Hacker entwickelten ein Tool, das die Microsoft-Forensik-Suite COFEE, die der Softwaregigant kostenlos an hunderte von Ermittlungsbehörden verteilte, bei der Arbeit behindern und unbrauchbar machen soll.
IMG Removed
COFEE (kurz für Computer Online Forensic Evidence Extractor), das normalerweise von einem USB-Stick aus verwendet wird, besteht aus rund 150 Tools, die den Beamten eine einfache Untersuchung der auf einem Rechner vorhandenen Beweise ermöglichen sollen. Die Software wurde vergangenen Monat im Internet geleaked und sorgte damals für einige Aufmerksamkeit. Offenbar wurde sie von Microsoft schon seit dem Jahr 2007 an Ermittlungsbehörden verteilt (gulli:News berichtete).
Hacker nutzten nun die Gunst der Stunde und entwickelten eine "Gegen-Software", die beim Einstecken eines COFEE-USB-Sticks automatisch Gegenmaßnahmen ergreifen und Beweise verschleiern soll. So soll es etwa temporäre Dateien löschen, die COFEE-Logs manipulieren oder gleich den USB-Port deaktivieren können. In einem Anfall von Humor tauften die Entwickler ihr Anti-Forensik-Tool "Decaf" - nach einem englischen Ausdruck für koffeinfreie Getränke. Offiziell steht das für "Detect and Eliminate Computer Assisted Forensics". Ob das Tool hält, was es verspricht, wurde bislang noch nicht umfassend untersucht - der Ansatz jedenfalls ist für die Einen interessant, für die Anderen eher besorgniserregend.
"Wir wollen einen gesunden, ungehinderten freien Fluss von Daten im Internet fördern und zeigen, wieso die Ermittlungsbehörden sich nicht allein auf Microsoft verlassen sollen, um ihre Beweissicherung zu automatisieren," so einer der zwei Entwickler von Decaf.
Microsoft hatte seit dem Leak des Tools versucht, die Gefahr der Entwicklung von Gegenmaßnahmen herunterzuspielen. Zur jüngsten Entwicklung nahm das Unternehmen bisher nicht Stellung.
Decaf wird über BitTorrent verteilt, kann aber mittlerweile auch normal im Internet heruntergeladen werden. Den Quellcode machten die Entwickler nicht bekannt - nach ihren Aussagen aus Angst, dass die verwendeten Signaturen per Reverse Engineering untersucht werden.
Quelle: Gulli