Decaf behindert Microsofts Polizei-Tool COFEE

Sicherheit & Antivirus Unbekannte haben mit Decaf ein kleines Programm veröffentlicht, das Microsofts Forensik-Software Computer Online Forensic Evidence Extractor (COFEE) die Arbeit deutlich erschweren soll. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Solange es frei von Viren o. ä. ist, ein Pflichtdownload für jedes Kiddie und jeden Filesharer, der ganz cool Musik über LimeWire lädt :D Wobei dann das Virenargument eh hinfällig ist :D Also Kinder: LADEN UND INSTALLIEREN :)
 
@DasFragezeichen: Und du glaubst allen Ernstes das würde helfen?
 
@DasFragezeichen: löschen ist ungleich löschen, sobald man die HDD in den Händen hält kann man auch richtig nachschauen. Da bringt so ein pseudo anti forensic tool nichts.
 
@tavoc: Seh ich auch so. Einschmelzen ist das beste :)
 
@tavoc: Encase ist sehr verletzlich, falls es nicht schon längst passiert ist, wäre Pwn2Own doch ein interessantes Gedankenspielchen. Wie kürzlich die niedersächsische Polizei vorführte, sind die auch fast voll auf Höhe der Zeit, da war nämlich das Internet quasi unbeaufsichtige "Rechtsfreie Zone" weil die Polizei Internetverbot bekommen hatte, wegen verb0rktem Virenscannerupdate. DK2000 hat auf die veraltete Polizei Software hingewiesen für die es keine Sicherheitsupdates mehr gibt: http://www.winfuture-forum.de/index.php?showtopic=173468 Wäre also wirklich eher verwunderlich, wenn die Polizeikisten nicht schon längst pwned sein sollten.
 
@Fusselbär: was soll mir mit encase/x-ways denn passieren? Der zu untersuchende Rechner ist gar nicht an, ich nehme einen Schreibschutzdongle, den ich vor die Platte hänge und kopiere mir erstmal die gesamte HDD bit für bit. Danach nehm ich nen sauberen Rechner mit den oben erwähnten Programmen ohne Internetzugang und schau mir alles an.

Was soll da verletzlich sein? Dateien auf der auszuwertenden Platte schau ich mir nur im Hex an, bzw stelle sie wieder her. Man muss ja keine Programme /exe starten, wozu gibts ollydb und VMs.
 
@tavoc: Um Encase ins straucheln zu bringen, muss der Rechner aus dem die Bits stammen, die mit Encase gescannt werden sollen, nicht an sein. Es reicht, das sich Encase an den Bits verschlucken kann. Und da ist es auch völlig irrelevant, ob das ein Image der Platte ist, von dem die Bits in Encase eingelesen werden, oder ob da irgendwelche "Schreibschutz" Spielerei die zu untersuchende Platte vor schreibenden Zugriffen "schützen" soll. Mag zwar jetzt noch wie Cyber-Punk-SF klingen, aber das hörte sich ja vor kurzem auch noch so an, in Bezug auf COFEE: http://winfuture.de/news,51708.html Aber die Realität hat die Fantasie dann doch viel schneller überholt, viel schneller als ich mir das vorgestellt hätte.
 
@Fusselbär: zu Encase hätte ich da gern mehr Infos, wenn du mir das zuschicken könntest.
 
@tavoc

Schlecht wenn man die Festplatte vorher mit der Gutmann-Methode formatiert hat.
 
@IchWillEuchNurÄrgern: Schlecht wenn man es jeden tag macht und es klingelt doch keiner oder was willst du uns damit sagen ?
 
@IchWillEuchNurÄrgern: schlecht das eine vollkommen leere Festplatte auch sehr verdächtig ist. Vorallem wenn sie im Rechner hängt
 
@tavoc: Aha verdächtig ist eine leere festplatte mag sein aber was passiert denn dann?Hände hoch sie sind verhaftet lassen sie sofort die leere/verdächtige festplatte fallen oder wie muss ich mir das vorstellen?
 
@IchWillEuchNurÄrgern: es reicht doch, das TC-Volume zu dismounten... Und das die ganzen komplexen Löschmethoden bei HDDs ziemlich sinnfrei sind, dazu gabs doch vor nicht all zu langer Zeit ne Studie und auch ne News hier. @tavoc: auch wenn eine leere oder verschlüsselte HDD verdächtig ist, nachweisen kann man dir damit nichts.
 
@Carp: dann schau ich mir die Wohnung an, und zu 99,99% finde ich etwas. Die Fehler liegen in der menschlichen Anfälligkeit für Überheblichkeit... PC ist total abgesichert, aber der Schrank mit den Ausdrucken nicht.
 
@tavoc: wer Sachen ausdruckt, die es wert sind verschlüsselt zu sein, dem ist nicht mehr zu helfen.
 
@Link: das war jetzt ein Beispiel..., aber ich versichere dir das man bei sogut wie jedem irgendwas finden kann, da man nicht allwissend ist und sich somit auch nicht gegen alles schützen kann. Meist siegt die Überheblichkeit.
 
@tavoc: Bei mir wirst du hunderte von gekauften cds und vinyls in den schränken finden da hast du recht!Ansonsten mach ich mir eh keine sorgen denn ich kaufe mir was ich haben möchte.Von daher könntest du gerne zu besuch kommen.Und meine aktenordner ok da findest du abrechnungen usw wenn es dich interessiert kannst du sie gerne lesen.
 
@Carp: na es wird schon nen grund geben warum man verdächtig wird, und bei den leuten die was verstecken ist die chance hoch das man das findet... Die normalo Bürger verstecken ja nix, was soll ich z.b. mit deinen xls Dokumenten, interessiert mich nicht. Die Bombenleger.doc schon eher...
 
@tavoc: Hehe hast du recht.Ich denke das die leute bei denen es früher oder später klingelt oder die post mit der abmahnung erscheint nur irgendwas zur beruhigung brauchen.Was aber meiner meinung nach eher placebo ist.Aber ich lasse sie in ihrem denken und hoffe auf gerechtigkeit.So und nun leg ich mir ne alte beatles scheibe auf den plattenteller :).
 
@tavoc: Wenn sie vor dir und deiner leeren Festplatte stehen, dann haben sie so oder so schon eine Durchsuchungsbefehl. Das heißt also, sie durchsuchen so oder so dein Zimmer /Wohnung und finden da Beweise + (und jetzt kannst du aussuchen ob du diesen Punkt vllt nicht einfach wegmachen kannst) Beweise auf der Festplatte. Das ist so als ob du 10 Diebstähle zugibst oder 20. Deiner Aussage nach machts kein Unterschied. mfG Ex!Li
 
@tavoc: Dann kann dir aber keiner mehr was nachweisen.
 
@tavoc: Nur zu gut, dass neben dem Schrank mit dem papieren zufällig ein Ofen ist.
 
@IchWillEuchNurÄrgern: hast du schon mal den blauen Pfeil ausprobiert? Mach mal, ist echt ne tolle Erfahrung, wirst du nie mehr vergessen.
 
Bei mir stürzt es mit nem Fehler ab, leider.
 
@programmajr:
entweder benutzt du kein XP oder du hast dir n Trojaner eingehandelt, fast jedes COFEE im Netz is nicht frei von Malware.
außerdem ist das Programm eh fürn Mülleimer, kann nichts tolles....
 
Alle, die Vista oder Seven nutzen brauchen das Tool eh nicht, da COFEE da eh nicht läuft!
 
@mechworm: Aha stimmt denn windows funkt eh schon alles wichtige nach hause :).Aber google ist ja so böse genau.
 
@mechworm: Ganz zu schweigen von MacOS und Linux. Arme hilflose Polizei, hat denn keiner Mitleid und programmiert denen ein Multi-Plattform COFEE?
 
nett wäre es doch dass wenn das coffee tool angesteckt wird, eine Formatierung mit petergutman methode gemacht wird :)
 
@Ludacris: Bäh, Formatierung, Kinderkram! Pwn2Own wäre doch viel interessanter. :-)
 
@Fusselbär: Pwn2Own ist ein Wettbewerb, was soll man damit?
 
@tavoc: Klar ist "Pwn2Own" ein Hackwettbewerb. Kurz beschrieben: wer die Maschine hackt, dem gehört sie. Also wie beim unauffällig übernommen COFEE USB-Stick und all die Kisten, in die der COFEE USB-Stick dann noch reingesteckt wird und alle mit diesen Kisten verbunden Kisten. Hackwettbewerb eben. Mag zwar nicht jedem Teilnehmer so ganz klar sein, das die Teilnahme automagisch und lautlos erfolgt, sobald der COFEE USB-Stick irgendwo reingesteckt wird, aber gut. Klingt möglicherweise noch wie Cyber-Punk-SF. Aber wer weiß ob das nicht bereits alles schon längst passiert ist? Das Decaf hatte vor kurzem hier auch noch keiner für denkbar gehalten und nun ist es Realität. Btw. die Webseite von der Decaf Software funktioniert nicht wirklich. Aber wenn man mal in den Sourcecode reinguckt, findet man da bereits was, das mit "Dropper" benannt ist. Na klingelts, wofür sowas irgendwann taugen könnte?
 
Kürzlich habe ich das noch ausgemalt, das so was doch möglich wäre und nun ist das mit etwas Fantasie ausgemalte schon in den News, das ging ja schnell: http://winfuture.de/news,51708.html Da hat die Realität die Fantasie überholt. :-) Hacker FTW!
 
@Fusselbär: Huch, zu spät. Ich wollte gerade das TrueCrypt-developer Team bitten eine Art fake-Datenspur mit Verzeichnissen wie ware_z, p_orn etc. einzuführen. Dann freuen sich die Bul len und denken sie hätten was gefunden :-)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles