16 635
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 635
https://androbit.net/ContentUploads/A821/emet.jpg
Kattints ide  ➜

EMET 5.0 bemutató

Droppa Béla2015.07.27. 18.00
Szükségünk van arra, hogy valaki fedezzen minket hátulról, ugyanis a fifikásabb támadók nem meglepő módon nem az orrunk előtt fogják végrehajtani a műveleteket, hanem inkább hátbatámadnak. Hiszed vagy sem, az alkalmazásokkal is ugyanez a helyzet: az appok nem mindig viselkednek úgy, mint ahogy arra számítanánk. Annak ellenére, hogy a Windowsban van beépített védelem erre az esetre, de néha nehéz lenne megmondani, hogy aktív-e ez a védelem, illetve mennyire hatékonyan védi meg a kívánt rendszerösszetevőt.


Mi is pontosan az EMET?



Az Enhanced Mitigation Experience Toolkit (EMET) lényegében egy páncél, ami a Windowsban futó alkalmazások fölött nyújtózik el, és kötelezi őket – attól függetlenül, hogy az eredeti fejlesztőjük hogyan alkotta meg a programkódot – arra, hogy kihasználják a biztonsági védelmet, amit a Windowsba már eleve beépítettek a Microsoft koponyái.

A program legújabb verziója a Windows Vista Service Pack 2 és ezek utáni vérfrissítéseket támogatja, de elfut a Windows 7 és a Windows 8 (vagy 8.1) minden lehetséges kiadásán, legalábbis kliensoldalon. Szerverüzemeltetői oldalról nézve, az Enhanced Mitigation Experience Toolkit a Windows Server 2008 és Server 2008 R2, a Windows Server 2012, valamint a Server 2012 R2 összes kiadásán képes szolgálatot teljesíteni.

Az EMET egy csomagolás, ami olyan védelmi beállításokat engedélyez és hajtat végre a kívánt alkalmazásokkal, amik együttes használatával szignifikánsan fokozódik a gépünk biztonsága, valamint nagymértékben csökkenti az esélyt, hogy károkozó programkódokat futtathassanak le rajta. A legtöbb esetben a károkozóknak már az is nehézséget fog okozni, hogy végrehajtsák a terveiket, emiatt pedig már megéri telepíteni ezt a megoldást.

Cikkünk alanya legjobban olyan sérülékenységek kihasználása ellen tesz jó szolgálatot, amelyre a hivatalos foltozás még nem érkezett meg, így egy olyan eszközt kapunk, amit már csak ezért is megérné beilleszteni a biztonsági arzenálunkba. Az EMET legfrissebb, vagyis ötödik generációjában hat fő védekező megoldásra támaszkodik, ezek pedig az alábbi biztonsági technológiák:

Adatvégrehajtás megakadályozása

(Data execution prevention): a DEP még a Windows XP SP2-ben mutatkozott be, és azóta folyamatosan megtalálható az ablakos operációs rendszer minden egyes kiadásában. Alapvetően a DEP ellenőrzi a memóriába töltött alkalmazásokat, és azonosítja a hibákat, amik kihasználhatóak. Ha egy kódrészlet a nem megfelelő helyen indul el, akkor a Windows letiltja a kódrészleteket, méghozzá úgy, hogy a processzornak tiltja meg a lefuttatást.

Fontos megjegyezni, hogy az összes modern CPU támogatja ezt a funkciót (2005-től napjainkig, hiszen akkor debütált a fent említett XP-verzió). A DEP a Windows 64 bites verzióin automatikusan engedélyezve van, és a 64 bites alkalmazások is magától értetődőnek tartják, így itt az EMET-nek nincs dolga. Azonban a 32 bites alkalmazások (legyen x64 vagy x86-os a gép) problémát jelenthetnek, így itt van értelme kombinálni a DEP-et az EMET eszköztárával.

Címkiosztás-randomizátor

(Address space layout randomization): az ASLR egy olyan védelmi technológia, ami a puffer-túlcsordulási támadások megelőzésére szolgál. A megoldás lényegében feljegyzi az alkalmazás és a hozzá tartozó könyvtárak helyét és tulajdonságait. Az ASLR célja – és ez teszi igazán értékelendő kiegészítővé – az, hogy amennyiben egy exploit már betöltődött a memóriába, a betörő nem tudja túlcsordultatni azt és átugrani egy másikba.

A támadónak meg kell tippelnie, hogy a sebezhető kód mégis hol található meg a memóriában, de az a megadott hely minden egyes alkalmazásbetöltésnél megváltozik. Ráadásul egy alkalmazást nem úgy terveznek, hogy kiállja ezeket a tippelgetéseket, így az összeomlik, megakadályozva a támadó exploitjának finisbe érését.

Strukturált kivételkezelő felülírásvédelme (Structured exception handler overwrite protection): a SEHOP olyan exploitok ellen véd, amik felülírják a feladó címét egy kötegen, majd a hamis, rossz szándékkal készült kód felé irányítanak. Ez is többek között puffer-túlcsordulások esetén történhet meg. A szoftver kivételkezelője olyan funkciókat fog engedélyezni, amik segítik a támadót, hogy egy olyan címet adjon meg, ahol futtatható a malware.

A SEHOP biztosítja, hogy a kivételkezelők listája validált legyen, mielőtt egy applikáció képes azt lehívni. A SEHOP ezen felül a fent említett ASLR technológiával vállvetve küzd az ellen, hogy megelőzze a strukturált kivételkezelő felülírását. Amennyiben fejlesztő vagy, és a SEHOP működése két bekezdésnél jobban érdekel, az alábbi Microsoft Technet posztot neked találták ki. this Technet post

Tanúsítvány-ellenőrzés: A néha pinningnek hívott technológia frissen debütált a legújabb EMET verzióban, én azonban inkább a tanúsítvány-ellenőrzés elnevezést használnám, ugyanis meglátásom szerint ez jobban beleillik a nyelvünk struktúrájába. Lényegében az EMET tanúsítvány-ellenzőrzője megadja a lehetőséget, hogy szabályokat hozzunk létre a tanúsítványok specifikálásához, így megadhatjuk, hogy pontosan melyikben bízzon a rendszer.

Ezzel megelőzhetjük az olyan MitM (man-in-the-middle) támadásokat, amik ellenőrizetlen tanúsítványokkal próbálnak meg jogszerű szolgáltatásokat megszemélyesíteni, méghozzá megbízható hatóságok által hamisan kiállított igazolásokkal. Az EMET tanúsítvány-rögzítésével egyedileg megadhatjuk, hogy pontosan mely tanúsítványoknak hiszünk, és melyeknek nem. Egyébként ez kizárólag az Internet Explorert használóknak fontos, ugyanis a többi böngésző nem támogatja a tanúsítvány-rögzítést.

Támadófelület-csökkentés (Attack surface reduction): az ASR segít megelőzni az elavult vagy sebezhető pluginek vagy más applikáció szubkomponensek rendszerbe való betöltődését, attól függően, hogy milyen belső vagy külső erőforrás kéri azt. Akik a Java futtatási környezet (JRE) böngészőplugint egy igen elavult verzióban használják, mert a többi szoftver függ tőle, annak jó az ASR, mert a legújabb kiadás sebezhetőségeit be lehet vele fedni.

Legvégül az Exportált címtábla szűrés+ (export address table filtering plus) az, ami megemlítendő. Az EAF+ néhány olyan új támadási vektor ellen véd, amik a memória, és a memóriában tárolt modulok ellen irányulnak. Ezen csillapítások a támadási szörfözést és a visszatérés-orientált programozást segítenek megakadályozni, ahol az eszközök folyamatosan keresgélnek, és amint találnak valamit, lefuttatják rajta a káros kódot.


Egy boldog család



Történetesen, ezek a gyengeségek ellensúlyozzák egymást: ahol a DEP gyenge, ott az ASLR nem, és így tovább. A DEP a támadásokkor mintegy bejárati ajtóként funkciónál, ami megnehezíti a kódok lefuttatását. Ezt az ASLR azzal támogatja, hogy a támadó szemszögéből a sebezhető alkalmazás memóriamezejében kódolt rendetlenséget hoz létre, így megnehezítve a behatolónak a gonosztett végrehajtását.

A SEHOP is az ASLR-rel dolgozik együtt, méghozzá azt csinálják, hogy a támadó által kívánt helyen nem futtatják le a random kódot. Az EMET 5.0 egy előre konfigurált védőhálót von a beépített applikációk ismert sebezhetőségei köré, vagyis például az Adobe Acrobat és a Java futtatási környezet köré, de az olyan Microsoft-megoldásokat sem hagyja ki, mint az Office vagy az Internet Explorer.

Az előre konfigurált védelem opcionális, és mi magunk is beállíthatunk nekünk tetsző védelmeket, de az előre konfigurált beállítások legalább addig is képesek ellátni egy alapszintű védelmet, amíg a saját megoldásainkat implementáljuk. Az EMET böngészők közül a keveset használt és szinte mindenki által okkal gyűlölt Internet Explorert, és bizonyos esetekben a Firefoxot képes védelemmel felruházni.


Az EMET beállítása



Az EMET mindig legfrissebb verzióját a Microsoft weboldaláról lehet letölteni. Amennyiben már a számítógépünk fedélzetén van az eszköz, csupán egy egyszerű installációra van szükségünk, amit néhány perc alatt minden további nélkül el tudunk végezni. Ebben nem találunk majd különbséget, pont olyan less, mint bármely Windows-alkalmazás esetében. Miután megtörtént a telepítés, az alábbihoz hasonlító ablak fog megjelenni a monitoron.



A System Status (Rendszerállapot) területen a védelmi beállítások – vagyis a DEP, ASLR, valamint SEHOP – és a tanúsítvány-ellezőrző engedélyezve van-e. Az ablak tetején található Quick Profile Name területen található lenyíló menüben néhány igen korrekt előre definiált profillal találkozhatunk. Mivel még csak ekkor kezdjük el a beállítást, válasszuk a Maximum Security Settings profilt, azonban a gépet semmiképpen se indítsuk újra!

Ehelyett inkább nyissuk meg a parancssort adminisztrátori jogokkal, és aktiváljuk a beállított profilokat. A parancssorba a következőt írjuk be:

cd "C:\Program Files (x86)\EMET 5.0"

Majd ezt:

EMET_Conf.exe – import "Deployment\Protection Profiles\Recommended Software.xml"

Ezt követően az alábbiakhoz hasonló megerősítő üzenetet fogunk kapni:


  • Az EMET importálja a konfigurációt, kérjük várjon.

  • 86 bejegyzés feldolgozva.

  • A végrehajtott változtatások érvénybe léptetéséhez néhány alkalmazás újraindítására lehet szükség.



Ez annak a jele, hogy a profilok telepítésre kerültek, és már működnek is. Nos, ekkor meg kell mondani az EMET-nek, hogy pontosan milyen alkalmazásokat használunk. Ezt az EMET grafikus interfészén keresztül végezhetjük el. Azt azonban tartsuk észben, hogy mivel a parancssorból most importáltunk néhány alapvető profilt, már lesznek általunk létrehozott bejegyzések, amiket nem az EMET-ben tettünk meg.

A beállítás folytatásához és alkalmazások hozzáadásához a következő lépéseket hajtsuk végre:


  1. Nyissuk meg az EMET-et a Start menüből, már ha van ilyenünk.

  2. A szalagon, a Konfiguráció (Configuration) szekcióban klikkeljünk az alkalmazásokra.

  3. Ekkor feltűnik az alkalmazáskonfigurációs képernyő. A szalagon, a Hozzáadás/Eltávolítás szekción belül klikkeljünk az applikáció hozzáadása gombra.

  4. Egy sztenderd fájlkezelő jelenik meg. Ekkor értelemszerűen ki kell választani a kívánt program helyét, majd a Megnyitásra (Open) kell klikkelni.

  5. Az alkalmazás már hozzá is let adva az alkalmazáskonfigurációs képernyőn. Minden egyes sor egy-egy védelmi technológiát jelképez, itt ajánlott mindent engedélyezni.

  6. Ekkor meg is nyithatjuk a programot, de lehet, hogy előtte még egyszer újra kell indítanunk a gépünket.




Az EMET finomhangolása



Mivel az EMET egy, az alkalmazások köré vont páncélként funkcionál, és lehetséges, hogy az alkalmazás fejlesztője a termék néhány funkcióját nem méltányolta, nem lenne meglepő, ha adott esetben kompatibilitási problémákba fut bele az ember. Néhány észrevétel:

Kezdjünk az internetes appokkal. Ezek azok, amik a legnagyobb eséllyel tartalmaznak olyan sebezhetőséget, amit a felfedezőjük minél hamarabb ki akar aknázni, emiatt különösen fontos, hogy a lehető leghamarabb valamiféle extra védelmet kapjanak. Az sem elhanyagolható, hogy a felhasználók jellemzően itt töltik a legtöbb időt is. A belső céges használatra fejlesztett interenetes appokat viszont teljesen felesleges védeni, mert ezek sosem kerülnek ki céges környezetből, így nehéz lenne kihasználni a rajtuk található sérülékenységeket.

Értsük meg, hogy vannak alkalmazások, amik nem működnek az EMET-tel. A Google Chrome például ilyen, itt az EAF+ védelmet (az applikációkonfigurációs képernyőn az ötödik oszlop az EAF) kell kikapcsolni, de a Skype is csak akkor működik, ha ezt kiiktatjuk. De azt fontos megjegyezni, hogy mindenki másfajta programokat használ, így mindenkinek más, az igényeinek a legjobban megfelelő biztonsági beállításokat kell kitapasztalnia.


Végszó



A Microsoft Enhaced Mitigation Experience Toolkit egy igazán komplex, de használható eszköz az asztali és hordozható gépeink integritásának védelme érdekében. Vagyis a munkavállalók által mindennap használt termékeket tudjuk védeni vele, mégpedig ez a legfontosabb, hiszen ők kezelik a bizalmas fájlokat, hoznak létre értéket és adnak hozzá a cég értékéhez. Azt azonban nem szabad elfelejteni, hogy szerverkontextusban és informatikai környezetben akár több kárt is okozhat, mint hasznot hozhat.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Ezek a Huawei‑készülékek kapják meg az Android 7.0 Nougat frissítést
A következő Apple Watch okosóra már kör alakú lehet
Benjamin minden videójában 4 órán át ül és mosolyog
Videókból fog tanulni a mesterséges inteligencia
Ingyenes nCore regisztráció ‑ Újabb csalók próbálkoznak
Hamarosan Apple‑drónok fognak repkedni a fejünk felett
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Ezek a jelenleg kapható legerősebb okostelefonok
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Ingyenes nCore regisztráció - Újabb csalók próbálkoznak
Egy alkalmazás bitcoin-terminált csinál a telefonunkból
A Firefox 0-day sebezhetőségével leplezik le a Tor-felhasználókat
Állásajánlatok
System Administrator Budapest
Szoftvertesztelő
Projekt menedzser
Szoftver Architekt orvostechnológiai terület, .NET/C#
Development Expert
Service Desk munkatárs
Automotive Tester Budapest