Vor ein paar Wochen ist Microsofts exklusiv für staatliche Ermittler gedachtes Forensik-Toolkit COFEE im Internet aufgetaucht . Nachdem damit klar zu sein scheint, dass dieser COFEE auch nur mit Wasser gekocht wird, ist nun ein Gegenmittel erhältlich, dass einen angeschlossenen COFEE-USB-Stick erkennen und die Ausführung der darauf enthaltenen Programme unterbinden soll.
Unter dem hochtrabenden Namen “Detect and Eliminate Computer Assisted Forensics (DECAF)” bieten zwei Amerikaner ein kaum 200 KB großes Programm an, um nach eigener Darstellung die Verbesserung forensischer Software zu stimulieren. Offenbar sind die beiden nicht der Ansicht, dass COFEE das bestmögliche Mittel ist, um die Computer von Verdächtigen auf Spuren zu untersuchen.
©2014
DECAF soll, einmal installiert, über die USB-Ports wachen und beim Anstecken eines COFEE-Sticks vordefinierte Aktionen starten. Dazu gehört, dass der Start des darauf befindlichen Batch-Scripts verhindert und USB-Stick gleich wieder deaktiviert werden soll. Außerdem soll DECAF bestimmte Protokolldateien sowie Surf-Spuren wie Browser-Chronik, Cookies und temporäre Dateien löschen.
Es soll bestimmte laufende Programme und Prozesse beenden, P2P-Clients löschen, Netzwerkverbindungen und externe Laufwerken deaktivieren sowie den PC-Besitzer alarmieren. DECAF soll weiter entwickelt werden, wofür die Programmierer noch Mitstreiter suchen.
Praktisch gesehen ist DECAF wohl eher etwas für die Fraktion der Träger von Hüten aus Alu-Folie. Wer ernsthaft etwas vor der Polizei zu verbergen hat, wenn sie ohnehin schon im Haus ist, wird sich anderer Methoden bedienen.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.