• Computer forensics: un tool anti-COFEE

    decaf.jpg

    Decaf: ovvero come inibire la soluzione forensics COFEE di Microsoft in soli 203KB.

    Il tool rilasciato da alcuni hacker infatti “prende di mira” il software di casa Microsoft COFEE, acronimo per “Computer Online Forensic Evidence Extractor”.

    Sviluppato con l’intento di fornire alle agenzie governative e alle forze dell’ordine un tool in grado di recuperare informazioni su un sistema sotto investigazione, sulla bontà di COFEE si sono levati fin da subito molti dubbi.

    Leggendo tra le righe del report pubblicato da Heise Security verso metà novembre, si evidenzia chiaramente un giudizio non molto positivo sulla suite, che ricordiamolo è circolata dopo un breve periodo dal rilascio ufficiale attraverso i canali di file sharing (in particolare BitTorrent).

    Decaf (Detect and Eliminate Computer Assisted Forensics) è in grado di individuare quando un dispositivo USB che ha installato COFEE viene inserito e lancia una serie di procedure atte a neutralizzarne il funzionamento.

    Tra le possibili misure attivabili nella “modalità Lockdown”:

    • spoofing del MAC address degli adattatori di rete;
    • kill dei processi attivi;
    • shutdown della macchina;
    • disabilitazione di schede di rete, porte USB, floppy, CD-rom, porte seriali e parallele;
    • cancellazione veloce di file e cartelle;
    • pulizia dell’Event Viewer di Windows;
    • rimozione di client BitTorrent installati;
    • pulizia di cookies, cache e cronologia.

    Il “cuore” di Decaf, che ricordiamolo pesa solo 203KB, è l’utility Microsoft devcon.exe.

    Stando a quanto dichiarato a The Register, gli sviluppatori del software hanno detto che il loro scopo è quello di mostrare l’inadeguatezza del semplice tool Microsoft per compiere indagini di forensics serie e approfondite.

    Se vuoi aggiornamenti su Computer forensics: un tool anti-COFEE inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenta

    Your email address will not be published. Required fields are marked *