Ihr erinnert euch an meinen Beitrag über DECAF – das Tool gegen Microsofts Forensik Tool COFEE? Da kam es jetzt zu einer interessanten Wendung: DECAF ist per “Fernsteuerung” deaktiviert worden und funzt nicht mehr. Die Machen sagen: “Das Ding ging und war ok, aber wir haben es deaktiviert. Wir wollten mit dem Tool nur mal eben darauf hinweisen wie wichtig Security ist, bla bla bla”. So in die Richtung.

Jedenfalls lässt sich kein richtiger oder eindeutiger Grund feststellen wieso es deaktiviert worden ist. Wenn man jetzt darüber nachdenkt wieso man zuerst ein Tool herausbringt das einen Gegenpol zu einer forensischen Software darstellt und es dann wieder per Fernzugriff deaktiviert, dann kommen einem da mehrere Möglichkeiten…

Jedenfalls ist die Webseite noch online und zeigt folgendes Statement:

DECAF wasn’t fake. It did what it was set out to do and did it well, we just respect authority and experts in the field and would rather promote a positive move then a negative one.

Some will understand, some will not. We did not remove the tool because of Microsoft. In fact, they did not even release a statement until after the tool was pulled offline. Going after major corporations like Microsoft is no easy task. Just understand we did what we feel is best for the safety and well being of our nation and other governments.

Darüber hinaus ist aber nichts mehr auf der Seite vorhanden – außer einem Link zu einem Forum in dem man sich austauschen kann. Und in dem ist praktisch tote Hose…

Das Einzige dass ich daraus schließen kann: Traue niemals einer Closed-Source-Software!

Via Gulli

Seit geraumer Zeit ist bekannt dass Microsoft sein Forensik Tool COFEE (Computer Online Forensic Evidence Extractor) seit 2007 kostenlos an Ermittlungsbehörden verteilt. Bekannt geworden ist das übrigens dadurch, dass die Software ins Internet gelangt ist. Nun gibt es aber seit ein paar Tagen ein Tool namens DECAF (Detect and Eliminate Computer Assisted Forensics) das es den Ermittlungsbehörden sehr schwer macht COFEE in der vorhandenen Form weiterhin zu benutzen.

Aber erst einmal, was macht COFEE eigentlich? Das Tool, das normalerweise von einem USB Stick aus verwendet wird, besteht aus einer Sammlung von insgesamt 150 Tools die dem benutzenden Beamten die Möglichkeit geben, an einem laufenden Computer wichtige Daten auszulesen, die sonst bei einem Neustart möglicherweise verloren gehen würden. Dazu zählen z.B. Log-Dateien und ähnliches.

Falls DECAF installiert ist, führt es beim Einstecken eines COFEE-USB-Sticks zu folgenden Gegenmaßnahmen: Temporäre Dateien werden gelöscht, die Log-Dateien werden manipuliert und der USB-Port wird gleich ganz deaktiviert und damit der USB-Stick ausgeworfen. Damit ist das Gleichgewicht zwischen Anwender und Spion jetzt also wieder hergestellt

Das DECAF Logo. Man beachte das Wortspiel

Mehr…