Maandag werd bekend dat Microsoft de forensische toolkit COFEE op het web had gemorst, maar volgens de softwaregigant gaat het om een gemanipuleerde versie die gebruikers beter niet kunnen downloaden. De Computer Online Forensic Evidence Extractor (COFEE) wordt via Interpol en NW3C aan opsporingsdiensten beschikbaar gemaakt. De software laat agenten met beperkte kennis van IT forensics, toch gegevens op een juiste manier veiligstellen. Microsoft's Richard Boscovich laat weten dat het om een ongeautoriseerde en aangepaste versie van COFEE gaat, die op BitTorrent-netwerken wordt verspreid.

"We raden het downloaden van elke technologie die zich als COFEE voordoet buiten de geautoriseerde kanalen ten zeerste af." Volgens Boscovich kan de "ongeautoriseerde technologie" niet zijn wat het beweert dat het is. Daarnaast heeft Microsoft alleen opsporingsdiensten het recht gegeven om de technologie te gebruiken. COFEE kan en doet ook niets dat al met gangbare forensische oplossingen mogelijk is. De software draait vanaf een USB-stick en beschikt over meer dan 150 commando's die een onderzoeker kan uitvoeren om informatie te bewaren, die anders verloren gaat als men de computer uitschakelt.

Omzeilen
Microsoft maakt zich geen zorgen dat de beschikbaarheid van COFEE ervoor zal zorgen dat cybercriminelen manieren vinden om de tool te omzeilen. "De waarde van COFEE voor opsporingsdiensten is niet in geheime functionaliteit waar cybercriminelen geen weet van hebben, de waarde ligt in de manier waarop COFEE die tools bij elkaar brengt, in een eenvoudig en aan te passen formaat dat agenten in het veld kunnen gebruiken." Boscovich merkt op dat Microsoft de verspreiding van de tool gaat aanpakken en raadt mensen af om de ongeautoriseerde versies te downloaden.

"Om duidelijk te zijn. Het is niet 'alleen' illegaal, maar ook aangepast. Zou je dat echt willen installeren?" besluit Microsoft beveiligingschef Roger Halbheer. Op verschillende Torrentsites is te zien dat al zeker zo'n duizend mensen de tool hebben gedownload.