Forensic Investigations / Fi Blog / Microsofts Forensik-Tool "COFEE" in Tauschbörse aufgetaucht - Doch nur kalter Kaffee


Microsofts Forensik-Tool "COFEE" in Tauschbörse aufgetaucht - Doch nur kalter Kaffee

"Ermittler-Software entschlüpft - MicrosoftsSchnüffel-Stick für jedermann" schreibt Spiegel Online heute. Die Software namens Computer Online Forensic Evidence Extractor (COFEE) wurde von Spezialisten des US-Softwaregiganten Microsoft entwickelt, um Ermittlern die Arbeit zu erleichtern und war jetzt in einer Tauschbörse aufgetaucht.

Installiert man COFEE auf einem USB-Stick und steckt diesen in einen Rechner mit dem Betriebssystem der Redmonder, sammelt eine Reihe von Programmen Online-Systeminformationen wie Prozessortyp, Arbeitsspeicher, Betriebssystem, Netzwerkeinstellungen, aktuell am System angemeldete Benutzer und laufende Prozesse. Zweck des ganzen ist es, Daten einzusammeln, die bei Beschlagnahmen durch Abschaltung des Systems evtl. verloren gehen würden, die sog. Online-Forensik.

Spiegel Online wirft die Frage auf, ob man nun Angst haben müsse vor dem USB-Stick des Reinigungspersonals ("Evil Maid Szenario"). Dies stellt durchaus nichts besonderes dar, da eine Reihe solcher Programme existieren, häufig mit größerem Funktionsumfang. Zudem sind die hier ausgelesenen Angaben größtenteils mit den Bordmitteln eines Windows-Betriebssystems per simplem Batch-File zu bekommen, und so funktioniert COFEE auch tatsächlich. Einziger Unterschied bei COFEE ist, dass es diese Tools auf USB-Stick mitbringt, um evtl. kompromitierte Programmversionen auf dem untersuchten System selbst zu umgehen und zusätzlich entsprechende Checksummen schreibt, um die Integrität der Daten zu belegen. Diese Vorgehensweise ist bei forensischen Untersuchungen Standard.

Zu Recht erklärt Microsoft-Sprecher Baumgärtner deshalb auch, das durch Entschlüpfen von COFEE "keine zusätzliche Bedrohung" entstünde und "spezialisierte Hacker auch sonst Zugriff auf diese Tools (und noch auf vieles mehr, Anm. d. Verf.)" hätten.

Nach dem etwas reißerischen Titel folgt am Schluß die Entwarnung: COFEE umgeht keine Sicherheitsmechanismen des Betriebssystems, es zieht noch nicht einmal alle verfügbaren Informationen ab. Bei ähnlichen Untersuchungen können wir bei Fi weit mehr tun als COFEE: komplettes Abziehen des RAM-Speichers eines Rechners ist möglich, in vielen Fällen auch ohne Zugriff auf Passwörter. Aus dem RAM-Speicher können nicht nur die o.g. Informationen extrahiert werden, sondern u.U. auch Passwörter, Verschlüsselungs-Zertifikate und versteckte Daten wiederhergestellt werden. Also doch mal wieder alles nur kalter Kaffee...

UPDATE 24.11.2009: Für kalten Kaffee wird dennoch hart gekämpft, obwohl die weltweite Verbreitung des Tools wohl kaum mehr aufzuhalten ist, bedroht der Redmonder Riese die Seite Cryptome.org , die das Tool zum Download angeboten hatte, und beantragt die Löschung von deren Domain.

UPDATE 14.12.2009: Ein Anti-Forensic Tool names DECAF (Detect and Eliminate Computer Assisted Forensics) soll COFEE kampfunfähig machen. Wie TheRegister berichtet, wollten die Autoren die Sicherheitswelt aufrütteln, sich nicht alleine auf Microsoft zu verlassen, wenn Sie digitale Beweismittel sammelten. Ein 'One-Click-Tool' könne Experten nicht ersetzen. In der Tat kann die Online-Forensik sehr problematisch sein, da Schadsoftware wie Rootkits Programmen -inklusive Forensik-Tools- alles mögliche vorgaukeln können, und von einem kompromitierten System gesammelte Informationen bei dieser Akquise-Methode nicht verläßlich sind. Dies ist auch nicht der erste Versuch, forensische Tools ins Leere laufen zu lassen.

UPDATE 18.12.2009: decafme.org erklärt, DECAF soll lediglich ein PR-Gag gewesen sein.

UPDATE 22.12.2009: Nun wieder Kehrtwende, decafme.org veröffentlicht Erklärung, DECAF sei echt gewesen und kein Hoax. Wird wohl Zeit, das Ding bei Gelegenheit mal unter die Lupe zu nehmen. COFEE ist immer noch im Netz verfügbar, Microsoft scheint nun aber andere Probleme zu haben.

UPDATE 20.01.2010: decafme 1.0 enthielt wohl eine "Phone Home " Funktion und eine Zeitbombe, hebelt COFEE aber (welch Wunder) leicht aus. Inzwischen ist Version 2 erschienen, das auch Forensik-Tools anderer Hersteller ins Nirvana schickt. Microsoft versucht nun offensichtlich, decafme.org ebenfalls mittels "DMCA Takedown Request" (Unterlassungsersuchen gegen den Provider eines Urheberrechtsverletzers) vom Netz zu kriegen, was in diesem Fall wohl kaum Aussicht auf Erfolg haben dürfte.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31