COFEE staat voor Computer Online Forensic Evidence Extractor. Het is verzameling van maar liefst 150 programmaatjes, die door Microsoft via Interpol ter beschikking is gesteld aan opsporingsdiensten. Die kunnen er digitaal bewijsmateriaal mee ontfutselen aan pc’s van verdachten. Zo kan de geschiedenis van de browser worden opgehaald, files kunnen ermee worden gescand en er kan een lijst met draaiende processen mee worden samengesteld, zonder dat de pc zelf wordt beïnvloed.

Vorige maand werd de tool gepubliceerd op Cryptome.org. Microsoft sommeerde de webmasters direct om de software weer offline te halen, en daar die eis is direct voldaan. Maar blijkbaar heeft het lang genoeg online gestaan, want nu hebben hackers DECAF geïntroduceerd, een tool waarmee COFEE onschadelijk kan worden gemaakt. DECAF staat voor Detect and Eliminate Computer Assisted Forensics.

DECAF monitort real-time op COFEE signatures op usb-sticks en applicaties. Als het COFEE tegenkomt, voert DECAF verschillende processen uit die door de gebruiker gedefinieerd kunnen worden, zoals het leegmaken van het log van COFEE, het uitwerpen van de usb-stick en het op slot gooien van de computer. DECAF kan COFEE zelfs simuleren, zodat de gebruiker zijn instellingen kan testen.

Bron: Techworld