Derrubaram Café na mesa

As listas de Segurança de Informações e Perícia foram sacudidas nesses dias com a notícia do "vazamento" do COFEE. Esse produto foi criado pela Microsoft e distribuído sem custo para Law Enforcement (basicamente, polícias). O vazamento acabou com a enorme aura que foi criada em torno desse produto.

No início, o burburinho era tanto que se acreditava que a Microsoft tinha criado uma super ferramenta para policiais, com tecnologia super nova e avançada. Segundo alguns, a restrição para distribuição apenas a LE era para impedir que detalhes da solução chegassem aos criminosos, e com isso pudessem impedir que contramedidas fossem criadas. Como diz o velho ditado de que segredo só é segredo enquanto apenas dois sabem, a estratégia de segurança por obscuridade provou não ser eficaz novamente. Por algum modo ainda não claro, o COFEE caiu na rede e está em tudo que é torrent por aí.

Esse episódio gerou uma grande quantidade de críticas assim que as pessoas puseram as mãos no produto. Findo o encanto, descobriram que não se trata de uma super-tecnologia nem algo de outro planeta, e agora passam a criticar o produto, taxando-o de simplório. Na minha opinião, quem o critica não entendeu bem o objetivo do produto. Para demonstrar isso, vou comentar um pouco mais de como ele funciona.

Para início de conversa, o COFEE realmente não é nada de novo. Pelo menos na sua idéia mais básica, já existem outros produtos que fazem a mesma coisa. O COFEE é, na sua essência, um produto para serializar comandos e colher os resultados, para depois serem analisados. O foco desses comandos é o que chamamos de dados voláteis, onde procuramos relacionar o estado da máquina e, posteriormente, analisar o resultado em busca de entender o ocorrido. Olhando dessa forma, o COFEE pode ser facilmente comparado a vários produtos estudados aqui no blog, incluindo o WFT e o FRUC/FSP. Todos rodam uma série de comandos e utilitários, captam as informações voláteis e geram reports finais para serem analisados. Onde o COFEE se diferencia ?

- O COFEE possui dois módulos. Um deles, com interface gráfica, é um módulo de administração. Possui duas funções principais: a geração de ferramentas e a exibição dos relatórios colhidos. A parte de geração de ferramentas é bastante inteligente. Enquanto que o WFT e o FSP configuram as ferramentas e comandos através de arquivos de configuração, o COFEE faz isso nessa interface gráfica. Com isso, é possível gerar um pendrive específico para cada caso a ser tratado, fazendo o seu uso na hora do incidente muito mais direcionado do que os outros. É lógico que esse mesmo comportamento pode ser obtido nos outros através da edição dos arquivos de configuração, mas no COFEE isso é muito mais automatizado e simples. Os comandos e utilitários podem, inclusive, ser alterados, e novos podem ser cadastrados;

- A montagem de grupos de comandos e utilitários pode ser salva no que o COFEE chama de Profiles. Com isso, pode-se selecionar rapidamente um profile específico a um incidente, criar o pendrive e usá-lo. Por exemplo, o time de policiais vai realizar uma operação que envolve apreender computadores de uma quadrilha que faz phishing; um profile específico para isso, contendo ferramentas que busquem vestígios de criação de phishing, deve ser elaborado e selecionado. Caso haja outra ocorrência semelhante, basta que o profile seja usado na geração do pendrive, ganhando bastante tempo. Novamente, essa funcionalidade pode ser obtida por outros modos no WFT e no FSP, mas levaria mais tempo.

- O módulo de relatórios possui alguns pré-montados que permitem correlacionar dados coletados por ferramentas distintas, algo que no WFT e no FSP precisaria ser feito "na mão", durante a análise;

- A documentação do COFEE é excelente, e torna o uso do programa extremamente simples;

- O uso do COFEE (pendrive gerado) na captura dos dados voláteis foi concebido para ser o mais simples possível. Realmente o é, e isso faz a ferramenta atingir o seu objetivo, de ser usada por pessoas que não tenham tantas noções de tecnologia. Basta inserir o pendrive no USB da máquina a ser investigada e pronto. Ele vai seguir em frente sem maiores interações. Os outros produtos que atuam nesse segmento necessitam de alguma interação com o usuário, algumas na forma de parâmetros, e isso no fim das contas pode requerer alguém com conhecimento prévio.

- Há alguns documentos de testes do COFEE dentre a documentação, indicando que o produto passou por inspeções diversas;

Parte ruim da estória

Sim, não se pode esperar que tudo seja perfeito. O COFEE tem algumas partes que não agradam:

- Não vi nenhuma opção de mandar os resultados coletados pela rede, como no caso do WFT e FSP, que usam o netcat. Os dados coletados são gravados no pendrive com as ferramentas;

- Como em qualquer caso de coleta de dados live, a máquina pode estar comprometida com rootkits que podem esconder dados importantes e também se ocultarem no processo. Logicamente, isso afeta a qualquer produto dessa natureza e não apenas ao COFEE;

- Os pendrives gerados e usados na coleta (chamados de runners) podem ser infectados e, na volta, acabar infectando também as estações onde os resultados são analisados. Nesse ponto, há uma estratégia de contorno interessante: Usar pendrives U3, colocando o conteúdo gerado pela interface do COFEE na porção CD do pendrive. Essa parte, além de ficar read-only durante o uso, poderia monitorar o que pode ser gravado no restante do pendrive, reduzindo o risco de trazerem malware para casa;

- A política de distribuição restrita aos LE. Eu posso entender os motivos, e em parte até concordar com eles. A prática, entretanto, só tem confirmado que esses segredos são difíceis de serem contidos e acabam por aumentar o interesse em sua divulgação. Essa prática também pode impedir o peer-review, tão importante nas validações forenses de técnicas e ferramentas.

Como eu disse anteriormente, quem critica o produto não o entendeu. Ele foi feito para fazer a mesma coisa que outros já faziam, mas de maneira facilitada, procurando ser acessível e operado mesmo por um policial sem conhecimento nenhum de Forense Computacional ou Resposta a Incidentes. Esse papel ele cumpre muito bem.

Alguém já usou o COFEE em uma situação real ? Saberiam dizer se as Polícias brasileiras também receberam o produto ? Comentem !

Até o próximo post !