Thema: Ein Blick auf Microsofts entwischte Forensik-Tool-Sammlung

[SiLæncer]

Zunächst erschien die Tool-Sammlung COFEE, die Microsoft eigentlich nur Strafverfolgungsbehörden zur Verfügung stellt, um Beweismittel auf Computern sicherzustellen, nur auf einer File-Sharing-Seite. Wenig später tauchten bereits Kopien via Bittorrent auf.

Der Computer Online Forensic Evidence Extractor (COFEE) richtet sich an Computer-Laien, die gerade mal in der Lage sein müssen, einen USB-Stick an den zu untersuchenden PC zu stecken, um einen vollständigen Report zu erstellen. Wer davon jedoch Wunderdinge erwartet, wird enttäuscht sein. Die heise Security vorliegende Version hält für Computer-Profis wenig Überraschendes bereit.

COFEE startet via Autorun direkt beim Anstecken des USB-Sticks und führt dabei ein Kommandozeilenskript aus. Tools wie whoami, autoruns und so weiter erstellen dabei einen Schnappschuss mit Basisinformationen, die danach für den Web-Browser hübsch aufbereitet werden. Raffinierte Tools, um etwa gelöschte Dateien oder anderweitig versteckte Informationen wiederherzustellen fanden sich nicht in der Sammlung. Der eigentliche Mehrwert liegt in der einfachen Bedienbarkeit und dem Schwerpunkt darauf, Beweise zu erheben, die sich auch vor Gericht stand halten.

Schon das beiliegende Benutzerhandbuch verrät einiges über den technischen Stand des Toolkits. Zwar datiert es offiziell auf September 2009. Doch das einzige Betriebssystem, das man demnach mit COFEE offiziell untersuchen kann, ist Windows XP – von Vista oder gar Windows 7 ist nirgendwo die Rede. Die Verzeichnisstruktur der versionsspezifischen Tools enthält ebenfalls nur die Ordner win2k, win2k03 und winxp.

Wer zufällig über eine angebliche Kopie von COFEE stolpert, sollte diese mit äußerster Vorsicht behandeln. Nicht nur, weil es sich dabei um copyright-geschützte Programme handelt, sondern auch, weil man nicht sicher sein kann, ob nicht etwa gezielt Hintertüren oder Spionageprogramme eingeschleust wurden.

Quelle : www.heise.de

[Jürgen]

Ein Betriebssystem wie Windows zu starten, widerspricht allen Datenforensik-Prinzipien, weil allein dadurch schon Daten verändert werden.
Das bedeutet im Zweifelsfalle, dass Beweismittel unfachgemäss verändert werden und damit deren Beweiskraft infragegestellt ist.

Damit sind also allenfalls solche Rechner zu untersuchen, die ohnehin schon in Betrieb sind.

In allen anderen Fällen wird tunlichst der Rechner nicht gestartet, sondern die Festplatte ausgebaut und an einem anderen System read-only gemounted und komplett per Image kopiert, an dieser Kopie anschliessend ermittelt. Dennoch muss anschliessend wirksam sichergestellt werden, dass der zur Prüfung verwendete Rechner nicht selbst infiziert und belastet ist und fragliche Spuren nicht selbst erst legt.
Strafbare Inhalte sind ebenso wie Schädlinge auch auf Behördenrechern mehr als einmal festgestellt worden....

Allerdings wage ich zu bezweifeln, ob der Gemeine Amtsrichter oder Strafverteidiger imstande ist, fragwürdige Vorgehensweisen der Ermittler zu erkennen und den Angeklagten entsprechend zu entlasten.
 
Jürgen

[SiLæncer]

Nachdem die von Microsoft entwickelte Forensik-Software Computer Online Forensic Evidence Extractor (COFEE) Anfang November ins Internet gelangte, fordert das Unternehmen nun zahlreiche Websites zur Löschung der Datei auf.

Laut einem Bericht von 'CrunchGear' ist das kleine Werkzeug zwar kostenlos für Strafverfolgungsbehörden in über 187 Ländern verfügbar, dennoch handelt es sich um geschützte Software, die nur mit Erlaubnis von Microsoft verbreitet werden darf. Strafen haben die Betreiber der Websites, die eine so genannte "Takedown Notice" erhalten haben, nicht zu befürchten.

COFEE dient vor allem dazu, Beweise zu sichern, die während des Betriebs eines Computers anfallen und möglicherweise verloren gehen, wenn das jeweilige System abgeschaltet wird. Unter anderem lassen sich damit auch passwortgeschützte und verschlüsselte Daten sichern.

Unbestätigten Angaben zufolge handelt es sich bei COFEE vor allem um eine Sammlung von Skripten, die die ohnehin in Windows enthaltenen Werkzeuge zur Systemwartung nutzen, um bestimmte Informationen zusammen zu tragen. Die Software kommt normalerweise auf einem USB-Stick daher und soll von den Ermittlern bereits nach kürzester Einarbeitungszeit effektiv genutzt werden können.

Quelle : http://winfuture.de

[SiLæncer]

Hacker haben das Tool Decaf veröffentlicht, das Microsofts "Computer Online Forensic Evidence Extractor" (COFEE) die Arbeit erschweren soll. COFEE wurde für Strafverfolgungsbehörden entwickelt und sammelt im Wesentlichen systemweit Informationen über den untersuchten PC. Nach dem Anstecken eines mit COFEE ausgestatteten USB-Sticks startet der Scan-Vorgang automatisch, am Ende erstellt COFEE einen Report. Mitte November gelangte das eigentlich nur für Ermittlungsbehörden vorgesehene Tool an die Öffentlichkeit.

Decaf versucht zu erkennen, ob ein COFEE-Stick angeschlossen wurde und startet gegebenenfalls Gegenmaßnahmen. Unter anderem soll Decaf den USB-Stick automatisch wieder auswerfen können sowie vorher definierte Prozesse schnell beenden. Darüber hinaus löscht Decaf bei Bedarf Log-Dateien, die Surf-History, Cookies und den Browser-Cache – sogar ganze Verzeichnisse verspricht Decaf im "Angriffsfall" zu löschen. Zudem soll es Torrent-Clients wie Azureus automatisch deinstallieren können, wenn es COFEE-Aktivitäten im System entdeckt. Das Tool soll die MAC-Adresse des Rechners spoofen können.

Für seine Arbeit macht sich das nur 181 KByte große Decaf allerdings das standardmäßig nicht in Windows enthaltene Microsoft-Tool devcon.exe zunutze, das eine Art Gerätemanager für die Eingabeaufforderung darstellt. Wer hinter Decaf steckt, ist nicht genau bekannt. Möglicherweise handelt es sich um Entwickler, die selbst an Forensik-Tools arbeiten und denen COFEE ein Dorn im Auge ist. Gegenüber britischen Medien sollen die Decaf-Entwickler als Motivation angegeben haben, Ermittlungsbehörden zeigen zu wollen, dass es keine gute Idee ist, sich auf Microsofts Toolsammlung allein zu verlassen.

Quelle : www.heise.de

[SiLæncer]

Das Anti-Forensik-Tool DECAF, als Antwort auf Microsofts COFEE konzipiert, war nach Angaben der Macher eine Art PR-Gag. Sämtliche Kopien des Programms wurden per Fernsteuerung deaktiviert.

Microsofts Forensik-Tool COFEE wurde seit dem Jahr 2007 kostenlos an Ermittlungsbehörden verteilt und sollte beim automatisieren Auswerten von Beweismitteln auf Rechnern Verdächtiger helfen. Vor Kurzem wurde eine Kopie des Programms auf der Whistleblowing-Seite Wikileaks veröffentlicht. Dies hatten die Macher von DECAF zum Anlass genommen, ein Tool zu schreiben, das COFEE automatisch erkennen und ausschalten sollte.

So manch ein Sicherheits-Enthusiast hatte sich schon gefragt, warum die DECAF-Erfinder den Quellcode ihres Anti-Forensiktools nicht veröffentlichten. Dies dürfte nun klar werden: Offenbar war das Tool niemals für den aktiven Einsatz bestimmt. Auf ihrer Website, die mittlerweile mit "Game Over" überschrieben ist, schreiben die Macher, sämtliche Exemplare von DECAF seien deaktiviert worden. Das Projekt sei "ein Stunt, um das Bewusstsein für Sicherheit und den Bedarf nach besseren Forensik-Tools zu erhöhen" gewesen. Es solle die Menschen anhalten, insbesondere im professionellen Umfeld verantwortungsbewusster im Bereich IT-Sicherheit zu handeln. Zudem, so die DECAF-Erfinder, sollten Regierungen sich nicht auf automatische Tools verlassen, sondern in die Ausbildung kompetenter Experten investieren. Gleichzeitig rufen die Autoren die IT-Sicherheits-Gemeinde auf, die Regierungen zu unterstützen und ihnen einen Teil der "Bürde" abzunehmen, die das Ermitteln Cyberkrimineller und die Absicherung kritischer Infrastrukturen bedeuteten. Eine interessante, aber in der Netzgemeinde sicher auch kontroverse Sichtweise.

Zudem scheinen die beiden Software-Entwickler hinter DECAF auch eine gesellschaftliche Mission zu verfolgen. So kritisieren sie, die Menschen seien insgesamt zu arrogant, stolz und egoistisch geworden. Reichtum und beruflicher Erfolg würden zur Vernachlässigung von Partner, Kindern und gesellschaftlichem Miteinander führen. Die Autoren wollten daher "eine Nachricht der Freiheit, des Friedens, der Transparenz und der Einheit" an alle Leser schicken - Werte, die, so der Text, nur durch Jesus Christus gefunden werden könnten.

DECAF - ein Proof of Concept, eine Kampagne für bessere IT-Sicherheit oder ein Hoax, ein PR-Stunt konservativer religiöser Spinner? Oder irgend etwas dazwischen? Ein Beweis, dass man Closed Source-Software nicht trauen kann? Vieles bleibt angesichts des spektakulären und für viele wohl unerwarteten Endes des Projekts offen, und auch das angekündigte Diskussionsforum der beiden Verantwortlichen wird kaum alle Fragen klären. Klar ist allein eines: Wer sich Sorgen um Microsofts Forensik-Tool macht, wird in Zukunft selbst kreativ werden müssen. 

Quelle : www.gulli.com

[SiLæncer]

Das Original verhindert zwar den Einsatz von forensischer Software, telefoniert aber nach Hause. Auch die gehackte Version bietet kaum Schutz für Verdächtige. Zukünftige Weiterentwicklungen sollen aus der Beweissicherungssoftware COFEE eine Beweisvernichtungsmaschine machen.

Die Website SoldierX bietet eine gehackte Version der Anti-Schnüffelsoftware "Detect and Eliminate Computer Assisted Forensics" (DECAF) an. DECAF ist ein Utility, die den Einsatz von Microsofts Beweissicherungstool "Computer Online Forensic Evidence Extractor" (COFEE) durch Polizeibeamte vor Ort verhindert.

Die Betreiber von SoldierX fanden heraus, dass DECAF zwar den Einsatz von COFEE unterbindet und darüber hinaus temporäre sowie andere grundsätzlich "verdächtige" Dateien löscht, beispielsweise Bittorrent-Clients, jedoch zahlreiche Informationen "nach Hause telefoniert" und zudem von außen deaktiviert werden kann. Die gehackte Version ist nach Angaben von SoldierX von diesen unerwünschten Funktionen befreit.

COFEE ist eine Software, die Microsoft kostenlos an Polizeibehörden verteilt. Sie befindet sich auf einem USB-Stick und kann von Beamten mit sehr geringen IT-Kenntnissen eingesetzt werden. Sie dient vor allem dazu, die Informationen im Hauptspeicher und den aktuellen Bildschirminhalt zu sichern, die nach einem Ausschalten des Computers nicht mehr verfügbar sind.

Der Einsatz lohnt sich für die Ermittlungsbehörden in der Regel nur zusammen mit einer nachfolgenden Beschlagnahmung des Rechners. Der Nutzen von DECAF ist daher in der aktuellen Version für den Verdächtigen gering.

Allerdings gibt es bereits Überlegungen, DECAF so weiterzuentwickeln, dass bei der Erkennung einer COFEE-Nutzung bestimmte Verzeichnisse wie C:\TOP-SECRET automatisch durch mehrfaches physisches Überschreiben gelöscht werden. Dann wird die Beweissicherungssoftware ohne Wissen der Beamten zur Beweisvernichtungsmaschine.

Quelle : www.zdnet.de

[SiLæncer]

Die Entwickler des Anti-Forensik-Tools DECAF melden sich zurück: Angeblich sind sie weiter im Geschäft und wollen nun mit einer neuen Version ihres Tools für Aufmerksamkeit sorgen.

DECAF ist eine Software, die das von Microsoft kostenlos an zahlreiche Polizeibehörden verteilte Forensik-Tool COFEE ausschalten soll . Nach dem spektakulären Launch der Software folgte wenige Tage später der nicht minder spektakuläre Rückzieher der verantwortlichen Hacker: DECAF sei lediglich "ein PR-Stunt" gewesen, der das Sicherheitsbewusstsein stärken solle, hieß es damals . Sämtliche bereits heruntergeladenen Versionen des Tools wurden, wie man damals annahm, von den Entwicklern remote deaktiviert. In der Szene gab es sogar Spekulationen darüber, ob das Tool überhaupt jemals so funktioniert hatte, wie von den Entwicklern angegeben - kaum jemandem blieb Gelegenheit für umfassende Tests und den Quellcode hatten die Entwickler nicht zur Verfügung gestellt.

Nun liegt eine neue Presseerklärung der Entwickler auf deren Website vor: DECAF sei ursprünglich aufgrund von "rechtlichem Druck" vom Netz genommen worden. Zudem sei man besorgt über die "ethische Natur und die mögliche Beeinträchtigung polizeilicher Ermittlungen" gewesen, erklären die Verantwortlichen. Dadurch, das Tool nicht mehr zum Download anzubieten, habe man verhindern wollen, für eventuelle Schäden verantwortlich zu sein oder rechtliche Konsequenzen befürchten zu müssen. Den Begriff "Publicity Stunt" habe man nur aufgrund des immensen Medien-Interesses verwendet.

Die Entwickler berichten, das Zurückziehen von DECAF v1 habe ihnen in der Untergrund-Szene massive Kritik (begleitet von DDoS-Angriffen und Flames) eingetragen. Zudem habe ein Hacker unter dem Pseudonym "SoldierX" mit der Reaktivierung des Tools experimentiert.

Nun wurde DECAF v2 fertiggestellt und kann heruntergeladen werden. Im Gegensatz zur Vorgängerversion soll es nicht "nach Hause telefonieren". Neben COFEE soll es auch auf Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster und ophcrack reagieren und neue Signaturen vom Benutzer akzeptieren.

Die Entwickler berichten, die Deaktivierung von DECAF v1 sei nicht absichtlich, sondern durch einen Programmierfehler geschehen. Die Versionskontrolle sei fehlerhaft geschrieben gewesen und durch ein Update der Versions-Information auf der Server-Seite sei das Programm abgestürzt.

Es sieht so aus, als würde DECAF noch eine Weile für Schlagzeilen sorgen. Die Spekulationen über das Programm und die Motive seiner Entwickler aber dürften auch nach den neuen Erklärungen nicht abreißen. Zu undurchsichtig bleibt Vieles, zu sehr weicht Einiges von den bisherigen Statements der Macher ab, und auch die religiösen Anspielungen in der letzten Presseerklärung bleiben rätselhaft. Es ist zweifelhaft, dass sie Szene allem, was aus dieser Quelle kommt, rückhaltlos vertrauen wird, denn wie ein altes Sprichwort sagt: Wer einmal lügt…

Quelle : www.gulli.com