COFEE: много шума из ничего
АрхивСофтерраВ начале ноября в Сеть утекла одна из самых таинственных разработок Microsoft - утилита COFEE, предназначенная для извлечения улик с ПК при помощи флэшки. Мы установили программу и не нашли в ней ничего особенного.
В начале ноября в кругу внимательно следящих за собственной информационной безопасностью пользователей возник нездоровый ажиотаж вокруг утекшего в Интернет криминалистического программного обеспечения COFEE (сокращенно от Computer Online Forensic Evidence Extractor). Того самого, слухи о существовании которого начали распространяться и будоражить сетевую общественность весной прошлого года, и о необычайных возможностях которого писали многие новостные агентства. Сообщалось, что к созданию таинственного продукта приложила усилия корпорация Microsoft, и что сварганенный ею комплекс, будучи записанным на флэш-накопитель, способен мгновенно копировать цифровые улики с любого компьютера, дешифровать пароли и собирать все необходимые для последующей экспертизы сведения о владельце ПК. Приводились также и другие сведения о COFEE, общий смысл которых сводился к тому, что у правоохранительных органов появился мощный инструмент для борьбы с преступниками, который они обязаны беречь как зеницу ока, как табельное оружие. Не уберегли.
В стремлении хоть одним глазком взглянуть на сверхсекретное оружие спецслужб, мы скачали одну из гуляющих по файлообменным сетям сборок COFEE, предварительно проверили её антивирусом, установили на флэшку, поигрались с последней пять минут и... вышли из образа отважного Брюса Уиллиса, отложив портативный носитель в сторону. На поверку наделавший много шума инструмент оказался обычным приложением для сбора информации о компьютере, операционной системе, пользовательских настройках, запущенных процессах и прочих технических сведениях, агрегировать и обрабатывать которые умеет любая другая программа, выполняющая анализ ПК и генерирующая на основе извлеченных данных всевозможные отчеты.
Единственный плюс COFEE - простота использования: воткнул в Flash-диск в USB-порт, запустил исполняемый файл, подождал, пока программа завершит сканирование компьютера (а делает это она, действительно, очень быстро), извлек устройство и перешёл к следующему ПК с открытым административным доступом. Таким образом при определенной сноровке можно обойти сотню машин, затратив минимально возможное время на сбор необходимых сведений. Не случайно создатели утилиты рекомендуют использовать для работы с приложением флэшку объёмом от двух гигабайт - меньшего пространства для инвентаризации всего парка компьютеров крупной организации может не хватить.
Если говорить о минусах, то их у программного продукта хоть отбавляй. Во-первых, сканирующий модуль умеет запускаться только на компьютерах с Windows XP. В других операционных системах Microsoft он сбоит и выдает ошибки. Во-вторых, рапорты COFEE генерирует только в формате HTML, а для того чтобы их составить, нужно на вкладке Report основной программы вручную проставлять пути к каждому сохраненному на флэшке отчёту. Автоматизированных средств для выполнения этой задачи не предусмотрено. Наконец, третья ахиллесова пята - скромные аналитические возможности, ставящие засветившуюся в торрентах "кофейную" утилиту на ступеньку ниже аналогичных инструментов. Все эти недоработки вкупе с таким ненадежным источником данных, как файлообменные сети, ставят под сомнение практическое использование приложения COFEE, возможности которого непомерно раздуты прессой и обывателями, и - самое главное - непонятно с какой целью.
Программное обеспечение, упомянутое в этом материале, протестировано на мобильном компьютере Packard Bell EasyNote TN65.