Tin tặc tuyên bố chiến tranh về công cụ pháp lý quốc tế

Hackersdeclare war on international forensics tool

Microsoft's COFEEdecaffeinated

By DanGoodin in San Francisco • Getmore f-rom this author

Posted in Crime,14th December 2009 06:40 GMT

Theo:http://www.theregister.co.uk/2009/12/14/microsoft_cofee_vs_decaf/

Bài được đưa lênInternet ngày: 14/12/2009

Lờingười dịch: Trong khi Microsoft cung cấp cho Interpol phầnmềm COFEE để “những thanh tra viên thu thập lịch sửviệc duyệt, các tệp tạm thời và những dữ liệu nhạycảm khác từ hầu hết các máy tính dựa trên Windows”thì các tin tặc đã đưa ra DECAF để chống lại. “DECAFkhuyến khích một loạt khổng lồ các biện pháp hướngvào người sử dụng chống lại COFEE. Bổ sung cho việcxóa toàn bộ một thư mục các tệp tạm thời trong vàigiây dò tìm ra các tệp hoặc các quy trình liên quan tớicông cụ điều tra này, Decaf còn có thể xóa tất cả cácnhật ký log của COFEE, vô hiệu hóa đầu USB, và làm hỏnghoặc đánh lừa một loạt các địa chỉ MAC. Các phiênbản trong tương lai hứa hẹn sẽ bổ sung các tính năngmà chúng cho phép người sử dụng khóa từ xa các hệthống được bảo vệ.”

Tin tặc đã tung raphần mềm chúng nói phá hoại một bộ các tiện ích pháplý mà Microsoft cung cấp một cách tự do cho hàng trăm cơquan tăng cường pháp luật khắp thế giới.

Decaf là một ứngdụng hạng nhẹ mà nó theo dõi các hệ thống Windows hiệndiện của COFEE, một đống khoảng 150 công cụ điểm –và – nháy được sử dụng bởi cảnh sát để thu thậpbằng chứng số tại các hiện trường tội phạm. Khi mộtđầu USB chứa phần mềm này của Microsoft được gắnvào một máy tính cá nhân được bảo vệ, thì Decaf tựđộng chạy một loạt các biện pháp đối phó.

“Chúng tôi muốn cảitiến một tiến trình tự do không hạn chế về giao thôngInternet và chỉ ra vì sao các cơ quan tăng cường pháp luậtphải không chỉ dựa vào Microsoft để tự động hóa việctìm kiếm bằng chứng tình báo của họ”, một trong 2tin tặc đứng đằng sau Decaf đã nói cho The Register khigiải thích mục đích của dự án này.

Microsofttừng đổ COFEE tự do cho các quan chức tăng cường phápluật từ ít nhất giữa năm 2007. Ngay đối với ComputerOnline Forensic Evidence Extractor, hãng đóng gói các công cụpháp lý vào một USB dễ dàng sử dụng mà nó cho phépnhững thanh tra viên thu thập lịch sử việc duyệt, cáctệp tạm thời và những dữ liệu nhạy cảm khác từhầu hết các máy tính dựa trên Windows. COFEE được phânphối thông qua Interpol.

Tháng trước, khiCOFEE bị lộ trên net, Microsoft đã lo lắng sự phát lộnày có thể cho phép các tin tặc tạo ra các biện phápphản công lại. Các đại diện của Redmond đã không sẵnsàng ngay cho bình luận vào tối chủ nhật.

Decafkhuyến khích một loạt khổng lồ các biện pháp chốnglại hướng vào người sử dụng chống lại COFEE. Bổsung cho việc xóa toàn bộ một thư mục các tệp tạmthời trong vài giây dò tìm ra các tệp hoặc các quy trìnhliên quan tới công cụ điều tra này, Decaf còn có thểxóa tất cả các nhật ký log của COFEE, vô hiệu hóa đầuUSB, và làm hỏng hoặc đánh lừa một loạt các địa chỉMAC. Các phiên bản trong tương lai hứa hẹn sẽ bổ sungcác tính năng mà chúng cho phép người sử dụng khóa từxa các hệ thống được bảo vệ.

Phần mềm này đãbắt đầu reo rắc trong những người theo dõi tư nhânBitTorrent vào chiều chủ nhật, và ngay sau đó, nó đãđược đưa lên ở đây. TờThe Register đã không thể ngay lập tức phân tích tệpchạy được 181K này để khẳng định nó được thựchiện như được quảng cáo hay không.

Việc tung ra Decaf sausự để lộ tháng trước của COFEE. Vào thời điểm màcác luật sư của Microsoft đã yêu cầu loại bỏ COFEE từcác site như Cryptome, thì vị thần này đã nằm ngoài cáichai. Vào ngày này, COFEE vẫncòn sẵn sàng trên Wikileaks.

Trong khi bọn tin tặcđang làm cho Decaf sẵn sàng chạy được, thì họ khôngđưa ra mã nguồn cho sự sợ hãi, họ nói, rằng các chữký được sử dụng sẽ được thiết kế đảo ngược.Thỏa thuận cấp phép của người sử dụng mà nó đitheo phần mềm này nói: “Bạn sẽ không gỡ bỏ, biêndịch lại, hoặc thiết kế ngược lại nó, toàn phầnhoặc một phần, ngoại trừ đối với sự mở rộng đượccho phép bởi pháp luật. Bạn sẽ không sử dụng DECAF chonhững mục đích phi pháp. Bạn sẽ tuân thủ với tất cảcác luật xuất khẩu. DECAF không được cấp phép, khôngđược bán”.

Hackershave released software they say sabotages a suite of forensicsutilities Microsoft provides for free to hundreds of law enforcementagencies across the globe.

Decafis a light-weight application that monitors Windows systems for thepresence of COFEE, a bundle of some 150 point-and-click tools used bypolice to collect digital evidence at crime scenes. When a USB stickcontaining the Microsoft software is attached to a protected PC,Decaf automatically executes a variety of countermeasures.

"Wewant to promote a healthy unrestricted free flow of internet trafficand show why law enforcement should not solely rely on Microsoft toautomate their intelligent evidence finding," one of the twohackers behind Decaf told The Register in explaining theobjective of the project.

Microsofthas been pouringfree COFEE to law enforcement officers since at least mid 2007.Short for Computer Online Forensic Evidence Extractor, it packagesforensics tools onto an easy-to-use USB stick that allowsinvestigators to collect browsing history, temporary files and othersensitive data f-rom most Windows-based machines. COFEE is distributedthrough Interpol.

Lastmonth, when COFEE leakedto the net, Microsoft downplayed concerns the breach would allowhackers to cre-ate countermeasures. Redmond representatives weren'timmediately available for comment late Sunday night.

Decafboasts a huge variety of user-driven countermeasures against COFEE.In addition to nuking temporary files within seconds of detectingfiles or processes associated with the investigative tool, Decaf canalso clear all COFEE logs, disable USB drives, and contaminate orspoof a variety of MAC addresses. Future versions promise to addfeatures that allow users to remotely lock down protected systems.

Thesoftware began seeding on private BitTorrent trackers on Sundayafternoon, and shortly thereafter, it was posted here.The Registerwasn't able to immediately analyze the 181 KB executable to confirmit performed as advertised.

Therelease of Decaf follows the leak last month of COFEE. By the timeMicrosoft lawyers demandedthe removal of COFEE f-rom sites such as Cryptome, the genie wasalready out of the bottle. To this day, COFEE remainsavailable on Wikileaks.

Whilethe hackers are making available the Decaf executable, they are notreleasing the source code for fear, they say, that the signaturesused will be reverse engineered. The end user license agreement thataccompanies the software states: "You will not disassemble,decompile, or reverse engineer it, in whole or in part, except to theextent expressly permitted by law. You will not use DECAF for illegalpurposes. You will comply with all export laws. DECAF is licensed,not sold." ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com