Extractor de pruebas forenses en línea para computadoras

Software forense

Computer Online Forensic Evidence Extractor ( COFEE ) es un kit de herramientas desarrollado por Microsoft para ayudar a los investigadores forenses informáticos a extraer evidencia de un ordenador con Windows . Instalado en una unidad flash USB u otra unidad de disco externa , actúa como una herramienta forense automatizada durante un análisis en vivo . Microsoft proporciona dispositivos COFEE y soporte técnico en línea de forma gratuita a las agencias de aplicación de la ley.

Desarrollo y distribución

COFEE fue desarrollado por Anthony Fung, un ex oficial de policía de Hong Kong que ahora trabaja como investigador principal en el Equipo de Aplicación de la Seguridad en Internet de Microsoft. ^[1] Fung concibió el dispositivo después de las discusiones que tuvo en una conferencia de tecnología policial patrocinada por Microsoft en 2006. ^[2] El dispositivo es utilizado por más de 2000 oficiales en al menos 15 países. ^[3]

Un caso citado por Microsoft en abril de 2008 atribuye a COFEE el papel crucial que desempeñó en una investigación neozelandesa sobre el tráfico de pornografía infantil , al producir pruebas que llevaron a un arresto. ^[1]

En abril de 2009, Microsoft e Interpol firmaron un acuerdo en virtud del cual INTERPOL actuaría como principal distribuidor internacional de COFEE. El Centro de Investigaciones de Delitos Cibernéticos del University College de Dublín, en colaboración con Interpol, desarrolla programas para la formación de expertos forenses en el uso de COFEE. ^[4] El Centro Nacional de Delitos de Cuello Blanco ha obtenido la licencia de Microsoft para ser el único distribuidor nacional de COFEE en Estados Unidos. ^[5]

Fuga pública

El 6 de noviembre de 2009, se filtraron copias de Microsoft COFEE en varios sitios web de torrents. ^[6] El análisis de la herramienta filtrada indica que se trata en gran medida de un envoltorio de otras utilidades que ya estaban disponibles para los investigadores. ^[7] Microsoft confirmó la filtración; sin embargo, un portavoz de la empresa dijo: "No prevemos que la posible disponibilidad de COFEE para que los cibercriminales la descarguen y encuentren formas de 'construirla' sea una preocupación importante". ^[8]

Usar

El dispositivo se activa al conectarlo a un puerto USB . Contiene 150 herramientas y una interfaz gráfica de usuario para ayudar a los investigadores a recopilar datos. ^[1] Se informa que el software consta de tres secciones. Primero, COFEE se configura de antemano y el investigador selecciona los datos que desea exportar; luego, estos se guardan en un dispositivo USB para conectarlo a la computadora de destino. Una interfaz adicional genera informes a partir de los datos recopilados. ^[7] Las estimaciones citadas por Microsoft indican que los trabajos que antes tomaban entre 3 y 4 horas se pueden realizar con COFEE en tan solo 20 minutos. ^{[1] [9]}

COFEE incluye herramientas para descifrar contraseñas , recuperar el historial de Internet y extraer otros datos. ^[2] También recupera datos almacenados en la memoria volátil que podrían perderse si se apagara la computadora. ^[10]

DESCAFEINADO

A mediados o finales de 2009, un grupo de programadores no involucrados anunció una herramienta llamada Detect and Eliminate Computer Acquired Forensics (DECAF). Según se informa, la herramienta protegería a las computadoras contra COFEE y la volvería ineficaz. ^[11] Afirmaba que proporcionaría un monitoreo en tiempo real de las firmas COFEE en dispositivos USB y en aplicaciones en ejecución y que cuando se detecta una firma COFEE, DECAF realizaría numerosos procesos definidos por el usuario. Estos incluían la limpieza de registros COFEE, la expulsión de dispositivos USB y la contaminación o falsificación de direcciones MAC . ^[12] El 18 de diciembre de 2009, los creadores de DECAF anunciaron que la herramienta era un engaño y parte de "un truco para generar conciencia sobre la seguridad y la necesidad de mejores herramientas forenses". ^{[13] [14] [15] [16] [17]}

Véase también

• Kali Linux
• en Ubuntu
• Windows To Go , unidad USB de arranque con Windows capaz de ejecutar utilidades de recuperación/recopilación de datos

Referencias

1. "Brad Smith: Law Enforcement Technology Conference 2008". Microsoft Corporation . 28 de abril de 2008. Archivado desde el original el 23 de febrero de 2012. Consultado el 19 de mayo de 2008 .
2. Romano, Benjamin J. (29 de abril de 2008). "Un dispositivo de Microsoft ayuda a la policía a obtener pruebas de la escena cibernética de un crimen". The Seattle Times . Consultado el 19 de mayo de 2008 .
3. "Microsoft hace un llamamiento a las asociaciones público-privadas globales para ayudar en la lucha contra el cibercrimen (entrevista con Tim Cranton, asesor general asociado de Microsoft)". Microsoft Corporation . 2008-04-28 . Consultado el 2008-05-19 .
4. "La iniciativa de INTERPOL con Microsoft tiene como objetivo elevar los estándares globales contra el cibercrimen mediante una asociación estratégica con el sector de TI". INTERPOL . Archivado desde el original el 15 de julio de 2009 . Consultado el 16 de julio de 2009 .
5. "Copia archivada". Archivado desde el original el 21 de junio de 2012. Consultado el 27 de octubre de 2009 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
6. "La herramienta de aplicación de la ley Microsoft COFEE se filtra por toda Internet". TechCrunch . Archivado desde el original el 26 de agosto de 2012 . Consultado el 7 de noviembre de 2009 .
7. "Más café, por favor, pensándolo bien" . Consultado el 9 de noviembre de 2009 .
8. Pullin, Alexandra. "A Microsoft no le preocupa la filtración de COFEE". The Inquirer. Archivado desde el original el 14 de noviembre de 2009. Consultado el 24 de agosto de 2010 .{{cite web}}: CS1 maint: URL no apta ( enlace )
9. Valich, Theo (7 de mayo de 2008). "El nuevo producto de Microsoft va contra el crimen: conozca (Hot) COFEE". Tigervision Media. Archivado desde el original el 17 de mayo de 2008. Consultado el 19 de mayo de 2008 .
10. Mills, Elinor (29 de abril de 2008). "Microsoft alberga su propia academia de policía". CNet News.com. Archivado desde el original el 15 de mayo de 2012. Consultado el 19 de mayo de 2008 .
11. Michael, Bartolacci (2012). Avances e innovaciones en comunicaciones inalámbricas y tecnologías de red. IGI Global. pág. 226. ISBN 978-1466621541. Recuperado el 26 de junio de 2015 .
12. Goodin, Dan (14 de diciembre de 2009). "Los piratas informáticos declaran la guerra a una herramienta forense internacional". The Register . Consultado el 15 de diciembre de 2009 .
13. Eaton, Nick. "La herramienta anti-CAF DECAF se revela como un truco publicitario". Seattle PI . Consultado el 26 de junio de 2015 .
14. "DECAF fue sólo un truco publicitario, ahora se acabó". Slashdot. 18 de diciembre de 2009. Consultado el 26 de junio de 2015 .
15. "Herramienta anti-forensische DECAF geen engaño". Seguridad.nl . Consultado el 26 de junio de 2015 .
16. Zetter, Kim (14 de diciembre de 2009). "Los piratas informáticos elaboran un código de autodestrucción para contrarrestar las investigaciones forenses de la policía". Wired.com . Consultado el 15 de diciembre de 2009 .
17. Peter, Jeff. "servicios de análisis forense informático" . Consultado el 19 de junio de 2023 .

Enlaces externos

• Sitio web oficial
• "Extractor de pruebas forenses en línea de Microsoft Computer (COFEE)". Microsoft Corporation . Archivado desde el original el 21 de junio de 2012. Consultado el 17 de octubre de 2009 .
• "¿Café normal o descafeinado? Se lanza una herramienta para combatir el CAFÉ". Praetorian Prefect . Archivado desde el original el 2009-12-18 . Consultado el 2009-12-18 .
• "Reactivación de DECAF en dos minutos". Prefecto pretoriano . Archivado desde el original el 23 de febrero de 2014. Consultado el 18 de diciembre de 2009 .