Hackers declare war on international forensics tool
Microsoft's COFEE decaffeinated
By Dan Goodin in San Francisco • Get more from this author
Posted in Crime, 14th December 2009 06:40 GMT
Theo: http://www.theregister.co.uk/2009/12/14/microsoft_cofee_vs_decaf/
Bài được đưa lên Internet ngày: 14/12/2009
Lời người dịch: Trong khi Microsoft cung cấp cho Interpol phần mềm COFEE để “những thanh tra viên thu thập lịch sử việc duyệt, các tệp tạm thời và những dữ liệu nhạy cảm khác từ hầu hết các máy tính dựa trên Windows” thì các tin tặc đã đưa ra DECAF để chống lại. “DECAF khuyến khích một loạt khổng lồ các biện pháp hướng vào người sử dụng chống lại COFEE. Bổ sung cho việc xóa toàn bộ một thư mục các tệp tạm thời trong vài giây dò tìm ra các tệp hoặc các quy trình liên quan tới công cụ điều tra này, Decaf còn có thể xóa tất cả các nhật ký log của COFEE, vô hiệu hóa đầu USB, và làm hỏng hoặc đánh lừa một loạt các địa chỉ MAC. Các phiên bản trong tương lai hứa hẹn sẽ bổ sung các tính năng mà chúng cho phép người sử dụng khóa từ xa các hệ thống được bảo vệ.”
Tin tặc đã tung ra phần mềm chúng nói phá hoại một bộ các tiện ích pháp lý mà Microsoft cung cấp một cách tự do cho hàng trăm cơ quan tăng cường pháp luật khắp thế giới.
Decaf là một ứng dụng hạng nhẹ mà nó theo dõi các hệ thống Windows hiện diện của COFEE, một đống khoảng 150 công cụ điểm – và – nháy được sử dụng bởi cảnh sát để thu thập bằng chứng số tại các hiện trường tội phạm. Khi một đầu USB chứa phần mềm này của Microsoft được gắn vào một máy tính cá nhân được bảo vệ, thì Decaf tự động chạy một loạt các biện pháp đối phó.
“Chúng tôi muốn cải tiến một tiến trình tự do không hạn chế về giao thông Internet và chỉ ra vì sao các cơ quan tăng cường pháp luật phải không chỉ dựa vào Microsoft để tự động hóa việc tìm kiếm bằng chứng tình báo của họ”, một trong 2 tin tặc đứng đằng sau Decaf đã nói cho The Register khi giải thích mục đích của dự án này.
Microsoft từng đổ COFEE tự do cho các quan chức tăng cường pháp luật từ ít nhất giữa năm 2007. Ngay đối với Computer Online Forensic Evidence Extractor, hãng đóng gói các công cụ pháp lý vào một USB dễ dàng sử dụng mà nó cho phép những thanh tra viên thu thập lịch sử việc duyệt, các tệp tạm thời và những dữ liệu nhạy cảm khác từ hầu hết các máy tính dựa trên Windows. COFEE được phân phối thông qua Interpol.
Tháng trước, khi COFEE bị lộ trên net, Microsoft đã lo lắng sự phát lộ này có thể cho phép các tin tặc tạo ra các biện pháp phản công lại. Các đại diện của Redmond đã không sẵn sàng ngay cho bình luận vào tối chủ nhật.
Decaf khuyến khích một loạt khổng lồ các biện pháp chống lại hướng vào người sử dụng chống lại COFEE. Bổ sung cho việc xóa toàn bộ một thư mục các tệp tạm thời trong vài giây dò tìm ra các tệp hoặc các quy trình liên quan tới công cụ điều tra này, Decaf còn có thể xóa tất cả các nhật ký log của COFEE, vô hiệu hóa đầu USB, và làm hỏng hoặc đánh lừa một loạt các địa chỉ MAC. Các phiên bản trong tương lai hứa hẹn sẽ bổ sung các tính năng mà chúng cho phép người sử dụng khóa từ xa các hệ thống được bảo vệ.
Phần mềm này đã bắt đầu reo rắc trong những người theo dõi tư nhân BitTorrent vào chiều chủ nhật, và ngay sau đó, nó đã được đưa lên ở đây. Tờ The Register đã không thể ngay lập tức phân tích tệp chạy được 181K này để khẳng định nó được thực hiện như được quảng cáo hay không.
Việc tung ra Decaf sau sự để lộ tháng trước của COFEE. Vào thời điểm mà các luật sư của Microsoft đã yêu cầu loại bỏ COFEE từ các site như Cryptome, thì vị thần này đã nằm ngoài cái chai. Vào ngày này, COFEE vẫn còn sẵn sàng trên Wikileaks.
Trong khi bọn tin tặc đang làm cho Decaf sẵn sàng chạy được, thì họ không đưa ra mã nguồn cho sự sợ hãi, họ nói, rằng các chữ ký được sử dụng sẽ được thiết kế đảo ngược. Thỏa thuận cấp phép của người sử dụng mà nó đi theo phần mềm này nói: “Bạn sẽ không gỡ bỏ, biên dịch lại, hoặc thiết kế ngược lại nó, toàn phần hoặc một phần, ngoại trừ đối với sự mở rộng được cho phép bởi pháp luật. Bạn sẽ không sử dụng DECAF cho những mục đích phi pháp. Bạn sẽ tuân thủ với tất cả các luật xuất khẩu. DECAF không được cấp phép, không được bán”.
Hackers have released software they say sabotages a suite of forensics utilities Microsoft provides for free to hundreds of law enforcement agencies across the globe.
Decaf is a light-weight application that monitors Windows systems for the presence of COFEE, a bundle of some 150 point-and-click tools used by police to collect digital evidence at crime scenes. When a USB stick containing the Microsoft software is attached to a protected PC, Decaf automatically executes a variety of countermeasures.
"We want to promote a healthy unrestricted free flow of internet traffic and show why law enforcement should not solely rely on Microsoft to automate their intelligent evidence finding," one of the two hackers behind Decaf told The Register in explaining the objective of the project.
Microsoft has been pouring free COFEE to law enforcement officers since at least mid 2007. Short for Computer Online Forensic Evidence Extractor, it packages forensics tools onto an easy-to-use USB stick that allows investigators to collect browsing history, temporary files and other sensitive data from most Windows-based machines. COFEE is distributed through Interpol.
Last month, when COFEE leaked to the net, Microsoft downplayed concerns the breach would allow hackers to create countermeasures. Redmond representatives weren't immediately available for comment late Sunday night.
Decaf boasts a huge variety of user-driven countermeasures against COFEE. In addition to nuking temporary files within seconds of detecting files or processes associated with the investigative tool, Decaf can also clear all COFEE logs, disable USB drives, and contaminate or spoof a variety of MAC addresses. Future versions promise to add features that allow users to remotely lock down protected systems.
The software began seeding on private BitTorrent trackers on Sunday afternoon, and shortly thereafter, it was posted here. The Register wasn't able to immediately analyze the 181 KB executable to confirm it performed as advertised.
The release of Decaf follows the leak last month of COFEE. By the time Microsoft lawyers demanded the removal of COFEE from sites such as Cryptome, the genie was already out of the bottle. To this day, COFEE remains available on Wikileaks.
While the hackers are making available the Decaf executable, they are not releasing the source code for fear, they say, that the signatures used will be reverse engineered. The end user license agreement that accompanies the software states: "You will not disassemble, decompile, or reverse engineer it, in whole or in part, except to the extent expressly permitted by law. You will not use DECAF for illegal purposes. You will comply with all export laws. DECAF is licensed, not sold." ®
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.