Cofee — Computer Online Forensic Evidence Extractor

CofeeAus seinem Tool Cofee hat Microsoft nie ein Geheimnis gemacht. Der Computer Online Forensic Evidence Extractor wurde dazu geschaffen, Ermittlern die Möglichkeit zu geben, Beweise auf PCs — noch während einer Hausdurchsuchung — zu sichern. Das Netz wäre nicht das Netz, wenn nicht irgendwann alles veröffentlicht werden würde. So auch diesmal – Cofee wurde geleakt. Der SPIEGEL macht daraus den nächsten Thriller von John Grisham: Ein internationaler IT-Konzern entwickelt ein Spezialwerkzeug für Strafverfolger, um Beweise auf den Rechnern Verdächtiger zu finden. Dieses Werkzeug verschenkt er an Behörden in aller Welt. Hacker und Möchtegern-Hacker lechzen gierig nach der streng geheimen Schnüffel-Software, loben Belohnungen für denjenigen aus, der sie beschafft. Und eines Tages passiert es dann wirklich: Die Software mit dem Spitznamen Cofee taucht in einer Datentauschbörse auf, über die normalerweise Musik oder Software verschoben wird. Doch ist dem wirklich so?

Dem Autor dieser Zeilen wurde heute eine E-Mail geschickt, ein anonymer F!XMBR-Leser hat sich das Tool angesehen. Das Fazit: Verschwörungstheorien sind wieder einmal fehl am Platz:

Hallo,

nachdem ich heute beim Spiegel und auf Heise über Cofee und den Leak gelesen hatte, habe ich mir das Programm über die einschlägig bekannten Torrent-Seiten besorgt. Ich habe das Archiv auf Viren getestet und anschließen in einer abgesicherten Umgebung auf einem USB-Stick installiert. Schließlich habe ich den USB-Stick in einen von der Außenwelt abgeschnittenen XP-Rechner gesteckt. Cofee startete automatisch. Zuerst wurden alle Dienste angezeigt, Hash-Werte erzeugt, der User hat die Möglichkeit, jeden einzelnen Dienst zu stoppen.

Nach 5 Minuten war alles vorbei. Nun befanden sich im Output-Ordner jede Menge Log– und Text-Dateien. Es ist absolut unspektakulär. Informationen zum benutzten User-Account auf der XP-Kiste, nicht das Password selbst, alle Prozesse und Dienste, freigegebene Dateien und Ordner, welche Programme beim Systemstart gestartet werden. Da gibt es kaum Etwas, was ein Otto-Normal-User nicht mit Tools wie SIW rausbekommen könnte. Als Anlage habe ich mal 8 Screenshots mitgeschickt.

Ich behaupte: viel Lärm um nichts. Ich bin zur Überzeugung gelangt, dass das Tool dazu genutzt wird, die Rechner eindeutig zu identifizieren, eine Identifikation, die auch vor Gericht Bestand hat. Wenn man an das Chaos in den Aservatenkammern denkt, ist das auch wirklich notwendig. Aufkleber und Notizen sind auch schnell verloren. Man muss also vor Microsoft weiterhin keine Angst haben. Man kann behaupten, die sind aus Unfähigkeit gar nicht evil. 😀

Grüße

3 Anmerkungen dazu:

1. Seid vorsichtig, wenn Ihr zufällig über einen Download-Link zu Cofee stolpert. Die Software dürfte im Moment sehr begehrt sein und somit Zielscheibe für unzählige Manipulationsversuche sein. Es sollen sich ganz einfach zusätzliche Addons installieren lassen, kleine EXE-Dateien. Ich brauche hoffentlich Niemanden sagen, was diese anrichten können. Ich bin mit fast sicher, dass es bald Aufschreie gibt, Cofee hat mir einen Trojaner und/oder Virus eingebracht. Die nächsten Tage werden lustig – seid also auf der Hut.

2. Die Software ist selbstverständlich urheberrechtlich geschützt – auch aus diesem Grund solltet Ihr die Finger davon lassen. Die Story war/ist witzig, aber nun wirklich nicht so interessant, dass man ein Risiko eingehen muss.

3. Es kursieren Gerüchte, dass dieser Leak gewollt ist, und dass diese Version nicht das Original ist. Das Original soll angeblich noch viel mehr können. Verlasst Euch also auch nicht auf die vermeintliche Unfähigkeit Microsofts. 😉

Legt obigen Artikel bitte unter Gerüchteküche ab, ich kann ihn leider nicht verifizieren. Hier nun die Screenshots, die mir geschickt wurden:

cofee1

cofee2

cofee3

cofee4

cofee5

cofee6

cofee7

cofee8

, , , , , , , , , ,

3 Antworten zu “Cofee — Computer Online Forensic Evidence Extractor”

  1. Carlos sagt:

    Ich tue jetzt man spasseshalber so, als wäre ich ein Geheimdienst oder ein Mitglied der Contentmafia oder so. Ich nehme also dieses Tool von Microsoft — nach dem sich jeder Hacker die Finger leckt — bastle zusammen mit Microsoft ein wenig daran herum, verändere dies und das, und dann lasse ich es ganz unauffällig im Nirvana der Tauschbörsen und Torrents verschwinden.

    Und jetzt? Jeder lädt sich diese Tools herunter, genügend wagemutige installieren es sich, und auf einmal möchte Cofee dann gerne “nach Hause” (wo auch immer das ist, telefonieren.

    Voila, und schon habe ich einen riesigen Haufen Filesharer am Allerwertesten, die ich auf einen Haufen Geld verklagen kann.

    Das ist jetzt natürlich nur meinem Paranioden, von diversen Verschwörungen überlastetem Gehirn entsprungen 😉

  2. Chris sagt:

    Stimmt, weil gerade das in *den* Kreisen, in denen es veröffentlicht wurde, sofort bekannt werden würde. :)

  3. superguppi sagt:

    Heise schreibt darüber auch sehr ernüchternd:
    Ein Blick auf Microsofts entwischte Forensik-Tool-Sammlung

RSS-Feed abonnieren