Het gaat om een tool die de forensische software COFEE van Microsoft detecteert en dan onschadelijk maakt. COFEE staat voor Computer Online Forensic Evidence Extractor. Het is een verzameling van 150 programmaatjes, die door Microsoft via Interpol ter beschikking is gesteld aan opsporingsdiensten.

Die kunnen er digitaal bewijsmateriaal mee ontfutselen aan pc’s van verdachten. Zo kan de geschiedenis van de browser worden opgehaald, bestanden worden gescand en een lijst met draaiende processen worden samengesteld. Deze tools worden niet geïnstalleerd en beïnvloeden de werking van de pc niet.

Uitgelekt

Vorige maand is deze forensische software uitgelekt; het werd door hackers gepubliceerd op op Cryptome.org. Microsoft sommeerde de webmasters direct om de software weer offline te halen. Aan die eis is direct voldaan.

Blijkbaar heeft het toch lang genoeg online gestaan, want nu introduceren hackers DECAF. Dat is een tool om COFEE onschadelijk te maken. DECAF staat voor Detect and Eliminate Computer Assisted Forensics.

Inclusief simulatie

DECAF monitort real-time op COFEE signatures op usb-sticks en applicaties. Als het COFEE tegenkomt, voert DECAF verschillende tegenmaatregelen uit. Dat zijn processen die door de gebruiker gedefinieerd kunnen worden, zoals het wissen van het COFEE-log, het uitwerpen van de usb-stick en het op slot gooien van de computer. DECAF kan COFEE zelfs simuleren, zodat de gebruiker zijn instellingen kan testen.

Bron: Techworld.nl.