até o próximo artigo.

*

artigo original: http://praetorianprefect.com/archives/2009/11/more-cofee-please-on-second-thought/