Anti-forensische tool blijkt pr-stunt
Gepubliceerd: Maandag 21 december 2009
Auteur: Sander van der Meijs
Het 'tegengif' voor de forensische Microsoft-software COFEE is door de makers op non-actief gezet. DECAF diende slechts om aan te tonen dat COFEE niet voldoet.
Het vorige week uitgebrachte DECAF kon de COFEE-software van Microsoft uitschakelen. Die verzameling tools is door Microsoft ter beschikking gesteld aan opsporingsdiensten om bewijsmateriaal te ontfutselen aan pc's van verdachten. COFEE is echter uitgelekt.
Bewust maken
Afgelopen vrijdag kreeg dit verhaal al een onverwachte wending. Op de site van DECAF verscheen een post waarin werd gemeld dat het programma niet langer werkt. "We hebben elke kopie van DECAF uitgeschakeld. We hopen dat u zich realiseert dat dit een stunt was, om bewustwording te creëren voor beveiliging en de noodzaak van betere forensische tools, waardoor je je wel twee keer zult bedenken voor je het niet zo nauw neemt met beveiliging", schrijven de makers van DECAF.
Blijkbaar was het 'tegengif' een proof of concept, waarmee twee mensen wilden aantonen dat een tool als COFEE niet goed genoeg was. Nadat de twee dat duidelijk hebben gemaakt, ontaardt hun post al snel in een morele aanklacht tegen de maatschappij en adviseren ze lezers op zoek te gaan naar Jezus.
Niet geavanceerd
Deze morele preek werd al snel vervangen door een nuchterder versie, waarin de makers van DECAF aangeven dat ze hadden verwacht dat Microsoft contact met hun zou opnemen. Tot slot vertellen ze dat de site en de code waarschijnlijk binnenkort worden overgenomen. Als dit gebeurt, zal de broncode van DECAF niet worden vrijgegeven.
Direct na het verschijnen van de melding op Decaf.org, werd al gesuggereerd dat de software nep was. Maar dat wordt tegengesproken door security-blog Praetorian Prefect. Daar wordt gesteld dat DECAF een snel geschreven en niet heel erg geavanceerde tool was. Maar wel eentje die werkte. Daarmee toont het dus inderdaad aan hoe makkelijk het is om COFEE uit te schakelen.
Reactiveren
Verder maakt Praetorian Prefect duidelijk hoe de makers de geïnstalleerde versies van DECAF op non-actief konden zetten. Elke keer dat het programma opstart, zoekt het contact met de server van DECAF. Als het daar geen antwoord van krijgt, crasht het programma. Dit is makkelijk te omzeilen, zoals op Praetorian Prefect ook wordt aangetoond. Het 'tegengif' kan dus nog steeds gebruikt worden om COFEE uit te schakelen, waarmee het blijvend aantoont dat COFEE niet voldoet.
Bron: Techworld.nl.
