DECAF existe, y funciona...


A propósito del anterior post sobre M$ Cofee, queremos hablar también de la controversia que ha generado la aparición de su contramedida: la herramienta DECAF, que podéis encontrar en http://decafme.org/.

Y decimos controversia porque existen numerosas noticias informando que DECAF ha sido retirado y que se trata de un truco publicitario para aumentar la concienciación sobre la seguridad (por ej. http://bitelia.com/2009/12/decaf-retirado-todo-fue-un-truco-publicitario).

Nada más lejos de la realidad. La herramienta está disponible y funciona. Podéis descargar la versión 2 desde la página de sus autores, los cuales nos cuentan que se trata de una utilidad anti-forense no sólo contra Cofee sino también para otras ‘célebres’ como Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster, y Ophcrack.

Esta versión además permite cargar tus propias firmas (‘signatures’) para hacerla válida contra otras suites o herramientas forenses. Permite monitorizar dispositivos USB, CD-ROM y procesos en busca de actividad de alguna de estas herramientas.

Al igual que un IPS, si DECAF, a través de alguna de sus firmas, detecta actividad sospechosa, se encargará de bloquear la pantalla, desactivar el dispositivo y/o ejecutar nuestro propio binario.

Imaginaros las posibilidades de esto último, podemos ocultar y ‘troyanizar’ DECAF  y tener preparado un ejecutable para mandarnos un correo informándonos de que alguien está husmeando en nuestro equipo o, lo que es peor/mejor, borrar información ante cualquier atisbo de duda…


Comentarios