http://www.zdnet.de/security/news/0,39029460,39190286,00.htm

Unter der Bezeichnung Computer Online Forensic Evidence Extractor (Cofee) stellt Microsoft außerdem ein Werkzeug für den Einsatz am Tatort vor. Cofee ist ein USB-Stick, der Computer nach möglichen Beweisen durchsucht, die beim Ausschalten verloren gehen könnten. Das Tool wurde in Zusammenarbeit mit einem ehemaligen Polizisten aus Hong Kong entwickelt, der heute für Microsoft arbeitet

http://www.news.com/8301-10784_3-9930664-7.html

Imo ist das Ding zweischneidig wie jedes Sicherheitstool.

Im vorgesehen Einsatz, ok.
Aber wann schnüffelt damit der Chef der Kollege oder oder..

Nur wieder ein Beweis alles mit nicht MS Software zu verschlüsseln.

Lustig. Der Hersteller eines Produkts bietet Werkzeuge an, um die Privatsphäre der eigenen Kunden zu verletzen.
Wenn Micros~1 Tresorhersteller wäre, würden sie wohl auch Kurse zum Schlösser-Knacken anbieten.

Nur wieder ein Beweis alles mit nicht MS Software zu verschlüsseln.

Hmm, wie soll denn z.B. damit eine (Microsoft implementierte) AES-Verschlüsselung geknackt werden? Ich verstehs nicht.

Nur wieder ein Beweis alles mit nicht MS Software zu verschlüsseln.

Nur was bekommst du vom Arbeitgeber auf die Kiste?

MS arbeitet als erstes für sich und vorallendingen für $$$

Hmm, wie soll denn z.B. damit eine (Microsoft implementierte) AES-Verschlüsselung geknackt werden?

das problem an der ganzen sache ist, dass du genau das eben nicht wissen kannst.
vielleicht garnicht. (bei richtiger implementierung)
vielleicht aber auch einfach per backdoor.

Paar Infos mehr...

http://www.schneier.com/blog/archives/2008/04/microsoft_has_d.html

COFEE, according to forensic folk who have used it, is simply a suite of 150 bundled off-the-shelf forensic tools that run from a script.

Wird bei Rechnern ohne Monitor über den Autostart gestartet oder wie?

Gibts ein Tool was USB erst nach Passworteingabe frei gibt? Oder lieber doch gleich ausschalten?:D

AES ist unknackbar, ergo gibts nen Schloss auf der knackbaren Seite. Evtl. nen versteckter Logger.

So ein Tool scheint erst nötig geworden zu sein, seitdem es BitLocker gibt. Das gibt zu denken.

So ein Tool scheint erst nötig geworden zu sein, seitdem es BitLocker gibt. Das gibt zu denken.
Wieso?

Wieso?Weil es nicht verkehrt ist wenn man denk? :|

Weil es nicht verkehrt ist wenn man denk? :|WAS?

Worauf willst du hinaus? Wieso erst "seitdem es Bitlocker gibt?"

WAS?WIE?

Worauf willst du hinaus? Wieso erst "seitdem es Bitlocker gibt?"Gab es das etwa schon eher? Nie was von COFFE gehört. JEtzt ist BitLocker da und jetzt ist auch COFFE da.
Muß nichts bedeuten, gibt mir aber wie gesagt zu denken. Hast du irgendwelche Probleme mit nachdenklichen Menschen?

COFEE ;)

WIE?

Gab es das etwa schon eher? Nie was von COFFE gehört. JEtzt ist BitLocker da und jetzt ist auch COFFE da.
Muß nichts bedeuten, gibt mir aber wie gesagt zu denken. Hast du irgendwelche Probleme mit nachdenklichen Menschen?

"Erst seit Bitlocker" ist schwachsinn. Sry, ist so.

"Erst seit Bitlocker" ist schwachsinn. Sry, ist so.Ja ja. Paßt schon.

Ja ja. Paßt schon.

Also gibts cofee deiner Ansicht nach erst seit Bitlocker?

Ja ja. Paßt schon.
Ok, gute Nacht! :)

Das Tool kann gar nichts entschlüsseln, es kann nur die Daten am laufenden Rechner wenn der User angemeldet ist auslesen.

Was das mit Bitlocker oder der AES verschlüsselung zu tun haben soll ist mir schleierhaft.

Das Tool kann gar nichts entschlüsseln, es kann nur die Daten am laufenden Rechner wenn der User angemeldet ist auslesen.

Was das mit Bitlocker oder der AES verschlüsselung zu tun haben soll ist mir schleierhaft.

natürlich niks, MS ist zwar vieles aber so plump und offensichtlich handelt MS nun garantiert nicht. Dafür sind die bei MS viel zu clever, sowas wird nur mit Zustimmung des Kunden gemacht. (Der stimmt bei richtigem Input von ganz allein zu, da muss man keine mutmaßlichen Lücken, Fallen etc. einbauen)

Das Tool kann gar nichts entschlüsseln, es kann nur die Daten am laufenden Rechner wenn der User angemeldet ist auslesen.Willst du mich verschaukeln? So ein Idiotentool könnte ich selbst schreiben :crazy2:

Das Tool kann gar nichts entschlüsseln, es kann nur die Daten am laufenden Rechner wenn der User angemeldet ist auslesen.Der Markt wird von 4-5 Firmen bestens bedient. Bestens. Die verfügen auch über einen mittlerweile gigantischen Erfahrungsschatz.

Kann mir jemand erklären warum es MS auf einmal nötig erscheint so ein Programm für das FBI zu schreiben? Oder, mal umgekehrt, warum FBI so ein Tool bei MS bestellt/fordert? Welche Defizite der anderen Lösungen soll das Teil ausbügeln?

Hat hier noch niemand etwas von Logik und analytisch-rationalem Denken gehört? (was frag ich blos...)

Es ist für MS natürlich völlig uninterressant in einen neuen markt einzusteigen, und natürlich haben sie überhaupt kein know how wie ihre eigenen Betriebsysteme funktionieren. Ausserdem ist MS von Grundauf böse und wird keine Werkzeuge für die Polizei zur verfügung stellen.

Die Intention dazu schreibt MS hier:
http://seattletimes.nwsource.com/html/microsoft/2004379751_msftlaw29.html

Smith acknowledged Microsoft's efforts are not purely altruistic. It benefits from selling collaboration software and other technology to law-enforcement agencies, just like everybody else, he said.

Willst du mich verschaukeln? So ein Idiotentool könnte ich selbst schreiben :crazy2:
Es geht um Daten die nach dem herunterfahren sonst verloren gingen, das heist bereits gemountete Volumes oder entschlüsslte Bitlocker Partitionen. Das Tool kann nicht auf verschlüsselte Inhalte angewendet werden und bringt auch nichts wenn der PC nicht läuft.

Hier aus dem Heise Artikel dazu:

COFEE enthält 150 Programmbefehle, mit denen automatisch Kennworte entschlüsselt, Daten auf der Festplatte gefunden oder das Internetverhalten des Benutzers analysiert werden können. Damit soll die Zeit entscheidend verkürzt werden, die notwendig ist, um digitale Beweise in einem Computer zu finden und zu sichern. Wozu ein Experte ansonsten mehrere Stunden benötigt, würde COFEE, den man lediglich in den USB-Port stecken muss, nun in 20 Minuten erledigen. Zudem kann der Polizist gleich vor Ort den Computer durchsuchen, so dass er nicht mehr beschlagnahmt und ins Labor mitgenommen werden muss.


Bei "Kennwort verschlüsseln" ist nicht das Bitlocker Kennwort sondern die Office Dokumentverschlüsselung gemeint, die man mit genug Freewaretools entschlüsseln kann.
Ahja und bei Windows Taste + L hat man mit dem tool schon verloren :)

Konzentriert euch nicht so auf den Bitlocker. Der Einwurf des Gastes wäre nur der Grundgedanke. Genauso gut könnte man sagen, daß so ein Tool seitens MS erst nötig ist, seitdem es Vista allgemein gibt.
Wahrscheinlich ist Vista trotz anderen Gebrechen doch das sicherste Windows was es je gab und nun bringt MS einen Tool damit die Arbeit den Forensikern doch nicht schwerer fällt als wenn sie mit XP zu tun hätten.

Es ist für MS natürlich völlig uninterressant in einen neuen markt einzusteigenNein das ist schon verständlich. 2006/2007 51.1 Miliarden Umsatz und 14.1 Miliarden Gewinn. Da wird man einen Markt der insgesamt paar Milionen Umsatz im Jahr abwirft natürlich nicht links liegen lassen.

Dieser neue Markt :crazy2: existiert zwar schon sehr sehr lange, aber schön, daß MS ihn endlich doch noch bemerkt hat. Wie aufmerksam, so plötzlich...

und natürlich haben sie überhaupt kein know how wie ihre eigenen Betriebsysteme funktionieren.Genau das ist die Gefahr. Das know how haben sie nämlch.

Ausserdem ist MS von Grundauf böse und wird keine Werkzeuge für die Polizei zur verfügung stellen.Nein nein. Natürlich biedern sich nur die Guten HomelandSecurity an. Das verstehe ich schon. Da ich auch ein Guter bin habe ich die Kodes für unsere Alarmanlage im Haus bei der Polizei ebenfalls hinterlegt.

Die Intention dazu schreibt MS hier:Ja. Niemand hat vor eine Mauer zu errichten.

Nein nein. Natürlich biedern sich nur die Guten HomelandSecurity an. Das verstehe ich schon. Da ich auch ein Guter bin habe ich die Kodes für unsere Alarmanlage im Haus bei der Polizei ebenfalls hinterlegt.


Hm, auch jede Menge Polizisten in anderen ländern setzen das Tool schon ein, was das mit einem Code zu tun haben soll ist mir schleierhaft.


Es ist lediglich eine Sammlung von Tools die MS zur verfügung stellt um die Suche und Sicherung von Beweisen schneller zu machen. Alles war auch schon davor möglich, nur nicht so schnell oder effizient. Daher kann der Polizist vor Ort den Usb Stick laufen lassen und Beweise sichern, ohne den Verlust von Daten bei Mitnahme des Rechners zu haben.
Nochmal aus dem Interview mit MS:
It also eliminates the need to seize a computer itself, which typically involves disconnecting from a network, turning off the power and potentially losing data. Instead, the investigator can scan for evidence on site.

More than 2,000 officers in 15 countries, including Poland, the Philippines, Germany, New Zealand and the United States, are using the device, which Microsoft provides free.

Und wie gesagt, es funktioniert NUR wenn der nutzer angemeldet und der PC nicht gesperrt ist. Das geht auch unter jedem anderen OS.

Ich verstehe die Aufregung darum überhaupt nicht, aber da scheint wohl ein Pawlowscher Reflex zu griefen.

@BH: Es ist zwar schön und gut, das einige Bedenken gegenüber MS existieren. Man sollte MS genauso vertrauen wie jedem Andern Megakonzern.
Aber einfach Dinge als gegeben hinnehmen, für welche es keine Beweise gibt, währe genauso falsch. Viel zu oft wirs MS als "Villan" hingestellt, und dabei ist dem gar nicht so.

Es ist auch löblich die Augen gegenüber Megakonzernen offen zu halten, solange man dabei die Wahrheit nicht auf der Strecke lässt.

Hm, auch jede Menge Polizisten in anderen ländern setzen das Tool schon ein, was das mit einem Code zu tun haben soll ist mir schleierhaft.

Es gibt einfach Leute, die es nicht lassen können gegen MS zu wettern, und dabei ist denen jede "Schmutzgeschichte" (in Bildklasse) recht. Es währe mir ja auch fast egal, wenn ich nicht immer Kopfschmerzen von solchem Ideotismuss bekommen würde.

@iDiot
Pawlowscher Reflex? :D Du lernst ja immer mehr von mir oder? :up:
Wo hast du die Infos her, daß es mit den Tools von MS besonders schnell und effizient geht?

Jeder Polizeieinsatz verläuft natürlich schneller als man einfach den Stecker ziehen könnte. Sehr sinnvoll.

@AlphaTier
Genauso sehe ich das ja auch. Deswegen ist es auch richtig alle Bedenken und Argumentationen auf den Sieb zu werfen. Wie du bei iDiot soeben gesehen hast, können sich Argumente und Erklärungen schon innerhalb einer halben Seite grundsätzlich oder nur leicht ändern bzw. sogar verfallen. Sowas finde ich also nicht verkehrt ;)
Was mir Kopfschmerzen bereitet sind eher die Leute die für MS so selbstlos und mit dem gesamten Körpereinsatz immer in die Bresche springen sobald irgendein Kritiker vorerst auch nur die Luft holt... Muß man für Technet irgendeinen Eid ablegen?

Immer schön die Augen aufhalten und nicht jedem Mist glauben der in der Zeitung steht. Das wars auch schon.

Erstens ist man bei einer Razzia nicht zwangsläufig Zuhause. (Der Rechner könnte bei einem hardcore Filesharer laufen)
Zweitens überlegt euch doch mal die Käuferschicht und das Marktverhalten.
COFFE ist für Cops und Co. Windows für Jedermann. Man wird es sich nicht mit Jedermann verscherzen wollen, nur um den Cops einen Gefallen zu tun! Soweit habe ich logisch gedacht, und dabei musste ich keine MS-Gebetsmühlen drehen.

Nun könnte man natülich meinen, das ist alles so geheim, davon merkt keiner was. Dann sag ich alles Quatsch, bei einer SW, die Jedermann einsetzt, kommt das früher oder später raus, und dann ist die Kacke aber am Dampfen.

Wenn einer was verstecken kann ohne das es einer mitbekommt, dann ist das Intel und Co., aber darüber regt sich aber keiner auf, da wird sogar noch gelobt wie wenig Strom, die CPU verbraucht, und wie schnell sie doch ist.

@iDiot
Pawlowscher Reflex? :D Du lernst ja immer mehr von mir oder? :up:
Wo hast du die Infos her, daß es mit den Tools von MS besonders schnell und effizient geht?

Das stand in der heise news dazu.

Es ist wie gesagt kein tool um kryptografische probleme zu lösen sondern um auf einem laufenden Rechner der nicht gesperrt ist schnell beweise sichern zu können.
Bei deinem Beispiel mit dem Stecker hat man mit dem Tool schon verloren, da müssen dann andere anbieter ran.

Was daran verwerflich / schlecht oder sonstwas ist kann ich nicht nachvollziehen.

Erstens ist man bei einer Razzia nicht zwangsläufig Zuhause. (Der Rechner könnte bei einem hardcore Filesharer laufen)Seit wann muß man dabei angemeldet bleiben? Man sollte schon lesen was selbst iDiot schreibt.

Es kann doch nicht sein, daß dieses Tool weitgehend nutzlos ist oder? :uclap:

Zweitens überlegt euch doch mal die Käuferschicht und das Marktverhalten.
COFFE ist für Cops und Co. Windows für Jedermann. Man wird es sich nicht mit Jedermann verscherzen wollen, nur um den Cops einen Gefallen zu tun!Sondern?

Wenn einer was verstecken kann ohne das es einer mitbekommt, dann ist das Intel und Co., aber darüber regt sich aber keiner auf, da wird sogar noch gelobt wie wenig Strom, die CPU verbraucht, und wie schnell sie doch ist.Nö garnicht. Es gab ja keine Diksussion darüber, als Intel schon damals einmalige, eindeutige CPU-Nummern einführen wollte.
Was soll jetzt diese schlechte Polemik?

Hej Jungens ich schmeiß mich erstmal wieder ins RL. Wetter paßt. Bis dann mal ;)

Seit wann muß man dabei angemeldet bleiben? Man sollte schon lesen was selbst iDiot schreibt.

Dann ist das MS tool nicht geeignet und der rechner wird beschlagnahmt und ins Labor gebracht.
Das tool ist nur ein schnelles Hilfsmittel und kann keine AES Verschlüsselung knacken oder sonstiges.

Das tool ist nur ein schnelles Hilfsmittel und kann keine AES Verschlüsselung knacken oder sonstiges.Davon spreche ich auch mit keiner Silbe.

Tschüß.

Wenn der nutzer angemeldet und der PC nicht gesperrt ist. Das geht auch unter jedem anderen OS.

nein. einfach alles auslesen, wozu man gerade lust hat geht unter keinem unixoidem system wenn du nicht gerade als root eingeloggt ist. und unter vista sollte es im gegensatz zu XP eigentlich auch nicht so leicht gehen... wo wir wieder beim thema backdoors wären.

nein. einfach alles auslesen, wozu man gerade lust hat geht unter keinem unixoidem system wenn du nicht gerade als root eingeloggt ist. und unter vista sollte es im gegensatz zu XP eigentlich auch nicht so leicht gehen... wo wir wieder beim thema backdoors wären.

Alles natürlich nicht, aber der User hat natürlich zugriff auf seinen eigenen Internetverlauf, seine gestarteten Programme, seine temporären Dateien, usw

Um das Verhalten des Users zu analysieren reichen imho schon die Userrechte.
Mit root wäre es dann möglich das verhalten aller User auf dem System zu analysieren. (Oder Admin unter Windows)


Update: Via email, a Microsoft spokeswoman said COFEE is a compilation of publicly available forensics tools, such as "password security auditing technologies" used to access information "on a live Windows system." She cited rainbow tables as an example of other such tools, and "was NOT confirming that COFEE includes Rainbow Tables."

It "does not circumvent Windows Vista BitLocker encryption or undermine any protections in Windows through secret 'backdoors' or other undocumented means."

Further, she reiterated that the tool is intended for use "by law enforcement only with proper legal authority."

Another update: This from Tim Cranton, associate general counsel at Microsoft: "The key to COFEE is not new forensic tools, but rather the creation of an easy to use, automated forensic tool at the scene. It's the ease of use, speed, and consistency of evidence extraction that is key."

was ich mich frage sichern die das jetzt alles auf dem usb stick oder wie laeuft das aber ? der muss dann ja schon ein paar gig platz haben und speziell gesichert sein nicht das der boese pc noch irgend etwas einschleppt ins netz der guten =)

Die Tools befinden sich auf dem USB Stick, ja.

Über die Größe und den Schutz des USB Sticks wird sich da schon jemand Gedanken gemacht haben, aber allzuviele Details sind diesbezüglich ja nicht veröffentlicht.

So wie es aussieht ist das Tool eigentlich nur dafür gedacht, überraschende Überprüfungen/Razzien der eigenen Mitarbeiter (FBI) durchzuführen.

Da platzen paar Leute ins Büro rein, ziehen dich mit dem Stuhl vom Rechner weg und gucken nach was du da in den letzten Stunden getrieben hast. Für alles andere taugt es eher wenig bis garnicht.

Woher kommt eigentlich immer das FBI? :D

In irgendeiner NAchrciht stand es, daß MS es eigentlich auf Wunsch oder im Auftrag von FBI geschrieben hat.

AkteX ... wer das mal zuende geschaut hättte, wüsste, dass das FBI ne Witzfigur ist.

AkteX ... wer das mal zuende geschaut hättte, wüsste, dass das FBI ne Witzfigur ist.Da gibts sogar wesentlich mehr von.

Da gibts sogar wesentlich mehr von.
Ja wiso, hast du dich jetzt etwa angesprochen gefühlt oder wie?

Ja wiso, hast du dich jetzt etwa angesprochen gefühlt oder wie?Nö, aber ich könnte zu dem angesprochenen Thema einige Erfahrungsberichte beitragen.


Nochmals Blog/News http://www.basicthinking.de/blog/2008/04/30/spurenleser-cofee/

Übrigens liest man in sogut wie jeder News dazu, daß das Tool doch irgendwleche Passwörter hackt bzw. wohl eher, ausliest :|

Na toll. Nicht angemeldet gewesen :frown: Noch ein Link also. Der Vorbelasteten ;)
http://spitzelblog.blogspot.com/2008/05/cofee-coup.html

Obwohl der eine Kommentar gefällt mir. Wir haben ja mittlerweile Gesetze gegen Hackertools. Sind in diesen Gesetzen Ausnahmen verankert oder gehört COFEE damit zu unerlaubten Methoden der Beweissicherung ;)

Übrigens bin ich immernoch der Meinung, daß das Tool bestimmt nicht damit nutzlos ist, wenn man den Stecker am Netzteil zieht. Entweder kann diese Toolsammlung doch bisschen mehr als behauptet oder sie kann auch benutzt werden, wenn der Rechner übers Netz gehackt ist und der Stick nur im PC des Beamten gesteckt ist...

Ich wusste gar nicht das du dich auf solch kompetenten Seiten rumtreibst. Wie lange hat die Suche mit Google gedauert? 2 Tage?

Danke fürs Info, aber was du nicht weißt das weiß ich mittlerweile auch ohne Ansagen.

Was machst du eigentlich, wenn du nicht rumspamst? Mir fällt auf Anhieb nicht viel ein was 3DC angeht. Außer, daß bei dir BH-tracking auf on and force steht vermisse ich dich in vielen interessanten Fachgesprächen hier. Bist du nicht ein Programmierer? Ein typischer oder ein normaler?

Nacht.

Wenn ich einen guten Tage habe versklave ich meine Programmierer. Bei einem schlechten ... reden wir lieber nicht drüber. Ich hab hier schon einige Fachgespräche geführt. Das geht aber nur solange sein Gegenüber auch Fachgespräche zulässt.
Alles in allem bin ich ein großer Theoretiker, aber ich scheine dafür geeignet zu sein, weil ich meißtens richtig liege. Das ist für die Praktiker unter uns nicht immer so leicht zu über- & durchschauen.

Nö, aber ich könnte zu dem angesprochenen Thema einige Erfahrungsberichte beitragen.


Nochmals Blog/News http://www.basicthinking.de/blog/2008/04/30/spurenleser-cofee/

Übrigens liest man in sogut wie jeder News dazu, daß das Tool doch irgendwleche Passwörter hackt bzw. wohl eher, ausliest :|

Ja, die schwachen Excel und Word passwörter, die allerdings viele Freewaretools auch knacken.

Oder Pop3 /SMTP Passwörter...


Übrigens bin ich immernoch der Meinung, daß das Tool bestimmt nicht damit nutzlos ist, wenn man den Stecker am Netzteil zieht. Entweder kann diese Toolsammlung doch bisschen mehr als behauptet oder sie kann auch benutzt werden, wenn der Rechner übers Netz gehackt ist und der Stick nur im PC des Beamten gesteckt ist...
Es ist nur dann nicht nutzlos wenn Autologin beim Hochfahren aktiv ist ;D oder die Daten in keinster weise verschlüsselt sind.

*edit*
Ahhh gegen die selbst gestellten Ignorier Ziele verstoßen :(

Es ist nur dann nicht nutzlos wenn Autologin beim Hochfahren aktiv ist ;D oder die Daten in keinster weise verschlüsselt sind.Ist der Beschluß 226 des Senats (1991) eigentlich wieder außer Kraft? =)

Das Ding geistert jetzt im Netz rum.
Ich persönlich halte das (rein spekulativ) für harmlos, da offizielles Werkzeug. Interessanter ist die Frage, ob sie auch was unter der Ladentheke haben, wenn mal die großen Jungs anklopfen.
http://computer.t-online.de/microsoft-cofee-geheime-forensik-software-im-internet-zum-download/id_20487230/index

Gibts schon artikel wo das ganze etwas genauer beschrieben ist? Die T-Online Homepage ist ja nicht gerade ein Kompetenzzentrum, gelinde ausgedrückt :D

Ich persönlich halte das (rein spekulativ) für harmlos, da offizielles Werkzeug. Interessanter ist die Frage, ob sie auch was unter der Ladentheke haben, wenn mal die großen Jungs anklopfen.
http://computer.t-online.de/microsoft-cofee-geheime-forensik-software-im-internet-zum-download/id_20487230/index
das ding ist unspektakulär, aber sowas von. das teil ist sozusagen ein "one-click-tool" zur beweissicherung für leute die nur sehr begrenzt davon ahnung haben. wenn man sich die ganzen sysinternals tools lädt hat man praktisch nen größeren funktionsumfang als dieses cofee teil.

WTF? Ich bin mir ziemlich sicher, gestern nacht hier einen Einzeiler über die Eignung dieser Compilation zur Kontrolle von Notebooks beim Grenzübergang geschrieben zu haben. Jetzt ist dieser weg. Werde ich etwa senil? Oder liegt es daran, dass ich diesen Beitrag iirc von einem Windows-OS abgeschickt habe und er deshalb nie hier ankam, sondern nur und ausschließlich in meinem Browser zu sehen war? Oder ist gar das 3DC Mitglied der Verschwörung und der Beitrag wurde entfernt? Jetzt unter Linux ist der Beitrag nicht mehr aufzufinden. Nicht, dass er sonderlich gehaltvoll war...dennoch verwundert mich das ein wenig. Naja, vielleicht hab ich auch nur den Bottest für Gäste nicht bestanden, ohne es zu merken.

Dennoch: für forensische Zwecke ist diese Compilation nutzlos. Es hat schon einen Grund, weshalb die Anforderungen an auf diese Weise gewonnene Beweismittel so sind wie sie sind. Ein Datenträger, dessen Originalinhalt nach Intervention der Strafverfolgungsbehörden manipuliert wurde, ist nichts mehr wert. Gearbeitet wird nur mit Kopien. Ein laufendes Windows mit rw-gemounteten Datenträgern ist für diese Zwecke völlig ungeeignet. Wollen wir hoffen, dass diese Standards auch in Zukunft noch gelten. Für schnelle Kontrollen und das Abfließenlassen von Daten bei der mittlerweile üblichen Untersuchung der Laptops von Europäern bei Einreise in die USA eignet sich dieses Tool vorzüglich. Gut ist das nicht.

Ich will MS nichts unterstellen, aber ich finde es zumindest bedenklich, wenn der Anbieter der Software, der ich mein Vertrauen schenken soll, an anderer Front gegen mich arbeitet.

Ein kleines bisschen viel Aufregung um eine bessere Toolsammlung, die nur mit einem Script automatisch arbeitet.

Das Teil ist meines Wissens nach explizit dafür da, ein gewisses Systemabbild bei laufendem Rechner zu erhalten - weil man u.U. nach Beschlagnahme im Labor beim erneuten Hochfahren auf eine PW-Sperre oder eine Verschlüsslung stösst. Allzuviel kann Coffee allerdings nicht erlangen, das PW einer ernsthaften Verschlüsselung bleibt weiterhin sicher. Möglicherweise wird es aber dazu eingesetzt, um die Existenz von eventuell kritischen Dateien (bombenbauanleitung.pdf) auf dem Rechner zu beweisen, was bei einer Verschlüsselung dann eventuell ausreicht, um den Besitzer zu verknacken (oder wenigstens in Beugehaft wegen des PW zu nehmen). Das wäre allerdings der Extremfall, im eigentlichen liest das Tool nur solche Sachen wie HW-Konfig, Autostartende Programme und Netzwerk-Konfig aus - Spielereien also.

Ein paar wenige Infos zur Funktionsweise:
http://www.spiegel.de/netzwelt/web/0,1518,661182,00.html
http://www.heise.de/security/meldung/Ein-Blick-auf-Microsofts-entwischte-Forensik-Tool-Sammlung-855269.html

Ich halte fast den Nutzen für Hacker, die einem persönlich an die Kandarre wohl, für größer, weil der kann mit diesen Konfig-Infos noch am meisten was anfangen.

Verschlüsselung beinhaltet natürlich auch die Dateinamen ;)