Hace un par de días, leía en el blog de Enrique Dans que al parecer, Microsoft ha proporcionado a más de 2,000 policias en 15 paises un pequeño dispositivo USB llamado COFEE (Computer Online Forensic Evidence Extractor) que contiene unas 150 herramientas, y que conectado a un equipo Windows en funcionamiento permite obtener fácil y rápidamente datos para un análisis forense: datos de actividad en Internet, registros, y contraseñas y datos cifrados con BitLocker, el programa de cifrado de Windows Vista (entiendo que obtendrá datos y contraseñas residentes en memoria volátil sin cifrar, aunque Internautas afirme sin más que “permite a los investigadores acceder a todos los documentos, incluso aunque hayan sido cifrados”).
Esto ha levantado al parecer un pequeño revuelo en Internet, y aunque no es mi estilo, he de afirmar que la ignorancia es muy atrevida. Personalmente, no soy ni amigo íntimo ni enemigo acérrimo de Microsoft; tiene sus cosas buenas, y sus cosas malas, básicamente como cualquier gran empresa; aquello de Don´t be evil pasó a la historia. Pero esta me parece, al contrario de lo que muchos opinan, una buena noticia, por mucho que algunos se hayan llevado las manos a la cabeza y hayan puesto el grito en el cielo invocado las libertades civiles.
No me extenderé demasiado porque este es un tema que me parece obvio. El dispositivo proporcionado es una herramienta de análisis forense para un sistema (Windows) que resulta opaco en muchos sentidos, y más para personal policial no siempre especializado en delitos tecnológicos. No es, por supuesto, una puerta trasera que pueda ser utilizada indiscriminadamente sin conocimiento del usuario. Tampoco permite hacer cosas que no se puedan hacer en otros sistemas, simplemente las aglutina y las facilita. Es simplemente algo que, utilizado bajo una orden judicial y presencialmente, permite obtener información del sistema rápida y sistemáticamente; como utilizar una cámara de fotos en el lugar de un asesinato, antes de que limpien la sangre.
Nada más y nada menos. ¿Ustedes qué opinan?
[Fuentes originales en NYT y Seattle Times]
Estoy contigo en parte. Estoy de acuerdo en que el tema se ha sacado de madre y que hablar de puerta trasera es no saber qué es. El problema lo veo en su uso y abuso pero, como todo, querer abrazar el aire es imposible. Si se restringe al ámbito policial está bien y no hace más que facilitar el trabajo a ciertas personas. De todas formas, creo que se ha generado tanta polémica por venir de dónde ha venido, si fuera una herramienta de cualquier otra empresa estaríamos hablando maravillas.
La cuestión quizá, si me apuras, puede ser el enfoque restringido de distribución de la herramienta, pero eso es típico de la política de Security thru obscurity de Microsoft. Herramientas de análisis forense que puedan utilizarse (y abusarse) las había ya a patadas, simplemente Microsoft quiere dar su puntilla corporativa, y de paso hacer algo de ruido y ganarse alguna amistad a nivel político.
En el fondo Microsoft no deja de ser una empresa privada que, para obtener los máximos beneficios posibles, vende sus productos al mejor postor. Por cierto, seguí tu enlace hacia Enrique Dans y lo que no entiendo es el revuelo que se ha montado por una opinión más.
¿Y qué ocurre si yo, como experto forense, quiero analizar un sistema Windows que ha sido comprometido? Todos sabemos que la mayor parte de incidencias no salen a la luz, se quedan de puertas para adentro, se investigan, y en caso de ser necesario se acude a los tribunales (sobre todo en procedimientos laborales). ¿Por qué las fuerzas y cuerpos de seguridad del estado tienen facilidades para su trabajo y yo no?
Desconozco el funcionamiento del USB y si realmente aprovechará “puertas traseras”, lo que está claro es que los expertos forenses, peritos informáticos, etc. que no trabajamos para estas entidades, partimos en desventaja.
Seguridad para todos.
Efectivamente, yo casi diría que el principal problema de la herramienta es que es accesible a unos pocos, y no a nivel general. Eso pondría en igualdad de condiciones al personal de seguridad no sólo con la policia, sino con aquellos “black hats” que han tenido acceso a la herramienta, y lo que es más importante, permitiría, seguramente a través de ingeniería inversa, aportar claridad sobre qué guarda Windows sobre nosotros (algo que no es moco de pavo).
Por lo demás, se supone que la herramienta está pensada para personal de seguridad no especializado, y para facilitar la captura de datos “en caliente”, por lo imagino que en casos de análisis forenses por cuestiones de intrusión o personal especializado, tiene menos importancia.
Al final para viajar tendremos que llevar una Open BSD, en un mini portatil.
O llevar los datos en una memoria USB.
No es que la gran masa lleve secretos, es que eso de que te dejen con la sensación de ninguna privacidad imagino debe dejarte muy mal sabor de boca.