Roma - Microsoft ci aveva provato a chiudere il vaso di Pandora aperto con la
distribuzione non autorizzata di COFEE sui network di P2P, temendo possibili contromosse da parte di hacker o cybercriminali. Ma la
minaccia legale non è bastata a fermare il libero fluire in Rete del tool forense e
alla fine quella contromossa si è concretizzata nella forma di
DECAF: ovvero
Detect and Eliminate Computer Assisted Forensics.
Nella stessa misura in cui COFEE serve agli investigatori per raccogliere prove e tracce su sistemi informatici connessi a indagini e crimini, così DECAF appronta una serie di contromisure tese a bloccare tutti i tentativi di intromissione, analisi e log possibili col tool gratuito di Redmond.
"Vogliamo promuovere un sano e illimitato flusso del traffico Internet e dimostrare perché le forze dell'ordine non dovrebbero affidarsi soltanto a Microsoft per automatizzare la ricerca intelligente di prove"
ha detto uno degli autori di DECAF spiegando
le motivazioni alla base del software da lui contribuito a creare.
Da Redmond avevano provato a far sparire le tracce di COFEE minacciando ritorsioni legali per quei siti che lo avessero continuato a offrire come download, e come dimostra l'esistenza di DECAF la possibilità di veder nascere una contromisura in quegli ambienti dove per Microsoft si annida l'illegalità, il software non certificato e ogni genere di pericoli per l'utente, era ben più che concreta.
Una volta installato in pianta stabile sul sistema, DECAF agisce monitorando il PC e verificando l'avvio dei processi, il collegamento di chiavette USB e l'esistenza di tracce riconducibili ai file di COFEE. Nel qual caso l'esito del monitoraggio dinamico fosse positivo, DECAF provvede automaticamente a
cancellare i log creati dall'utility forense, camuffare gli indirizzi fisici MAC, "smontare" e disabilitare i drive USB e altro ancora. I suoi due autori promettono inoltre future versioni capaci di bloccare il sistema protetto agendo da remoto.
Appare ovviamente scontato il fatto che, anche qualora Microsoft provasse a buttare il giù il sito di DECAF, il tool continuerebbe a essere disponibile in rete, sul P2P e altrove, magari su
Wikileaks dove già hanno provveduto a
ospitare COFEE. Si attende ora la risposta che Redmond deciderà di fornire all'esistenza del "decaffeinato" del loro forensics tool.
Alfonso Maruccia