Убежал COFEE

    Тайное оружие разработанное Майкрософт для силовиков, Microsoft COFEE, утекло в Интернет.
    За него давали 1.5 TB бонуса на закрытых трекерах в течении полутора лет. Никто не надеялся, что его когда-то удастся закачать, но вчера это произошло.
    image
    В течении некоторого времени софтину можно было скачать свободно, после чего администрация трекера ее удалила в целях безопасности. По их словам, это было их собственное решение и никто по этому поводу их не дергал: ни MS, ни силовики.
    Можно ожидать, что скоро COFEE появится на закачку повсеместно, хотя польза от нее обычным пользователям весьма не очевидна.
    UPD: COFEE это программа с помощью которой можно создать USB диск, который запускает программу собирающую улики с компа подозреваемого. Производитель обещает, что с программой справится начинающий пользователь.
    Поделиться публикацией
    Комментарии 113
      +9
      А что за кофе то?
        +12
        Неплохо было бы еще написать, что это вообще такое. Я например не знал :)

        Computer Online Forensic Evidence Extractor (COFEE) — модифицированный загрузочный USB диск помогающий следователям быстро извлекать необходимую для суда информации (forensic data), с компьютеров, которые могут хранить доказательства криминальной активности. Он позволяет следователелям искать по данным прямо на месте эксплуатации в автоматическом режиме.

        Больше подробностей в английской вики.
        Вообще да, для обычных пользователей вещь бесполезная, хотя очень интересно было бы посмотреть, по каким алгоритмам они это делают. Неужто полнотекстовой поиск по файлам компьютера на предмет наличия слов: терроризм, бомба, Путин :)
          0
          Добавил краткое описание.
            +13
            Набросал быстренько статью в русскую вики (перевод английской)-
            ru.wikipedia.org/wiki/Cofee
            Насколько я понял — это куча инструментов для автоматизированного дерганья информации с компьютера, плюс некие возможности по расшифровке. То есть, быстро, но вряд ли качественно. Так сказать, подходит для " быстро разобраться на месте".
            –2
            На русском трудно найти информацию, смысл и том, что милиционер Вася умеющий работать с ПК на уровне начинающего пользователя, втыкает в комп подозреваемого флешку USB, запускает COFFEE и собирает улики его причастности к преступлению, совершенному с его компа.
              +1
              После чего млиционера Васю выгоняют нахрен с должности. поскольку демон опознал продукт и перезаписал заветный раздел всяким хламом. А Вася ещё радуется, что его не размазал по стенке адвокат обвиняемого, бо все данные получены с нарушением законодательства и не могут быть использованы в суде.
                0
                Кстати я сам еще не до конца представляю себе в каких странах улики добытые с ее помощью будут признаны в суде.
                  +1
                  Если улики, добытые с помощью какой-либо программы могут быть признаны в суде, то чем же оная программа от COFFEE отличается, раз улики COFFEE могут и не принять?
              +2
              COFEE не содержит никаких «особенных» утилит, сверхсекретных разработок и так далее.
              Собственно, единственное, что делает программа — просто сбор текущей информации о системе нарушителя (ТТХ компьютера, сведения о запущенных программах, подключениях).

              ЗЫ. Кофе перезалили на ту же Бухту, кто заинтересован — посмотрите :)
                0
                А почему в заголовке две FF?
                  –2
                  Оно так называется.
                    0
                    Computer Online Forensic Evidence Extractor но тут же одна
                      0
                      Виноват, 2 E а не 2 F. Исправил.
                        0
                        сам не сразу заметил. полез на бухту искать coffee, а оно не находит
                    –2
                    с двумя ф — это вариант плагина в лисе))
                    +2
                    Еще один повод валить на линукс?
                      +3
                      Под Linux можно делать криминальные делишки без шанса быть уличенным в этом? :)
                        +7
                        Для сбора улик на Линуксе наверное напишут GPL-ный софт :)
                          +28
                          который следователь должен будет скомпилировать на машине подозреваемого
                            +25
                            предварительно удовлетворив все зависимости, что будет являться самым сложным в работе следователя
                              –5
                              Предваритеьно, который должен быть исправлен от ошибок той или иной версии компилятора на машине. после чего установить все зависимости. исходники оных находятся на самом секретном компьютере в фсб… ну а дальше компилим. Нет ничего проще)
                              Или просто скачать ебилд для генты
                                +2
                                Зачем сотрудникам самим компилировать?
                                Обяжут эту программу иметь на своем компьютере и запускать по просьбе следователя.
                                Все просто.
                              +2
                                +4
                                OFFTOP: Хорошее название для проги: «Каин жив».
                                Его дело живет и процветает.
                                  0
                                  Судя по скришотам Caine — это на Каин, А Горацио Кейн из CSI:Miami, кроме того — Grissome Analyzer явно относится к главному персонажу CSI:Las Vegas
                                +1
                                Шутки шутками, но существуют специальные так называемые судебные дистрибутивы Linux. Например, CAINE (Computer Aided INvestigative Environment).
                                  0
                                  Репозиторий ftp://mirror.fsb.ru/
                                    0
                                    на никсах она есть называется find ))
                                    –2
                                    Да, можно — есть шифрованые ФС
                                      +5
                                      а под виндовс, стало быть, таких средств нет?
                                  0
                                  Да, есть на бухте, 15мб.
                                    –1
                                    У меня даже зародилась мысля: не является ли эта утечка преднамеренной, для повышения интереса к продукту и обкатки на обычных пользователях фич, которые должны работать для силовиков без сучка и задоринки?
                                      +4
                                      а что, есть куда слать багрепорты? :)
                                        0
                                        Вообще в microsoft имеется специальный отдел который отслеживает отзывы (багрепорты) в интернете. Создан он для отслеживания ситуаций, когда что-то ломается после апдейтов, ибо по статистике чуть ли не половина обнаруженных проблем просто не доходит до call центров и посему им приходится отслеживать это самостоятельно.

                                        Хотя в конкретно данном случае, это и сомнительно, программа навярняка покрывает большую часть запросов которые необходимы силовым структурам, а все остальное — тонкая работа специалистов на месте.
                                        0
                                        Что-то вроде: — Установи эту программу своим друзьям и получи амнистию.
                                        Грустно.
                                          0
                                          Если бы это был цельный продукт, можно было собирать отзывы. А это лишь кучка бинарников, которые запускаются подряд и всё в файл пишут на флешке. ПОтом этот файл расшифровывается и генерируется отчёт в html. При этом сами эти бинарники — это тривиальные вызовы типа «net.exe view», «sclist» и так далее. То есть по сути снимок системного окружения. Как это поможет потом в суде, для меня загадка.
                                          +5
                                          Качал с бухты. при запуске установщика пишет: Параметр задан неверно.
                                          Что бы это могло быть?
                                            +82
                                            Я думаю, все в порядке, данные переданы.
                                              0
                                              не докачалось?
                                                +7
                                                Возможно Вам поможет хитрый MSI extractor.
                                                  +1
                                                  Да, помогло. Интересно просто, что это за кофе такое…
                                                    0
                                                    Хорошая утилитка.
                                                    0
                                                    У меня тоже самое. (Вин7)
                                                    Однако согласитесь, документация приложенная к файлам сомнений не вызывает :)
                                                      –2
                                                      Я пока не ставил ее. У меня Gentoo стоит, вот если под wine-ом пойдет, попробую :)
                                                    +12
                                                    Кстати под этим предлогом можно запросто выложить на торренты троян. Все равно никто не знает как программа должна выглядеть и что конкретно делать. Добро пожаловать в ботнет :)
                                                      0
                                                      Что программа должна делать, как раз понятно: собирать улики и отправлять силовикам. А потом уже можно и ботнет :)
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                        +1
                                                        ещё и спасибо им скажете если унесут ситемник не оставив на память паяльник
                                                          0
                                                          … в интимном месте.
                                                            0
                                                            ректальный криптоанализ же
                                                            –1
                                                            > ещё и спасибо им скажете если унесут ситемник не оставив на память паяльник

                                                            Боюсь спросить в каком месте… :)
                                                            0
                                                            Как правило еще и сетевые фильтры и свичи.
                                                            +2
                                                            неудивительно будет что ms сам слил это продукт.
                                                              0
                                                              thepiratebay.org/torrent/5150926/COFEE-Microsoft_Forensic_Tools
                                                              Такое выдало на пиратбее, что ли скачать проверить, конечно велика верятность что просто вирусняков выложили там, но попытка не пытка.
                                                              0
                                                              скачал вчера с того самого закрытого трекера. под виртуалбоксом не запустилось. видимо, только под реальные машины. да и вообще это просто логгер. кстати, как на него антивирусы реагируют?
                                                              –2
                                                              В той. что на пиратбее — System requiremtns: Target machine: OS: Windows XP  — хреновая тулза какая-то.
                                                                0
                                                                Под семеркой отлично запустилось.
                                                                  0
                                                                  Под Target machine скорее имеют ввиду версию ОС, из которой предполагается вытащить улики.
                                                                  0
                                                                  Не, по моему это все же фейк, ну не может быть такого, чтобы эта прога просто была набором программ типа netstatб autoruns и т д, еще и ребующих работающей винды.
                                                                    0
                                                                    Запросто может быть. Там сопроводительная документация слишком детальная. Хотя и странная, например, часть скриншотов явно в висте сделана.
                                                                    0
                                                                    MSI extractor под Win 7 не работает :(
                                                                      0
                                                                      Только что экстрактнул под вин7-про.
                                                                      0
                                                                      Судя по описанию софтины на Бухте, Microsoft компиляют её под mingw.

                                                                      > Not a lot to see, mostly basic *nix stuff

                                                                      > Documentation was HUGE and [...] It's basically man pages anyway
                                                                        +1
                                                                        Это «описатели» любую командлайновую утилиту за *nix stuff принимают.
                                                                          0
                                                                          А документацию в plaintext'е за man? :D
                                                                        0
                                                                        Ха! Обратите внимание, что из runner.exe и некоторых других утилит не вырезана отладочная информация!
                                                                          0
                                                                          Для чего эти огромные xls файлы? Бред какой-то.
                                                                            0
                                                                            Как я понял, это результаты тестов.
                                                                            +3
                                                                            www.pcnews.ru/news/microsoft-cofee-computer-online-forensic-evidence-extractor-usb-150-backdoor-windows-bitlocker-225167.html

                                                                            Устройство получило название COFEE (Computer Online Forensic Evidence Extractor), – средство для сбора судебных компьютерных улик. USB-гаджет содержит в себе около 150 инструментов, находящихся в открытом доступе, он позволяет сохранять содержимое оперативной памяти компьютера, прежде чем последний будет отключен и конфискован.
                                                                              +6
                                                                              Сенсация! Засекреченная утилита от Microsoft оказалась сборником свободно распространяемых программ! :)
                                                                              Ну вы же на самом деле не ожидали, что там будут какие то сверхродвинутые технологии искусственного интеллекта сами разыскивающие криминальное содержимое на компьютере.
                                                                                +1
                                                                                Ну технологий может и нет, а вот банально эксплуатирование всякого рода бекдоров и прочих «недокументированных возможностей» — вполне. Микрософт же.
                                                                              –5
                                                                              Это типа сниффер+кейлогер, которые можно записать на usb-носитель и включить автозапуск? А если автозапуск отключен?
                                                                                +5
                                                                                прежде чем спрашивать глупость, могли бы потратить 3 минуты на чтение комментов.
                                                                                  0
                                                                                  это не кейлоггер
                                                                                    +1
                                                                                    И даже не сниффер.

                                                                                    Я уже понял, спасибо.
                                                                                  0
                                                                                  Паяльник в бою надежнее :)
                                                                                  0
                                                                                  За полтора терабайта рейта можно было и самому уже написать за это время.
                                                                                    +1
                                                                                    Можно ожидать, что скоро COFEE появиться

                                                                                    Производитель обещает, что с программой справиться начинающий пользователь.

                                                                                    Грамотей, минусую.

                                                                                    Скоро COFEE что сделает? Появится!
                                                                                    С программой что сделает? Справится!

                                                                                    Ваш Grammar Nazi.
                                                                                      +1
                                                                                      Исправил.
                                                                                        –11
                                                                                        Это уже не имеет значения, ваша грамотность уже продемонстрирована, а я к вам в редакторы не нанимался. Удачи в обучении.
                                                                                          0
                                                                                          Русский не мой родной язык и письменных экзаменов по нему я не сдавал. Правило мне известно, но я перепутал когда с мягким знаком а когда без.
                                                                                            –6
                                                                                            Понаехали!
                                                                                              –4
                                                                                              мая икзамин не сдаваль. Магу песать как хачю. (Вот тебе еще комплект запятых ,,,)
                                                                                          –3
                                                                                          Вам знакома эта запись?
                                                                                          Насчёт масштабируемости пространства там не очень понятно. По-моему оно быстро захламится без постоянного вмешательства и распределения волн по папочкам, что немного противоречит позиционированию как мессенджера (но его вроде и нет). Зато поиск хороший и он часть одной из самых активных зон в интерфейсе — наверное он решаетт эту проблему.

                                                                                          Grammar Nazi, не желаете ли начать с себя прежде чем беспардонно тыкать в чужие ошибки? Если бы не эта беспардонность я был бы благодарен за указанную ошибку, а так…
                                                                                            0
                                                                                            Это просто идиотизм:
                                                                                            а) искать что-нибудь, чтобы до**аться,
                                                                                            б) не различать опечатки и ошибки.
                                                                                              –3
                                                                                              Вы видели учителя, который за опечатки гладит по головке? Опечатки подчеркиваются красным в браузере и их очень легко поймать, поэтому они менее простительны.
                                                                                                0
                                                                                                Ай ладно.
                                                                                                Хорошо, я не прав, что писать нужно грамотно.
                                                                                                Хорошо, вы правы, что грамотность для идиотов.

                                                                                                Мир, дружба, по головке.
                                                                                          +3
                                                                                          «Писать безграмотно — значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. Нельзя терпеть неграмотных чиновников, секретарей, машинисток, переписчиков и т.д., и т.д.»
                                                                                          0
                                                                                          Интересная программка, очень было бы интересно с ней поиграться!
                                                                                            0
                                                                                            Вы не в курсе, по какой системе работает так называемый «сбор улик»? Однажды я находился на частной квартире, в которой занималась бизнесом одна контора — и туда нагрянули бравые ребята из ОБЭП'а. Они искали так называемые «улики» через поиск в windows (:
                                                                                            Теперь суть: Флешка создается для поиска «улик» по конкретному делу, с конкретными ключевыми словами?

                                                                                            P.S. Поправьте, пожалуйста, «в течение полутора лет»
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                +1
                                                                                                мда, прежде чем писать — какая крутая прога и я хочу ей попользоваться — нужно скачать было и попользоваться ей.
                                                                                                Я скачал, посмотрел, удалил.

                                                                                                Анализатор системы от nod32 (который кстате бесплатный esetnod32.ru/download/sysinspector.php ) для меняя более информативен, чем эти текстовые файлики которые создаются с отчетом.

                                                                                                Ну собрал он инфу о службах, какие процессы работают сейчас, сетевую информацию, про устройства, и еще всякую фигню которая доступна из «панели управления».

                                                                                                Сохранил просто весь реест, диспетчер устройств, службы, ipconfig /all и еще мелочь — в текстовый файл. Круто просто :)
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    0
                                                                                                    Брат да ты крут, уважаю… таких мало в нашей стране, ты главное продолжай, где, 1.5 там и 20 тб, люди это ценят
                                                                                                      +1
                                                                                                      1.5Тб за 20 дней на закрытых трекерах(не 0-day)? Мне кажется, что ты преувеличиваешь.
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      0
                                                                                                      Ну вот, а ещё говорят, что у Microsoft нет опыта по сбору конфиденциальной информации )))
                                                                                                        0
                                                                                                        Не знаю что Microsoft имеет ввиду под уликами, но скорее всего скачать можно историю посещения браузеров, историю общения в клиентах по типу icq, skype и определенные файлы (ясен перец что не все автоматом, а только выборочно). Это не новинка, создать флешку-граббер не так сложно. К примеру, есть публикация в журнале Хакер за август этого года («Злобный комп и флешка-граббер» называется) — там описано как сделать флешку-граббер которя соберет такую инфу при подключение через интерфейс USB. Софтина писалась на С#, ганяет по папкам/ключам реестра где программы хранят пароли и все необходимое — и сбрасывает в определенную папку. Вариаций много, но все это реально и не сложно.

                                                                                                        З.Ы. Возможно об этом више писали уже, не читал все комментарии.
                                                                                                        З.Ы.Ы. Хотелось бы заиметь эту тулзу от Майкрософта и все же потестить ее ;)
                                                                                                          0
                                                                                                          В User Guide for COFEE на 43 странице приведен перечень команд одного из режимов работы. Можно прикинуть какая информация собирается тулзой.
                                                                                                            0
                                                                                                            съелась ссылка
                                                                                                            https://docs.google.com/fileview?id=0B_WRL-kfrlWYZDkwZjg4ZGYtNzM1ZS00YmJiLWJiZGUtZDRhODYyOGEyMWE5&hl=ru
                                                                                                              0
                                                                                                              Да, продвинутым поиском в registry или бинарниках судя по всему речи и вправду не идет.
                                                                                                              0
                                                                                                              forum.0day.kiev.ua/index.php?showtopic=142450
                                                                                                              Может уже писалось выше конечно, но вот уже во всю вылаживают…

                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                              Самое читаемое