Hackers hebben een tool online gezet om het forensische gereedschap dat Microsoft aan opsporingsdiensten geeft te omzeilen. DECAF, Detect and Eliminate Computer Assisted Forensics, is het antwoord op Microsoft's COFEE, Computer Online Forensic Evidence Extractor. Sinds vorig jaar kunnen Internetpol en andere politiediensten over COFEE beschikken, dat bestaande forensische tools automatiseert, zodat agenten met een zeer beperkte kennis van IT forensics, toch gegevens op een juiste manier kunnen veiligstellen. Het programma is alleen beschikbaar voor opsporingsdiensten, maar lekte begin november uit op het internet.

DECAF, omschreven als een counter intelligence tool, biedt real-time monitoring van COFEE signatures op USB apparaten en draaiende applicaties. Zodra het COFEE aantreft, voert DECAF verschillende processen uit, waaronder het leegmaken van de COFEE logs, het uitwerpen van de USB-stick, een drive-by dropper en een uitgebreide lijst van "Lockdown Mode" instellingen. Met de laatste optie kan de gebruiker bij verdachte activiteit het systeem automatisch laten vergrendelen of gevoelige informatie verwijderen. De kracht van DECAF ligt in de zeer uitgebreide configuratie mogelijkheden. Zo is het mogelijk om bijna alle hardware uit te schakelen en vooraf ingestelde bestanden, cache en geschiedenis bijvoorbeeld, in de achtergrond te verwijderen. Via de "Spill the cofee" mode is het mogelijk om de werking van DECAF te simuleren, zodat gebruikers zeker weten dat de gekozen instellingen werken.

Gezond
Bij toekomstige versies is het mogelijk om op afstand, via tekstberichten en e-mails, de computer uit te schakelen. Ook zal er een waarschuwingsdienst komen, in het geval van een noodsituatie er iemand gewaarschuwd moet worden. De nog te verschijnen versie zal daarnaast lichter zijn en als Windows service kunnen draaien. "We willen een gezonde, onbeperkte stroom van internetverkeer promoten en demonstreren dat opsporingsdiensten niet alleen op Microsoft moeten vertrouwen voor het automatiseren van de verzameling van bewijs", aldus de makers. De 181KB grote applicatie is via decafme.org te downloaden.