Computer Online Forensic Evidence Extractor ( COFEE ) es un kit de herramientas desarrollado por Microsoft para ayudar a los investigadores forenses informáticos a extraer evidencia de un ordenador con Windows . Instalado en una unidad flash USB u otra unidad de disco externa , actúa como una herramienta forense automatizada durante un análisis en vivo . Microsoft proporciona dispositivos COFEE y soporte técnico en línea de forma gratuita a las agencias de aplicación de la ley.
COFEE fue desarrollado por Anthony Fung, un ex oficial de policía de Hong Kong que ahora trabaja como investigador principal en el Equipo de Aplicación de la Seguridad en Internet de Microsoft. [1] Fung concibió el dispositivo después de las discusiones que tuvo en una conferencia de tecnología policial patrocinada por Microsoft en 2006. [2] El dispositivo es utilizado por más de 2000 oficiales en al menos 15 países. [3]
Un caso citado por Microsoft en abril de 2008 atribuye a COFEE el papel crucial que desempeñó en una investigación neozelandesa sobre el tráfico de pornografía infantil , al producir pruebas que llevaron a un arresto. [1]
En abril de 2009, Microsoft e Interpol firmaron un acuerdo en virtud del cual INTERPOL actuaría como principal distribuidor internacional de COFEE. El Centro de Investigaciones de Delitos Cibernéticos del University College de Dublín, en colaboración con Interpol, desarrolla programas para la formación de expertos forenses en el uso de COFEE. [4] El Centro Nacional de Delitos de Cuello Blanco ha obtenido la licencia de Microsoft para ser el único distribuidor nacional de COFEE en Estados Unidos. [5]
El 6 de noviembre de 2009, se filtraron copias de Microsoft COFEE en varios sitios web de torrents. [6] El análisis de la herramienta filtrada indica que se trata en gran medida de un envoltorio de otras utilidades que ya estaban disponibles para los investigadores. [7] Microsoft confirmó la filtración; sin embargo, un portavoz de la empresa dijo: "No prevemos que la posible disponibilidad de COFEE para que los cibercriminales la descarguen y encuentren formas de 'construirla' sea una preocupación importante". [8]
El dispositivo se activa al conectarlo a un puerto USB . Contiene 150 herramientas y una interfaz gráfica de usuario para ayudar a los investigadores a recopilar datos. [1] Se informa que el software consta de tres secciones. Primero, COFEE se configura de antemano y el investigador selecciona los datos que desea exportar; luego, estos se guardan en un dispositivo USB para conectarlo a la computadora de destino. Una interfaz adicional genera informes a partir de los datos recopilados. [7] Las estimaciones citadas por Microsoft indican que los trabajos que antes tomaban entre 3 y 4 horas se pueden realizar con COFEE en tan solo 20 minutos. [1] [9]
COFEE incluye herramientas para descifrar contraseñas , recuperar el historial de Internet y extraer otros datos. [2] También recupera datos almacenados en la memoria volátil que podrían perderse si se apagara la computadora. [10]
A mediados o finales de 2009, un grupo de programadores no involucrados anunció una herramienta llamada Detect and Eliminate Computer Acquired Forensics (DECAF). Según se informa, la herramienta protegería a las computadoras contra COFEE y la volvería ineficaz. [11] Afirmaba que proporcionaría un monitoreo en tiempo real de las firmas COFEE en dispositivos USB y en aplicaciones en ejecución y que cuando se detecta una firma COFEE, DECAF realizaría numerosos procesos definidos por el usuario. Estos incluían la limpieza de registros COFEE, la expulsión de dispositivos USB y la contaminación o falsificación de direcciones MAC . [12] El 18 de diciembre de 2009, los creadores de DECAF anunciaron que la herramienta era un engaño y parte de "un truco para generar conciencia sobre la seguridad y la necesidad de mejores herramientas forenses". [13] [14] [15] [16] [17]
{{cite web}}
: CS1 maint: copia archivada como título ( enlace ){{cite web}}
: CS1 maint: URL no apta ( enlace )