Decaf: ovvero come inibire la soluzione forensics COFEE di Microsoft in soli 203KB.
Il tool rilasciato da alcuni hacker infatti “prende di mira” il software di casa Microsoft COFEE, acronimo per “Computer Online Forensic Evidence Extractor”.
Sviluppato con l’intento di fornire alle agenzie governative e alle forze dell’ordine un tool in grado di recuperare informazioni su un sistema sotto investigazione, sulla bontà di COFEE si sono levati fin da subito molti dubbi.
Leggendo tra le righe del report pubblicato da Heise Security verso metà novembre, si evidenzia chiaramente un giudizio non molto positivo sulla suite, che ricordiamolo è circolata dopo un breve periodo dal rilascio ufficiale attraverso i canali di file sharing (in particolare BitTorrent).
Decaf (Detect and Eliminate Computer Assisted Forensics) è in grado di individuare quando un dispositivo USB che ha installato COFEE viene inserito e lancia una serie di procedure atte a neutralizzarne il funzionamento.
Tra le possibili misure attivabili nella “modalità Lockdown”:
- spoofing del MAC address degli adattatori di rete;
- kill dei processi attivi;
- shutdown della macchina;
- disabilitazione di schede di rete, porte USB, floppy, CD-rom, porte seriali e parallele;
- cancellazione veloce di file e cartelle;
- pulizia dell’Event Viewer di Windows;
- rimozione di client BitTorrent installati;
- pulizia di cookies, cache e cronologia.
Il “cuore” di Decaf, che ricordiamolo pesa solo 203KB, è l’utility Microsoft devcon.exe.
Stando a quanto dichiarato a The Register, gli sviluppatori del software hanno detto che il loro scopo è quello di mostrare l’inadeguatezza del semplice tool Microsoft per compiere indagini di forensics serie e approfondite.