Gehackte Version der Anti-Beweissicherungssoftware DECAF verfügbar

Die Website SoldierX bietet eine gehackte Version der Anti-Schnüffelsoftware „Detect and Eliminate Computer Assisted Forensics“ (DECAF) an. DECAF ist ein Utility, die den Einsatz von Microsofts Beweissicherungstool „Computer Online Forensic Evidence Extractor“ (COFEE) durch Polizeibeamte vor Ort verhindert.

Die Betreiber von SoldierX fanden heraus, dass DECAF zwar den Einsatz von COFEE unterbindet und darüber hinaus temporäre sowie andere grundsätzlich „verdächtige“ Dateien löscht, beispielsweise Bittorrent-Clients, jedoch zahlreiche Informationen „nach Hause telefoniert“ und zudem von außen deaktiviert werden kann. Die gehackte Version ist nach Angaben von SoldierX von diesen unerwünschten Funktionen befreit.

COFEE ist eine Software, die Microsoft kostenlos an Polizeibehörden verteilt. Sie befindet sich auf einem USB-Stick und kann von Beamten mit sehr geringen IT-Kenntnissen eingesetzt werden. Sie dient vor allem dazu, die Informationen im Hauptspeicher und den aktuellen Bildschirminhalt zu sichern, die nach einem Ausschalten des Computers nicht mehr verfügbar sind.

Der Einsatz lohnt sich für die Ermittlungsbehörden in der Regel nur zusammen mit einer nachfolgenden Beschlagnahmung des Rechners. Der Nutzen von DECAF ist daher in der aktuellen Version für den Verdächtigen gering.

Allerdings gibt es bereits Überlegungen, DECAF so weiterzuentwickeln, dass bei der Erkennung einer COFEE-Nutzung bestimmte Verzeichnisse wie C:TOP-SECRET automatisch durch mehrfaches physisches Überschreiben gelöscht werden. Dann wird die Beweissicherungssoftware ohne Wissen der Beamten zur Beweisvernichtungsmaschine.