image

Microsoft: illegale COFEE geen zuivere koffie

woensdag 11 november 2009, 14:05 door Redactie, 8 reacties

Maandag werd bekend dat Microsoft de forensische toolkit COFEE op het web had gemorst, maar volgens de softwaregigant gaat het om een gemanipuleerde versie die gebruikers beter niet kunnen downloaden. De Computer Online Forensic Evidence Extractor (COFEE) wordt via Interpol en NW3C aan opsporingsdiensten beschikbaar gemaakt. De software laat agenten met beperkte kennis van IT forensics, toch gegevens op een juiste manier veiligstellen. Microsoft's Richard Boscovich laat weten dat het om een ongeautoriseerde en aangepaste versie van COFEE gaat, die op BitTorrent-netwerken wordt verspreid.

"We raden het downloaden van elke technologie die zich als COFEE voordoet buiten de geautoriseerde kanalen ten zeerste af." Volgens Boscovich kan de "ongeautoriseerde technologie" niet zijn wat het beweert dat het is. Daarnaast heeft Microsoft alleen opsporingsdiensten het recht gegeven om de technologie te gebruiken. COFEE kan en doet ook niets dat al met gangbare forensische oplossingen mogelijk is. De software draait vanaf een USB-stick en beschikt over meer dan 150 commando's die een onderzoeker kan uitvoeren om informatie te bewaren, die anders verloren gaat als men de computer uitschakelt.

Omzeilen
Microsoft maakt zich geen zorgen dat de beschikbaarheid van COFEE ervoor zal zorgen dat cybercriminelen manieren vinden om de tool te omzeilen. "De waarde van COFEE voor opsporingsdiensten is niet in geheime functionaliteit waar cybercriminelen geen weet van hebben, de waarde ligt in de manier waarop COFEE die tools bij elkaar brengt, in een eenvoudig en aan te passen formaat dat agenten in het veld kunnen gebruiken." Boscovich merkt op dat Microsoft de verspreiding van de tool gaat aanpakken en raadt mensen af om de ongeautoriseerde versies te downloaden.

"Om duidelijk te zijn. Het is niet 'alleen' illegaal, maar ook aangepast. Zou je dat echt willen installeren?" besluit Microsoft beveiligingschef Roger Halbheer. Op verschillende Torrentsites is te zien dat al zeker zo'n duizend mensen de tool hebben gedownload.

Reacties (8)
11-11-2009, 14:33 door Eerde
Hahaha :D
11-11-2009, 14:58 door Anoniem
Nah, ik heb twee versies ter bestudering gebittorent, & de Md5 is van beide .msi's 8f090dd03dcae915d1f51c4e89f70919.
Ok, dit zijn de resp. READ ME FIRST!.txt & de Please READ ME.txt:

THIS IS A WHAT.CD EXCLUSIVE RELEASE! IF CAUGHT UPLOADING THIS ANYWHERE ELSE, YOU WILL BE DISABLED!!

Microsoft COFEE v1.1.2 (Computer Online Forensics Evidence Extractor)

Release Date...........Sept 2009
Author..........www.nw3c.org
Released By..........DrWeird of Etiv.in


Much love to all my Pirates

//DrWeird
This torrent is a COPY of the original


COFEE INSTALLED
A working version of COFEE, please copy what is inside the folder to your Flashdrive or whatever.


COFEE ORIGINAL TORRENT
This is the original torrent.... The installer has a issue.... everything is UNALTERED in this forlder.
Beide versies verkregen via de link in voorgaand security.nl artikel: http://www.security.nl/artikel/31396/1/Microsoft_morst_COFEE.html
11-11-2009, 15:25 door Eerde
Snap er *nix van :(
11-11-2009, 15:27 door Anoniem
een hopeloze poging om verspreiding te stoppen door te zeggen dat ermee geknoeid is?
11-11-2009, 16:13 door fd0
FUD... standaard M$ techniek
11-11-2009, 17:28 door Anoniem
Ik heb 3 versies van Cofee gedownload via isohunt en bittorrent. Een versie lijkt op het eerste gezicht in orde te zijn. Bij twee andere versies had ik wel problemen; bij de een geeft de .exe een foutmelding, en bij de ander gaf mijn virusscanner aan dat het bestand een trojan bevat. Wat dat betreft heeft Microsoft wel in enige mate gelijk.
11-11-2009, 19:25 door Anoniem
@ano 1728,

Of de scanner herkende het GEDRAG dat normaliter door een trojan gebruikt wordt. De technieken zijn op zich best overeenstemmend. Er wordt een index gemaakt van wat er op een schijf (of andere datadrager) staat en dit wordt veilig gesteld. Trojans en virussen doen dit vaak ook om een overzicht te krijgen welke gaten er gebruikt kunnen worden om een systeem over te nemen.

Op zich kan dit een bewuste lekkage zijn, op deze manier wordt het MS en anderen misschien wel heel gemakkelijk gemaakt om wereldwijde verspreiding van onzuivere software te indexeren..... Ben benieuwd of de software ook contact zoekt met internet????

Het Orakel
12-11-2009, 10:35 door Anoniem
"Ben benieuwd of de software ook contact zoekt met internet????"

Dat vroeg ik mij ook al af... Heeft er hier iemand zin om met een sniffer te kijken wat er gebeurt ? ;-))
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.