O assunto COFEE continua rendendo nas listas de discussão internacionais e também nacionais. Em uma das mensagens, Rob Lee (SANS, Mandiant) revela que conversou diretamente com alguém da equipe de desenvolvimento da ferramenta. Ao que parece, o motivo de colocar a ferramenta com distribuição apenas a LE não foi uma tentativa de "segurança por obscuridade", como muitos acreditaram (e que comentei aqui no blog). Dentre o grupo de ferramentas do COFEE há algumas destinadas a obter passwords da máquina, com ação comparável ao conhecido pwdump. A estratégia da Microsoft foi fazer a limitação por conta de evitar embaraços legais e processos pela existência dessas ferramentas. Ainda que o conteúdo tenha vazado, a estratégia aparentemente garante a defesa.
Outros pontos comentados:
- A ferramenta não é "Forensically Sound", ou seja, não trabalha dentro de métodos forenses aceitáveis em juízo. Isso não é nenhuma surpresa, até porque a ferramenta é destinada a Resposta a Incidentes, o que torna certas críticas sem sentido;
- Alguns a estão chamando de "Sysinternals Reloaded", mencionando que é apenas uma reunião de utilitários da Sysinternals. Vimos na avaliação anterior que não é apenas isso;
- Muitos comentam da inabilidade do COFEE de usar a rede para mandar as informações coletadas, assim como comentamos. O uso de um pendrive também é criticado, já que ele deixa marcas no registry. Particularmente, não apoio a questão da preferência por CDROM ao invés de pendrive. Um drive de CDROM nem sempre está disponível em máquinas, ao passo que praticamente todas tem entrada USB. Além disso, a existência da entrada no registry pertencente ao pendrive da investigação é facilmente documentável, do mesmo modo como precisamos inserir um processo na memória quando precisamos capturá-la. Se tudo está bem documentado, então pode ser logicamente explicado.
Alguém gostaria de complementar, comentando ?
Apenas para reforçar, gostaria de deixar claro que este artigo não tem, em nenhum momento, a intenção de induzir pessoas a procurar o produto, baixá-lo e usá-lo. Como a licença é LE, ao fazê-lo não sendo de uma força policial, o uso poderia ser considerado irregular e pirataria.
Até o próximo post !
Nenhum comentário:
Postar um comentário