Los hackers han liberado software que dicen que sabotea un conjunto de utilidades forenses de Microsoft que las provee gratuitamente a cientos de agencias de cumplimiento de la ley en todo el mundo.
Decaf es una aplicación liviana que monitorea en los sistemas Windows la presencia de COFEE, un paquete de unas 150 herramientas de apuntar y cliquear usadas por la policía para recolectar evidencia digital en la escena del crimen. Cuando se introduce una memoria USB, que contiene las herramientas de Microsoft, en una máquina protegida, Decaf ejecuta automáticamente una variedad de contra-medidas.
«Queremos promover un tráfico libre saludable e irrestricto en Internet y mostrar porqué las fuerzas policiales no deben basarse solamente en Microsoft para automatizar su búsqueda inteligente de evidencia,» le dijo a The Register uno de los dos hackers detrás de Decaf al explicar el objetivo del proyecto.
Microsoft ha estado sirviendo COFEE gratuito a los oficiales de fuerzas policiales desde mediados de 2007. Abreviatura de Computer Online Forensic Evidence Extractor, empaquetan herramientas forenses en una memoria USB de fácil uso que les permite a los investigadores recolectar historial de navegación archivos temporales y otros datos sensibles de la mayoría de las máquinas basadas en Windows. COFEE es distribuido a través de la Interpol.
El mes pasado, cuando COFEE se filtró en la red, Microsoft minimizó las preocupaciones respecto que la fuga le pudiera permitir a los hackers la creación de contramedidas. Representantes de Redmond no estuvieron inmediatamente disponibles para comentarlo el domingo a ultimas horas de la noche.
Decaf dispone de una enorme variedad de contramedidas de usuario contra COFEE. Además de destruir archivos temporales apenas en segundos de detectar los archivos o los procesos asociados con la herramienta de investigación, Decaf también puede borrar todos los registros de COFEE, deshabilitar los discos USB, y contaminar o falsificar una variedad de direcciones MAC. La próximas versiones prometen agregar características que permitan al usuarios bloquear de forma remota los sistemas protegidos.
El programa comenzó a alimentar un tracker privado de BitTorrent el domingo por la tarde, y poco después, fue publicado aquí. The Register no pudo analizar de inmediato el ejecutable de 181kb para confirmar si realiza lo que se promociona.
La publicación de Decaf sigue a la fuga del mes pasado de COFEE. Mientras tanto, abogados de Microsoft, demandaron la eliminacion de COFEE de sitios tales como Crytome, el genio ya está fuera de la botella. Al día de hoy COFEE sigue disponible en Wikileaks.
Mientra que los hackers hacen disponible el ejecutable de Decaf, no están liberando el código fuente por temor, dicen ellos, que las firmas sean usadas para ingeniería reversa. La licencia de acuerdo para usuarios final que acompaña al programa establece: «Ud. no desensamblará, descompilará, o hará ingeniería reversa en el total o en parte, excepto hasta donde es permitido expresamente por la ley. Ud. no usará DECAF con propósitos ilegales. Ud. cumplirá con todas las leyes de exportación. DECAF es licenciado, no es vendido.»
Mas información en:
COFEE para todos. Microsoft invita
Instalación, Configuración y Uso del Microsoft Cofee
Enfoque Seguro
Traducción: Raúl Batista – Segu-info
Dan Goodin
Fuente: The Register UK
