Luego que se difundió una versión equivocada, que muchos medios propagaron, acerca de la (supuesta) no existencia de DECAF, en Segu-info nos ocupamos hace pocos días de que investigar y aclarar que DECAF existe, no fue un invento, aunque fue discontinuado por sus autores. Y ahora para los entusiastas de herramientas forenses y sus contramedidas, […]
Luego que se difundió una versión equivocada, que muchos medios propagaron, acerca de la (supuesta) no existencia de DECAF, en Segu-info nos ocupamos hace pocos días de que investigar y aclarar que DECAF existe, no fue un invento, aunque fue discontinuado por sus autores.
Y ahora para los entusiastas de herramientas forenses y sus contramedidas, no se hizo esperar mucho la salida de la nueva versión: DECAF v2. Bien, gracias a un blog holandés pudimos saber que la gente de DECAFme hace un par de días anunció el resultado de la continuación del proyecto y lo explican en su sitio, nuevamente en linea, de esta manera:
Boletín de Prensa Actualización : 12/28/2009 – Finalmente aquí está… Originalmente habíamos retirado la aplicación debido a la presión legal. Con DECAF v1 diseñado originalmente para restringir las extracciones forenses de Microsoft COFEE, surgieron preocupaciones mayores con su naturaleza ética y el peligro potencial de interrumpir investigaciones criminales. Al deshabilitar la aplicación, los liberamos de cualquier daño que pudiera haber sucedido en el caso que DECAF v1 fuera usado para impedir la extracción de datos a los examinadores forenses. Usamos las palabras «maniobra publicitaria» porque cuando retiramos DECAF v1 y deshabilitamos la aplicación, teníamos encima mucha atención de los medios. Decidimos usar ese canal para aumentar la conciencia sobre una mejor seguridad y más herramientas de privacidad. Después de la entrevista con Cyberspeak, tuvimos una buena y prolongada conversación telefónica. Durante aquel tiempo, me informaron de mi peligrosa situación y me dieron un consejo excelente; desmontar a DECAF. Por supuesto, si saben algo al respecto de ellos en Cyberspeak, sabrán que son muy inteligentes en otras cosas ademas de temas forenses. Están muy informados sobre estatutos federales.Habría sido tonto de mi parte pensar que sé más que ellos, así que seguí su consejo y retiré la aplicación. Como saben, esto causó un gran conflicto en el escenario clandestino. Comenzamos a recibir denegaciones de servicio, insultos en los foros, e incluso SoldierX hizo un muy buen trabajo re-activando DECAF v1. Definitivamente no estamos furiosos con SoldierX por aquello, ¿podrían culparlos?. Todos quieren privacidad. Sin mencionar que DECAF v2 ya se está horneando en la cocina así que es cuestión de un poquito de tiempo para que sea liberado. Ahora quiero ocuparme de la característica de «llamar a casa» en DECAF v1. Como saben, vamos a ajustar la aplicación hacia el modelo p2p de seguimiento privado (private tracker). Vamos ha usar la funcionalidad de «llamar a casa» para notificar a los administradores de seguimiento privado sobre un seeder/nodo que tiene corriendo COFEE en su máquina. Esta característica no estaba completa antes del lanzamiento pero la tenemos casi funcionando, y por lo tanto el informe de uso de COFEE. Algunos ven en esto un problema de privacidad, que desde esa perspectiva puedo ver porque. Decidimos que la v2 no informará sobre el uso. Tampoco hacemos una verificación automatizada de versión. La deshabilitación de v1 NO fue un ‘hook’ en la aplicación. Fue una mala codificación. No usé un ‘try/catch’ en la verificación de la versión de modo que si fallaba, la aplicación fallaba. Claro, la aplicación fue codificada en un lapso de 1- 2 días, así que ¿pueden culparme? Mala práctica supongo. De todos modos, cuando ajusté la verificación de versión del lado del servidor, eso provocó que la aplicación devolviera un string nulo, causando una excepción no manejada. La versión 2 está terminada. Ahora estamos monitoreando Microsoft COFEE, Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster, y ophcrack. También le damos al usuario la capacidad de agregar sus propias firmas hechas a medida. También agregamos monitoreo de CD-Rom. Ya no ejecutamos un «modo de bloqueo autodestructivo» y en lugar de eso le damos al usuario la capacidad de ejecutar archivos, deshabilitar el dispositivo donde se encontraron as firmas, e iniciar en modo de monitoreo.– mike contact
En este video de DecafMeStudio se ve DECAF v2 funcionando en 30 segundos. «Tutorial paso a paso de como tener funcionando Decaf v2 en 30 Segundos. Ejecución del archivo: C:cmd.exe /k C:echo.bat Un archivo así invocado le permitirá hacer un script para usar en un archivo batch, lo que sea que uno pueda ejecutar desde el cuadro de diálogo «Ejecutar:»(Run) lo podrá hacer aquí»
Segu-info invita a los profesionales dedicados a tareas de informática forenses a dejar su comentario para compartir cualquier experiencia que tengan con DECAF así como también su opinión como especialistas. Por ejemplo: ¿creen que dificultará su tarea?
Nota y traducciones: Raúl de a Redacción de Segu-info
http://blog.segu-info.com.ar/2010/01/decaf-v2-disponible-herramienta-para-la.html