Компьютерный онлайн-экстрактор криминалистических доказательств
Криминалистическое программное обеспечение

Computer Online Forensic Evidence Extractor ( COFEE ) — это набор инструментов, разработанный корпорацией Microsoft , чтобы помочь экспертам по компьютерной криминалистике извлекать доказательства из компьютеров Windows . Установленный на USB-флеш-накопитель или другой внешний диск , он действует как автоматизированный криминалистический инструмент во время анализа в реальном времени . Корпорация Microsoft предоставляет правоохранительным органам устройства COFEE и техническую поддержку онлайн бесплатно.

Разработка и распространение

COFEE был разработан Энтони Фунгом, бывшим офицером полиции Гонконга , который сейчас работает старшим следователем в группе по обеспечению безопасности Интернета Microsoft. [1] Фунг задумал это устройство после обсуждений, которые он провел на конференции по технологиям для правоохранительных органов в 2006 году, спонсируемой Microsoft. [2] Устройство используют более 2000 офицеров по крайней мере в 15 странах. [3]

В деле, на которое ссылалась компания Microsoft в апреле 2008 года, COFEE сыграла решающую роль в расследовании в Новой Зеландии торговли детской порнографией , предоставив доказательства, которые привели к аресту. [1]

В апреле 2009 года Microsoft и Интерпол подписали соглашение, в соответствии с которым ИНТЕРПОЛ будет выступать в качестве основного международного дистрибьютора COFEE. Центр по расследованию киберпреступлений при Университетском колледже Дублина совместно с Интерполом разрабатывает программы обучения экспертов-криминалистов использованию COFEE. [4] Национальный центр по борьбе с преступлениями, связанными с должностными преступлениями, получил лицензию от Microsoft на то, чтобы быть единственным внутренним дистрибьютором COFEE в США. [5]

Публичная утечка

6 ноября 2009 года копии Microsoft COFEE просочились на различные торрент-сайты. [6] Анализ просочившегося инструмента показывает, что он в значительной степени является оболочкой вокруг других утилит, ранее доступных следователям. [7] Microsoft подтвердила утечку; однако представитель фирмы заявил: «Мы не ожидаем, что возможная доступность COFEE для загрузки киберпреступниками и поиска способов «обойти» ее, будет серьезной проблемой». [8]

Использовать

Устройство активируется путем подключения к USB -порту. Оно содержит 150 инструментов и графический пользовательский интерфейс, помогающий следователям собирать данные. [1] Сообщается, что программное обеспечение состоит из трех разделов. Сначала COFEE настраивается заранее, когда следователь выбирает данные, которые он хочет экспортировать, затем они сохраняются на USB-устройстве для подключения к целевому компьютеру. Дополнительный интерфейс генерирует отчеты из собранных данных. [7] Оценки, приведенные Microsoft, говорят о том, что задания, которые ранее занимали 3–4 часа, можно выполнить с COFEE всего за 20 минут. [1] [9]

COFEE включает в себя инструменты для расшифровки паролей , восстановления истории Интернета и извлечения других данных. [2] Он также восстанавливает данные, хранящиеся в энергозависимой памяти , которые могут быть потеряны при выключении компьютера. [10]

БЕЗ КОФЕИНА

В середине-конце 2009 года группа программистов, не участвовавших в проекте, анонсировала инструмент под названием Detect and Eliminate Computer Acquired Forensics (DECAF). По сообщениям, этот инструмент должен был защитить компьютеры от COFEE и сделать его неэффективным. [11] В нем утверждалось, что он должен был обеспечить мониторинг в реальном времени сигнатур COFEE на USB- устройствах и в запущенных приложениях, и что при обнаружении сигнатуры COFEE DECAF должен был выполнить множество определяемых пользователем процессов. К ним относились очистка журнала COFEE, извлечение USB-устройств и заражение или подмена MAC-адресов . [12] 18 декабря 2009 года создатели DECAF объявили, что инструмент был обманом и частью «трюка для повышения осведомленности о безопасности и необходимости в лучших криминалистических инструментах». [13] [14] [15] [16]

Смотрите также

Ссылки

  1. ^ abcd "Брэд Смит: Конференция по технологиям правоохранительной деятельности 2008". Корпорация Microsoft . 2008-04-28. Архивировано из оригинала 2012-02-23 . Получено 2008-05-19 .
  2. ^ ab Romano, Benjamin J. (29.04.2008). «Устройство Microsoft помогает полиции извлекать улики из киберпространства преступления». The Seattle Times . Получено 19.05.2008 .
  3. ^ "Microsoft призывает глобальное государственно-частное партнерство помочь в борьбе с киберпреступностью (вопросы и ответы с Тимом Крэнтоном, заместителем генерального юрисконсульта Microsoft)". Корпорация Microsoft . 2008-04-28 . Получено 2008-05-19 .
  4. ^ "Инициатива ИНТЕРПОЛА с Microsoft направлена ​​на повышение мировых стандартов в борьбе с киберпреступностью посредством стратегического партнерства с сектором ИТ". ИНТЕРПОЛ . Архивировано из оригинала 2009-07-15 . Получено 2009-07-16 .
  5. ^ "Архивная копия". Архивировано из оригинала 2012-06-21 . Получено 2009-10-27 .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )
  6. ^ "Microsoft COFEE — инструмент правоохранительных органов, утекающий по всему Интернету". TechCrunch . Архивировано из оригинала 2012-08-26 . Получено 2009-11-07 .
  7. ^ ab "Еще КОФЕ, пожалуйста, поразмыслив еще раз" . Получено 2009-11-09 .
  8. ^ Пуллин, Александра. «Microsoft не беспокоится об утечке COFEE». The Inquirer. Архивировано из оригинала 14 ноября 2009 г. Получено 24 августа 2010 г.
  9. ^ Valich, Theo (2008-05-07). "Новый продукт Microsoft идет против преступности: встречайте (горячий) COFEE". Tigervision Media. Архивировано из оригинала 2008-05-17 . Получено 2008-05-19 .
  10. ^ Миллс, Элинор (29.04.2008). «Microsoft размещает собственную полицейскую академию». CNet News.com. Архивировано из оригинала 15.05.2012 . Получено 19.05.2008 .
  11. ^ Майкл, Бартолаччи (2012). Достижения и инновации в области беспроводной связи и сетевых технологий. IGI Global. стр. 226. ISBN 978-1466621541. Получено 26 июня 2015 г.
  12. ^ Гудин, Дэн (14 декабря 2009 г.). «Хакеры объявляют войну международному инструменту судебной экспертизы». The Register . Получено 15 декабря 2009 г.
  13. ^ Итон, Ник. «Анти-COFEE-инструмент DECAF оказался трюком». Seattle PI . Получено 26 июня 2015 г.
  14. ^ "DECAF Was Just a Stunt, Now Over". Slashdot. 18 декабря 2009 г. Получено 26 июня 2015 г.
  15. ^ "Антикриминалистический инструмент DECAF - мистификация" . Security.nl . Проверено 26 июня 2015 г.
  16. ^ Zetter, Kim (14 декабря 2009 г.). «Хакеры создают код самоуничтожения, чтобы противостоять полицейской криминалистике». Wired.com . Получено 15 декабря 2009 г.
  • Официальный сайт
  • "Microsoft Computer Online Forensic Evidence Extractor (COFEE)". Корпорация Microsoft . Архивировано из оригинала 2012-06-21 . Получено 2009-10-17 .
  • «Обычный или декаф? Запущен инструмент для борьбы с КОФЕ». Префект претория . Архивировано из оригинала 2009-12-18 . Получено 2009-12-18 .
  • «Повторная активация DECAF за две минуты». Префект претория . Архивировано из оригинала 23 февраля 2014 г. Получено 18 декабря 2009 г.
Взято с "https://en.wikipedia.org/w/index.php?title=Computer_Online_Forensic_Evidence_Extractor&oldid=1246941689"