COFEE vs DECAFME

[themaster]

Hackers hebben een tool online gezet om het forensische gereedschap dat Microsoft aan opsporingsdiensten geeft te omzeilen. DECAF, Detect and Eliminate Computer Assisted Forensics, is het antwoord op Microsoft's COFEE, Computer Online Forensic Evidence Extractor. Sinds vorig jaar kunnen Internetpol en andere politiediensten over COFEE beschikken, dat bestaande forensische tools automatiseert, zodat agenten met een zeer beperkte kennis van IT forensics, toch gegevens op een juiste manier kunnen veiligstellen. Het programma is alleen beschikbaar voor opsporingsdiensten, maar lekte begin november uit op het internet.

DECAF, omschreven als een counter intelligence tool, biedt real-time monitoring van COFEE signatures op USB apparaten en draaiende applicaties. Zodra het COFEE aantreft, voert DECAF verschillende processen uit, waaronder het leegmaken van de COFEE logs, het uitwerpen van de USB-stick, een drive-by dropper en een uitgebreide lijst van "Lockdown Mode" instellingen. Met de laatste optie kan de gebruiker bij verdachte activiteit het systeem automatisch laten vergrendelen of gevoelige informatie verwijderen. De kracht van DECAF ligt in de zeer uitgebreide configuratie mogelijkheden. Zo is het mogelijk om bijna alle hardware uit te schakelen en vooraf ingestelde bestanden, cache en geschiedenis bijvoorbeeld, in de achtergrond te verwijderen. Via de "Spill the cofee" mode is het mogelijk om de werking van DECAF te simuleren, zodat gebruikers zeker weten dat de gekozen instellingen werken.

Gezond
Bij toekomstige versies is het mogelijk om op afstand, via tekstberichten en e-mails, de computer uit te schakelen. Ook zal er een waarschuwingsdienst komen, in het geval van een noodsituatie er iemand gewaarschuwd moet worden. De nog te verschijnen versie zal daarnaast lichter zijn en als Windows service kunnen draaien. "We willen een gezonde, onbeperkte stroom van internetverkeer promoten en demonstreren dat opsporingsdiensten niet alleen op Microsoft moeten vertrouwen voor het automatiseren van de verzameling van bewijs", aldus de makers. De 181KB grote applicatie is via decafme.org te downloaden.

[libris]

dat laatste vind ik wel een sterk punt, dit kan ervoor zorgen dat opsporingsdiensten niet alleen op coffee vertrouwen maar ook gewoon door gaan met het gebruik van andere tools en ecjte forensische experts die wel weten wat ze doen.

[sjors]

Heeft iemand van jullie toevallig ergens eens kennis kunnen maken met coffee en wat vond je ervan? Had begrepen dat het voor de gebruiker erg gemakkelijk was om te gebruiken, zonder echt diepe kennis te hebben

[themaster]

ik heb er mee gespeeld.
het is echt te simpel voor woorden.
install op usb stick.
stop usb in pc.
loop door het menu enz klaar.

[libris]

De bedoeling van COFFEE is juist om geen IT mensen van de opsporingdiensten dit te laten gebruiken, opzich wel mooi, maar opzich vind ik dat die hacker wel gelijk hebben dat zen iet gelijk op microsoft moeten vertrouwen, maar ook de andere tools moeten gaan gebruiken en gewoon Forensisch IT experts hiervoor te hebben.

IPV elke keer gewoon coffee runnen :P

[libris]

Een interview met de DECAF ontwikkelaar kun je hier vinden:

To view this link please Register

Hij heeft DECAF btw stop gezet, bekijk maar eens To view this link please Register. Hij wilde het gewoon even duidelijk maken