Cofee: Bedrohung oder Panikmache?

Bootbar und ungesperrt!

Cofee (Computer Online Forensic Evidence Extractor) wurde von Microsoft schon im April 2008 vorgestellt. Eine eigens für Cofee eingerichtete Webseite informiert jedermann über Cofee.  Das irgendwer die Software nun in eine öffentlich zugängliche aber illegale Tauchbörse gestellt hat, bringt das Tool in die Schlagzeilen. Zwar berichten Spiegel oder  Manager-Magazin durchaus sachlich und beziehen sich auf eine Untersuchung der c’t, doch leider lesen die wenigsten Menschen wirklich immer alle Artikel vollständig. Denn eigentlich kann Coffee nichts Spektakuläres oder gar Bedrohliches.

Was macht Cofee?
Das Programm wird auf einen USB-Stick installiert. Per Autorun startet beim Einstecken das Programm. Dieses führt nun diverse kleine Tools automatisch der Reihe nach aus und stellt die gesuchten Informationen in einer Datei zusammen, die auf den USB-Stick kopiert wird. Diese kann man sich dann gemütlich im Webbrowser anzeigen lassen.

Laut c’t handelt sich aber keineswegs um  Programme, die revolutionäre Techniken zum Auslesen geheimer Daten beinhalten. Vielmehr sind die Tools überall frei zugänglich bzw. sogar auf den PCs vorhanden – also Standardtools. Sie sind einfach nur alle zusammen und werden der Reihe nach gestartet.

Voraussetzung für Cofee:
Damit Cofee überhaupt loslegen kann, sind einige Dinge auf dem Zielrechner  Voraussetzung:

• Autorun für Wechseldatenträger muss aktiv sein
• Ein User muss am Rechner angemeldet sein. Gesperrte PCs sind tabu!
• Der User-Account braucht diverse Rechte um überhaupt USB-Geräte zu installieren, bestimmte Tools zu starten usw.
• Lediglich Windows XP wird aktuell unterstützt (angeblich)

Der große Vorteil des USB Stick  Schnupper Tools Cofee liegt in der leichten Bedienbarkeit. Damit sollen Ermittler mit weniger ausgeprägtem iT-Wissen in die Lage versetzt werden, einfach eine erste Analyse von Systemen zu machen.

Keine ...

Macht das Tool Sinn?
Aus meiner Sicht nicht wirklich, denn Forensic ist das aus meiner Sicht eher nicht. Da einige Tools aus der Cofee Sammlung sogar die Harddisk beschrieben. Denn eigentlich ist die Ausführung von Programmen am Target System selbst absolut ungeeignet um vor Gericht als Beweis bestehen zu können.

Sinniger ist es, ein Speicherabbild  und von der Platte ein Image für die Untersuchung zu erstellen, um das Original nicht zu verändern. Aber ich bin mir sicher, dass es bei der Polizei durchaus solche Untersuchungen gibt.

Wo ist die Gefahr?
Cofee selbst ist also keine Bedrohung. Viel eher ist es eine Gefahr, was diese Idee hinter Cofee auslösen kann. Neue Hackertools oder Viren, die sich der Idee hinter Cofee bedienen und ganz andere Tools starten.