Het vorige week uitgebrachte DECAF kon de COFEE-software van Microsoft uitschakelen. Die verzameling tools is door Microsoft ter beschikking gesteld aan opsporingsdiensten om bewijsmateriaal te ontfutselen aan pc's van verdachten. COFEE is echter uitgelekt.

Bewust maken

Afgelopen vrijdag kreeg dit verhaal al een onverwachte wending. Op de site van DECAF verscheen een post waarin werd gemeld dat het programma niet langer werkt. “We hebben elke kopie van DECAF uitgeschakeld. We hopen dat u zich realiseert dat dit een stunt was, om bewustwording te creëren voor beveiliging en de noodzaak van betere forensische tools, waardoor je je wel twee keer zult bedenken voor je het niet zo nauw neemt met beveiliging”, schrijven de makers van DECAF.

Blijkbaar was het 'tegengif' een proof of concept, waarmee twee mensen wilden aantonen dat een tool als COFEE niet goed genoeg was. Nadat de twee dat duidelijk hebben gemaakt, ontaardt hun post al snel in een morele aanklacht tegen de maatschappij en adviseren ze lezers op zoek te gaan naar Jezus.

Niet geavanceerd

Deze morele preek werd al snel vervangen door een nuchterder versie, waarin de makers van DECAF aangeven dat ze hadden verwacht dat Microsoft contact met hun zou opnemen. Tot slot vertellen ze dat de site en de code waarschijnlijk binnenkort worden overgenomen. Als dit gebeurt, zal de broncode van DECAF niet worden vrijgegeven.

Direct na het verschijnen van de melding op Decaf.org, werd al gesuggereerd dat de software nep was. Maar dat wordt tegengesproken door security-blog Praetorian Prefect. Daar wordt gesteld dat DECAF een snel geschreven en niet heel erg geavanceerde tool was. Maar wel eentje die werkte. Daarmee toont het dus inderdaad aan hoe makkelijk het is om COFEE uit te schakelen.

Reactiveren

Verder maakt Praetorian Prefect duidelijk hoe de makers de geïnstalleerde versies van DECAF op non-actief konden zetten. Elke keer dat het programma opstart, zoekt het contact met de server van DECAF. Als het daar geen antwoord van krijgt, crasht het programma. Dit is makkelijk te omzeilen, zoals op Praetorian Prefect ook wordt aangetoond. Het 'tegengif' kan dus nog steeds gebruikt worden om COFEE uit te schakelen, waarmee het blijvend aantoont dat COFEE niet voldoet.

Bron: Techworld.nl.