miércoles, 21 de mayo de 2008

MS COFEE, ayudando en la lucha contra el Cibercrimen

Atendiendo a una petición que me hicieron a través de un comentario, hago este post para intentar arrojar algo de luz sobre este conjunto de herramientas que Microsoft ha consolidado en un dispositivo tipo USB y que está siendo proporcionado a diferentes cuerpos de seguridad para la ayuda en casos forenses, en lucha contra el cibercrimen.

En primer lugar decir que esta idea no es nueva y numerosas aplicaciones del mercado, como Windows Forensics Toolchest, incorpora una serie de aplicaciones free, que tienen como objetivo obtener y presentar información importante, extraída de un sistema opertativo Windows. Cofee (Computer Online Forensics Evidence Extractors), agrupa un conjunto de más de 100 aplicaciones que extraerán información de la máquina y presentarán la información, de forma que su análisis pueda ser más rápida, que los procedimientos que a día de hoy siguen los diferentes cuerpos de seguridad del estado.

Uno de los enfoques principales de la herramienta, es la de obtener información de aquellos elementos considerados como volátiles y que de una u otra forma pudieran perderse al trasladar la máquina al laboratorio o simplemente apagarla para realizar el clonado del disco. Siguiendo los protocolos para la recogida de evidencias, se establece la necesidad de obtener en primera instancia todas aquellas evidencias susceptibles de perderse y no poder ser recuperadas. Muchos cuerpos de seguridad del estado en todo el mundo, deshechan la información presente en la memoria principalmente por tres características importantes:
- Falta de tiempo para realizar análisis de toda la información de la máquina.
- Complejidad de las herramientas y procedimientos para el análisis de la memoria.
- Problemática de procedimientos legales.

La herramienta ha ido madurando poco a poco en Microsoft, la idea surge en el año 2006 y se concretó ya en pruebas desde el año pasado. La herramienta en sí, en contra de diferentes comentarios que he leído a lo largo de estos días, solo revela información que pueda ser accedida mediante otros procedimientos, y no permite el acceso a datos cifrados con sistemas como EFS o Bitlocker en modo offline. Incorpora aplicaciones de Sysinternal, comandos windows, analizadores de registro, etc., pero ninguna herramienta considerada como nueva para investigaciones de tipo forense.

Aunque la herramienta permite la obtención y presentación de evidencias de forma sencilla, nos encontramos que en los procedimientos legales de muchos países para la toma de evidencias, impiden el uso de elementos online (para evitar que usos indebidos puedan modificar o alterar las evidencias), requiriendo siempre partir del estudio de las evidencias, obtenidas a través de la clonación de los sistemas de almacenamiento sujetos a investigación.

Luego por poner un ejemplo nos encontramos casos como los análisis de máquinas en cibercafé que utilizan aplicaciones tipo Diskfreeze, que utilizas este tipo de herramientas o despídete de conseguir alguna evidencia válida. Es en esto entorno donde Cofee puede ser más vital.

Yo desde mi punto de vista y conociendo de primera mano los esfuerzos y problemas a los que se enfrentan habitualmente los diferentes Cuerpos de Seguridad del Estado en este país, considero importantísima esta iniciativa (como otras tantas que se ponen en marcha) por parte de Microsoft, para disminuir los tiempos de análisis en investigación, permitiendo cribar mejor la información importante de la trivial. El problema que se planteará en un futuro no muy lejano es si la herramienta será judicialmente válida en los diferentes países en los que podría utilizarse.

2 comentarios:

Anónimo dijo...

Gracias Juan,

Muy buen post...

SALU2
Victor

Anónimo dijo...

Interesante, sabes donde conseguirla y algun tutorial en español ?