hit counter
Smontiamo il caso di COFEE, il tool forensic delle false meraviglie - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Smontiamo il caso di COFEE, il tool forensic delle false meraviglie

Smontiamo il caso di COFEE, il tool forensic delle false meraviglie

  • Comments 5
  • Likes

Spero che molti di voi abbiano avuto modo di approfittare di questo lungo ponte per ritemprarsi. Io l'ho fatto e ho volontariamente tenuto le mani lontane da Windows Live Writer, nonostante mi prudessero già da mercoledì scorso dopo aver letto la ripresa di Punto Informatico di alcuni articoli vaneggianti sul tool COFEE di cui Microsoft ha parlato durante l'avvio del Law Enforcement Tech 2008, evento dedicato a rappresentanti delle forze dell'ordine di tutto il mondo per aggiornarli sull'evoluzione tecnologica a supporto delle loro attività di investigazione contro il cybercrime.

La mia rubrica Anti-FUD era triste perché sono passati due mesi dall'ultimo post di contrasto alla disinformazione, e mi stavo sinceramente preoccupando... eccomi accontentato!

Prima ricostruiamo velocemente il percorso di questa disinformazione: la sorgente iniziale della notizia è il comunicato stampa di Microsoft, quello che io stesso stavo per riprendere al fine di segnalarvi l'impegno attivo di Microsoft sul fronte del contrasto al cybercrime. Il penultimo paragrafo parla di COFEE (Computer Online Forensic Evidence Extractor) e sinceramente mi sembrava che fosse indicato abbastanza chiaramente l'intento del tool: automatizzare la raccolta di prove da un computer appena sequestrato, semplificando il lavoro dell'agente di polizia che in assenza di questo tool dovrebbe lanciare circa 150 comandi per un lavoro di 3-4 ore, mentre tramite l'uso di COFEE riesce a realizzare il lavoro di raccolta di dati e log (che già realizzava - a manina - fino a ieri) in circa 20 minuti. L'articolo che poi ha dato il via ai dubbi e ai sospetti è stato quello del "The Seattle Times" in cui si scrive "... It can decrypt passwords and analyze a computer's Internet activity, as well as data stored in the computer".

Apriti cielo! Quale miglior alzata di pallavolo per i fautori dell'equivalenza Microsoft=Grande Fratello, ecco finalmente la prova delle backdoor per aggirare la sicurezza di Windows, ecco le chiavi segrete per bypassare Bitlocker, addirittura i Trojan di Stato... e chi più ne ha piu ne metta, in una deriva di disinformazione a dir poco allucinante per chi sa di che cosa si stia parlando!

Ecco, riprendendo questo ultimo punto sottolineato, solo un aspetto può parzialmente giustificare questo "molto rumore per nulla": la mancanza di dettagli tecnici sul tool e l'impossibilità di poterne disporre pubblicamente per poter verificare quali strumenti utilizzi per la raccolta di informazioni dal computer sequestrato (dal momento che verrà distribuito solo alle agenzie di law enforcement dotate di appropriata autorità legale).

E' per questo che vi condivido quel poco che so al momento (visto che non ho ancora avuto modo di accedere al tool e di analizzarlo): per quanto esigui, questi semplici elementi tecnici che vi riporto credo (e spero) siano sufficienti a smontare questo polverone. Il tool COFEE:

  • può agire solo su un computer non lockato, e richiede che l'utente loggato sia dotato di privilegi amministrativi 
  • non può essere usato da remoto ma solo localmente tramite una chiavetta USB
  • è solo un tool che consolida in un singolo strumento un insieme di tool di forensic già reperibili pubblicamente, che utilizzano metodi ed API ampiamente documentati per accedere alle informazioni da salvare per l'analisi successiva, prima che il computer sia spento e staccato dalla rete in cui sta agendo al momento del sequestro
  • verrà distribuito solo alle agenzie in grado di esercitare adeguata autorità legale (come per esempio in seguito ad un mandato emesso dall'autorità giudiziara)

Ora, mi appello alla vostra cultura di sicurezza informatica su piattaforma Microsoft (che spero si sia rafforzata almeno un pelino leggendo questo mio blog...;-): vi rendete conto che il primo punto che vi ho indicato spiega tutto?

  • l'esecuzione di tool/programmi su un computer non lockato con l'utenza dotata di privilegi amministrativi vi permette di accedere a praticamente quasi tutto del vostro PC senza dover aggirare alcun meccanismo di protezione di Windows e senza la necessità di alcuna fantomatica backdoor: alcune considerazioni di dettaglio
    • Bitlocker protegge dagli attacchi offline (computer spento): se accedete ai dati mentre siete online i dati risultano in chiaro (perché vengono cifrati al volo quando si scrive, e decifrati al volo quando si legge) anche se sono cifrati su disco
    • il "quasi" (in grassetto) che ho usato nella precedente asserzione sulla possibilità di accedere a tutti i dati del vostro PC fa riferimento alla situazione in cui i dati siano stati cifrati: a prescindere dallo strumento che state utilizzando per cifrare (EFS o altri non Microsoft), se la chiave di cifratura è stata memorizzata sul PC siete esposti alla possibilità di recuperare tale chiave e quindi di decifrare i vostri dati, altrimenti nessuno (senza la chiave) può violare la confidenzialità delle vostre informazioni.
    • pensate che il tool non è in grado di bypassare nemmeno uno screensaver protetto da password... ho detto tutto...

Io credo che la necessità di fornirlo solo alle forze dell'ordine non sia nei segreti che racchiude (che, davvero, non vi sono), quanto nell'automatismo e nella velocità del processo di raccolta di dati sensibili: capite che se fosse fornito pubblicamente, aumenterebbe la possibilità di violare la privacy degli utenti con sforzo minimo... immaginate lo scenario banale (ma non troppo!) della signora delle pulizie che trova un computer non lockato e zac! vi ruba tutto il possibile e l'immaginabile in 20 minuti...

Spero di essere riuscito a dissipare qualche nebbia, in attesa di poter vedere il tool e spiegarvi qualche dettaglio in più (se potrò...;-).

Permettetemi di chiudere ribadendo una considerazione già fatta sulle eventuali backdoor in Windows: come ho avuto modo di dirvi già in uno dei miei primi post, il codice sorgente di Windows è disponibile per la consultazione ad una serie di enti governativi che possono accedere al programma denominato Government Security Program, quindi proprio coloro che avrebbero più perplessità su questo tema hanno lo strumento per verificare il codice e togliersi ogni dubbio al riguardo, quindi come allora ribadisco... siamo seri... altro che backdoor!

Share this post :
Comments
  • PingBack from http://nonsolodotnet.wordpress.com/2008/05/05/tool-cofee/

  • Non posso negare che la quantità di informazioni errate sul device in questione mi aveva confuso. Ma ero in attesa di chiarimenti prima di giungere a conclusioni errate.

    Ciò che mi (ma non troppo) sorprende è che testate giornalistiche e/o di informazione in ambito IT sparino a zero incessantemente... forse alla ricerca di audiende?

    Grazie per aver fatto luce sull'oscura vicenda.

  • ma in sostanza, cosa hanno fatto, hanno messo Autopsy su una chiavetta USB?

    ;-)

  • Era chiaro sin dall'inizio che si trattasse di una raccolta di tool "pacchettizzata" per la live analisi dei sistemi MS. Tralasciando l'argomento backdoor (da qui a parlare di backdoor ce ne vuole), leggendo un pò in giro, il tool è stato descritto come qualcosa di innovativo, qualcosa che effettivamente manchi nelle classiche live cd forensics e che vada ben oltre. Probabilmente un pò pompata la notizia anche da questo punto di vista.

  • Certo Gianni, il punto è che non l'ha pompata Microsoft la notizia... non aveva certo bisogno di questo tipo di pubblicità. Se davvero sarà qualcosa di innovativo lo saprò quando lo vedrò... e vi aggiornerò! Ciao

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment