Das Antiforensik-Tool DECAF, welches sich speziell gegen Microsofts forensische Toolsammlung COFEE richtete, stellte sich inzwischen als PR-Gag, als eine Art Hoax heraus. Sämtliche Kopien des Programms wurden vor kurzem per Fernsteuerung deaktiviert.
Das erst kürzlich allerdings ohne Quellcode veröffentlichte Tool war niemals für den aktiven Einsatz bestimmt. Auf ihrer Website, die mittlerweile mit „Game Over“ überschrieben ist, schreiben die Macher, sämtliche Exemplare von DECAF wären von ihnen zentral deaktiviert worden. Das Projekt sei eine Aktion gewesen, um das Bewusstsein für Sicherheit und den Bedarf nach besseren Forensik-Tools zu erhöhen. Es sollte die Menschen dazu auffordern, insbesondere im professionellen Umfeld verantwortungsbewusster mit Fragen der IT-Sicherheit umzugehen. Zudem sollten insbesondere Regierungen sich nicht auf intransparente automatische Tools verlassen, sondern in die Ausbildung kompetenter Experten investieren.
Inzwischen wurde diese Erklärung durch eine weitere ersetzt, in der die Decaf-Entwickler ankündigen, den Quellcode ihres Tools zusammen mit der Domain verkaufen zu wollen. Zudem fordern sie am Thema IT-Sicherheit und IT-Forensik Interessierte zur Kontaktaufnahme auf. Anscheinend plant man ein größeres Team aufzubauen, das sich mit der Aufdeckung und Publizierung von Exploits und Schwachstellen sowie der Erstellung von Fachartikeln und Lehrmaterial für die Community beschäftigen soll. Bewusst sollen neben Experten auch thematische Anfänger und Fortgeschrittene angesprochen werden, um so an der Schließung der Fachkräftelücke im Bereich IT-Sicherheit in den Unternehmen zu arbeiten.
Hier dürfte ein gutes Stück Eigenwerbung dahinterstecken, da z.B. regelmäßig auf Bugtraq oder ähnlichen Listen publizierende Security-Researcher durchaus auch in der Community wahrgenommen werden.
Wenn es also primär darum ging, für ein solches Vorhaben einen entsprechenden PR-Aufschlag hinzulegen, dürfte die Aktion gelungen sein. Trotzdem bleiben etliche Fragen offen, wie auch Annika Kremer auf Gulli.com findet:
DECAF – ein Proof of Concept, eine Kampagne für bessere IT-Sicherheit oder ein Hoax, ein PR-Stunt konservativer religiöser Spinner? Oder irgend etwas dazwischen? Ein Beweis, dass man Closed Source-Software nicht trauen kann? Vieles bleibt angesichts des spektakulären und für viele wohl unerwarteten Endes des Projekts offen, und auch das angekündigte Diskussionsforum der beiden Verantwortlichen wird kaum alle Fragen klären. Klar ist allein eines: Wer sich Sorgen um Microsofts Forensik-Tool macht, wird in Zukunft selbst kreativ werden müssen.
Verfasst von Guido Strunck 
