Hackers saboteren forensische tools Microsoft
Gepubliceerd: Maandag 14 december 2009
Auteur: Sander van der Meijs
Hackers hebben een 'tegengif' vrijgegeven voor de forensische tools die Microsoft ter beschikking stelt aan opsporingsdiensten.
Het gaat om een tool die de forensische software COFEE van Microsoft detecteert en dan onschadelijk maakt. COFEE staat voor Computer Online Forensic Evidence Extractor. Het is een verzameling van 150 programmaatjes, die door Microsoft via Interpol ter beschikking is gesteld aan opsporingsdiensten.
Die kunnen er digitaal bewijsmateriaal mee ontfutselen aan pc's van verdachten. Zo kan de geschiedenis van de browser worden opgehaald, bestanden worden gescand en een lijst met draaiende processen worden samengesteld. Deze tools worden niet geïnstalleerd en beïnvloeden de werking van de pc niet.
Uitgelekt
Vorige maand is deze forensische software uitgelekt; het werd door hackers gepubliceerd op op Cryptome.org. Microsoft sommeerde de webmasters direct om de software weer offline te halen. Aan die eis is direct voldaan.
Blijkbaar heeft het toch lang genoeg online gestaan, want nu introduceren hackers DECAF. Dat is een tool om COFEE onschadelijk te maken. DECAF staat voor Detect and Eliminate Computer Assisted Forensics.
Inclusief simulatie
DECAF monitort real-time op COFEE signatures op usb-sticks en applicaties. Als het COFEE tegenkomt, voert DECAF verschillende tegenmaatregelen uit. Dat zijn processen die door de gebruiker gedefinieerd kunnen worden, zoals het wissen van het COFEE-log, het uitwerpen van de usb-stick en het op slot gooien van de computer. DECAF kan COFEE zelfs simuleren, zodat de gebruiker zijn instellingen kan testen.
Bron: Techworld.nl.
