Alfonso Maruccia

Troppo COFEE rende Microsoft nervosa

Il colosso statunitense sguinzaglia i suoi legali nel tentativo di rintuzzare il suo tool forense. Un download finisce offline, milioni continuano a proliferare indisturbati sulle reti di P2P: quel che conta è il principio

Roma - I buoi del pasticciaccio COFEE sono scappati da un pezzo, ma Redmond prova lo stesso a chiudere la stalla per mitigare i danni e riaffermare i propri diritti sul software in oggetto. Dopo il clamore provocato dalla distribuzione non autorizzata del celeberrimo tool per le investigazioni informatiche, almeno uno dei protagonisti paga le spese della divulgazione. Senza risolvere nulla all'atto pratico, visto che il software ormai è in circolazione.

La minaccia legale di Redmond si abbatte sui server di Cryptome.org, sito web che come altri aveva messo a disposizione il download del tool una volta che questo era sostanzialmente diventato di pubblico dominio attraverso le reti P2P. Nella fattispecie la minaccia si è concretizzata nella forma di una "Richiesta di Rimozione Immediata" ("Demand for Immediate Take-Down") indirizzata a Network Solutions, che fa appunto da host per i server di Cryptom.org.

Costretti a fronteggiare la disconnessione forzata a causa di un singolo download, i responsabili del sito hanno acconsentito alla rimozione del tool mettendo poi in linea la corrispondenza pertinente alla richiesta dei legali Microsoft. Tolto di mezzo un download, a ogni modo, COFEE rimane disponibile in Rete a chiunque sappia far partire un client di file sharing e abbia pochi minuti da perdere per tirarlo giù e installarlo su una chiavetta USB.
Come ha in seguito precisato l'ufficio di Richard Boscovich, avvocato in forze all'Internet Safety Enforcement Team di Microsoft, l'iniziativa di take down non è d'altronde indirizzata a far sparire COFEE dalla intera Internet (cosa a questo punto più che impossibile per i decenni a venire) quanto piuttosto a ribadire il concetto che il software marcato Microsoft lo distribuisce solo Microsoft, e che i rivenditori autorizzati e la "pirateria" digitale non pagano: mai.

Microsoft si preoccupa poi di mettere in guardia gli utenti dalle versioni di COFEE circolanti online (una delle quali presenta l'installer modificato), perché "qualsiasi tecnologia non autorizzata può non essere quello che sostiene di essere" e può riservare sorprese alquanto spiacevoli all'ignaro utente-downloader.

Le forze di polizia di tutto il mondo - l'utenza naturale di COFEE - stiano infine tranquille: il punto forte del tool non è la sua segretezza (si tratta pur sempre di un semplice bundle di 150 applicazioni già note) ma la praticità e la facilità di impiego da parte degli investigatori meno smanettoni e tecno-dotati. Per cotali soggetti COFEE rimane accessibile - gratuitamente - attraverso i tradizionali canali del NW3C o dell'Interpol.

Alfonso Maruccia
Notizie collegate
11 Commenti alla Notizia Troppo COFEE rende Microsoft nervosa
Ordina
  • Ho letto sulla pagina di WP inglese, sulla pagina ufficiale MS (oltre a questo articolo ovviamente), ma non s'è trovata in sostanza spiegazione di COME sta pennetta funziona.
    1) Contiene un autorun.inf come quello che viene creato da tutti i virus che finiscono sulla pennetta di mia sorella non appena li mette su un pc dell'università, e quindi è inefficace su un pc con l'autoplay disattivato?
    2) Contiene un sistema avviabile che dopo l'hard reboot del sistema raccoglie automaticamente le informazioni necessarie, e quindi è completamente inefficace se il sistema è crittato ad esempio con TC?
    3) Contiene un applicativo che va eseguito manualmente e lancia nell'ordine opportuno tutti questi sensazionali comandi che quindi iniziano a ravanare nel sistema, e quindi non serve a niente se il pc è bloccato sulla schermata di login?
    4) Varie ed eventuali che non mi vengono in mente, che lo rendono comunque inutile per altri eventuali e vari motivi?

    Nell'articolo si cita un installer... ma perché st'applicativo va pure installato sul sistema da verificare? Mah.
    -----------------------------------------------------------
    Modificato dall' autore il 27 novembre 2009 22.25
    -----------------------------------------------------------
  • - Scritto da: ephestione
    > Ho letto sulla pagina di WP inglese, sulla pagina
    > ufficiale MS (oltre a questo articolo
    > ovviamente), ma non s'è trovata in sostanza
    > spiegazione di COME sta pennetta
    > funziona.

    Non ho letto nulla (a parte l'articolo), ma da quello che ho capito io è la 2. I dettagli dopo.

    > 1) Contiene un autorun.inf come quello che viene
    > creato da tutti i virus che finiscono sulla
    > pennetta di mia sorella non appena li mette su un
    > pc dell'università, e quindi è inefficace su un
    > pc con l'autoplay
    > disattivato?

    quindi, se tu hai un cd con autorun su un pc senza autorun non sei capace di farlo partire. ah, però.

    > 2) Contiene un sistema avviabile che dopo l'hard
    > reboot del sistema raccoglie automaticamente le
    > informazioni necessarie, e quindi è completamente
    > inefficace se il sistema è crittato ad esempio con TC?

    visto che il 3% (a essere ottimisti) degli utenti crittano i propri computer, direi che rimane un bel po' di margine con il restante 97%


    > 4) Varie ed eventuali che non mi vengono in
    > mente, che lo rendono comunque inutile per altri
    > eventuali e vari
    > motivi?

    cos'è, trollaggio allo stato puro?

    > Nell'articolo si cita un installer... ma perché
    > st'applicativo va pure installato sul sistema da
    > verificare?

    no, la pen usb sulla quale lo vuoi usare deve essere resa avviabile (bootabile in italiano).
    pippuz
    1260
  • - Scritto da: pippuz
    > quindi, se tu hai un cd con autorun su un pc
    > senza autorun non sei capace di farlo partire.
    > ah,
    > però.

    Capisci na segaCon la lingua fuori
    pc acceso ma bloccato con password, E disco crittato, il proprietario si rifiuta di fornire le credenziali di accesso, il baldo rappresentante della legge mette la pennetta comunque, con finestra di accesso attiva, ma sul pc è disattivato l'autoplay.
    Capisci?

    > visto che il 3% (a essere ottimisti) degli utenti
    > crittano i propri computer, direi che rimane un
    > bel po' di margine con il restante
    > 97%

    ...e comunque dopo che riavvii i pc non crittati del 99.5% (percentuale più realistica) delle persone che non lo hanno crittato, non puoi più fare alcun dump dei dati in ram

    > cos'è, trollaggio allo stato puro?

    già

    > > Nell'articolo si cita un installer... ma perché
    > > st'applicativo va pure installato sul sistema da
    > > verificare?
    >
    > no, la pen usb sulla quale lo vuoi usare deve
    > essere resa avviabile (bootabile in
    > italiano).

    e dove sull'articolo o altrove hai ottenuto questa informazione (escludendo il tuo innato fiuto per i dettagli occultati?)
    La mia domanda era proprio quella, come funziona, e dove sta scritto?
  • > Capisci na segaCon la lingua fuori
    > pc acceso ma bloccato con password, E disco
    > crittato, il proprietario si rifiuta di fornire
    > le credenziali di accesso, il baldo
    > rappresentante della legge mette la pennetta
    > comunque, con finestra di accesso attiva, ma sul
    > pc è disattivato
    > l'autoplay.
    > Capisci?

    capisco, non mi ero posto il problema. "a occhio" riavvii e perdi applicazioni e dati in ram in quel momento, se la persona "indagata" non stacca prima la spina.

    > ...e comunque dopo che riavvii i pc non crittati
    > del 99.5% (percentuale più realistica) delle
    > persone che non lo hanno crittato, non puoi più
    > fare alcun dump dei dati in ram

    ero ottimista sui dati.Con la lingua fuori

    > e dove sull'articolo o altrove hai ottenuto
    > questa informazione (escludendo il tuo innato
    > fiuto per i dettagli occultati?)

    hai escluso quello, l'intuito. a oggi, per installarti più o meno qualsiasi cosa su una chiavetta, devi renderla avviabile, o con scriptino o con programmino. essendo MS, programmino.
    pippuz
    1260
  • - Scritto da: pippuz
    > capisco, non mi ero posto il problema. "a occhio"
    > riavvii e perdi applicazioni e dati in ram in
    > quel momento, se la persona "indagata" non stacca
    > prima la
    > spina.

    Nemmeno, perché nell'esempio la persona indagata era smaliziata ed aveva crittato il disco, ed il baldo rappresentante della legge riavviando il pc fa il suo gioco, a meno che prima non spruzzi ghiaccio secco sulla ram per rimuoverla e farne un dump con hardware esterno specializzato, ravanandola per scoprire la chiave di decrittazione e finalmente portare a galla le foto dell'album personale dell'indagato, risalenti a quando aveva tre anni e correva sulla spiaggia con l'ombelico al vento, così da poterlo incastrare tramite sporchi e loschi traffici d'informazione, per nientemeno che pedopornografia di sé stessoPerplesso
    -----------------------------------------------------------
    Modificato dall' autore il 28 novembre 2009 20.54
    -----------------------------------------------------------
  • esistono corsi di informatics forensics per rispondere alle tue domandeOcchiolino
    non+autenticato
  • si dice computer forensicsCon la lingua fuori
  • 1) C'è poco da ridere: è stata denunciata una minorenne americana e le foto erano le sue!
    2) Per fortuna TC non ha più la pwd in chiaro dalla 4.qualcosa
  • e perché, pensavi che io lo dicessi per ridere? ormai la pedopornografia è diventata la scusa per sbattere dentro gli indagati per tutto il tempo necessario a raccogliere le prove per il caso principale...
  • è la 1, non solo basta non avere l'autorun attivo, ma qualsiasi firewall o anti malware ti rileva talmente tante attività virus-like che l'unico modo per riuscire a farlo funzionare è disabilitare tutto...
    non+autenticato
  • Minacciare la sparizione di un intero sito per un file è assurdo!
    Tra l'altro adesso dice che il file potrebbe essere farlocco.

    Fa terrorismo insommaA bocca aperta
    Sgabbio
    26177