Aplikacje w szklance – EMET

Oprogramowanie w dzisiejszych czasach jest coraz bardziej rozbudowane, przez co szybkie zniwelowanie wykrytej luki staje się coraz trudniejsze. Bardzo często słyszy się, że po wykryciu dziury praktycznie na drugi dzień powstaje exploit, który ją wykorzystuje. Od czasu stworzenia exploita do czasu załatania luki nastaje bardzo niebezpieczny czas zagrożenia. Przed infekcją nawet najlepszy program antywirusowy i firewall może nas nie uratować.

Microsoft stworzył program, który ma za zadanie ochronić aplikację przed atakiem exploitów. Program o niezbyt skompilowanej nazwie Enhanced Mitigation Experience Toolkit (w skrócie EMET) tworzy wokół aplikacji pewne warstwy bezpieczeństwa, które mają sprawić, że aplikacja będzie przez to bezpieczniejsza.

Interfejs

Interfejs programu jak dla mnie jest bardzo czytelny:

Możemy z jego poziomu wybrać restrykcje ochrony dla aplikacji, dodać aplikację oraz wybrać jakimi metodami ma być ona chroniona. Program oferuje takie opcje ochrony:

(DDEP) – Dynamic DEP

(ASLR) – Address Space Layout Randomization

(SEHOP) – Structured Exception Handler Overwrite Protection

Export Address Table Access Filtering

Heap Spray Allocation / Null Page Allocation

Podobno nawet EMET zadziała wtedy, gdy aplikacje nie wspiera wyżej wymienionych zabezpieczeń. Nie wiem jak to jest technicznie możliwe, ale OK.

Dodajemy aplikację

Dodanie nowej aplikacje do EMET-a jest banalnie proste. W głównym oknie programu klikamy na Configure Apps, następnie na Add i podajemy główny plik wykonywalny aplikacji. Nowo dodany program pojawi się na liście:

Możemy tutaj wybrać jakimi metodami aplikacja ma być chroniona.

Współpraca z aplikacjami

Może się zdarzyć, że nie wszystkie programy będą współpracowały z EMET-em. Mnie osobiście żadne zwiechy się nie zdarzyły. Być może dlatego, że testowałem go tylko odnośnie do przeglądarek. Jednak w internecie można był znaleźć informację o tym, że starsze wersje Google Chrome lubiły się sypać, gdy EMET je chronił. Mnie osobiście nic takiego nie spotkało.

Jakie aplikacje chronić

Według mnie w pierwszej kolejności powinny być chronione przeglądarki internetowe. To z nich korzystamy najczęściej. Na drugim miejscu powinien znaleźć się Adobe Reader. Bardzo często słyszy się o dziurach w tym programie, o atakach poprzez pdf itd. Trzecie miejsce to Flash. Kolejne pozycje to już praktycznie pełna dowolność. Ja dowaliłbym jeszcze pakiet Office, głównie Word bo z niego najczęściej korzystam i jakieś egzotyczne programy typu klient Dropbox, Windows Live Mesh itd.

Realne bezpieczeństwo

Nie mam pojęcia na ile realnie zostanie zwiększone bezpieczeństwo programów po dodaniu ich pod skrzydła EMET-a. Musiałby się znaleźć ktoś taki, który by przeprowadził techniczne testy, czyli np. atakował aplikacje z ochroną, bez niej i wykonywał inne cudości. Należy jednak pamiętać, że EMET nie zwalnia nas od myślenia. Wciąż musimy uważać na jakie strony wchodzimy, jakie pliki pobieramy. Enhanced Mitigation Experience Toolkit można zwiększyć nasze bezpieczeństwo, ale wcale nie musi.

Aplikację można pobrać stąd.