EMET - Darmowe, dodatkowe zabezpieczenie systemu i aplikacji

Jak zapewne część z Was już zauważyła, od kilku tygodni co poniedziałek pojawia się opis wybranej, darmowej aplikacji. Ta seria ma na celu zapoznanie z interesującymi programami dostępnymi bez ponoszenia jakichkolwiek opłat. Część z nich dotyczy bezpieczeństwa, inne to typowe aplikacje użytkowe do różnych zadań. W ubiegłym tygodniu pochyliliśmy się nad SpyShelterem, polskim oprogramowaniem do ochrony przed keyloggerami, które radzi sobie nawet z najnowszymi systemami Windows. Teraz zapraszam do przeglądu EMET-a. Jest to niewielka aplikacja przygotowana przez firmę Microsoft, która może znacznie zwiększyć poziom ochrony większości komputerów. Wszystko to bez wydawania choćby złotówki ani zbędnego obciążania systemu dodatkowymi operacjami. Nie jest to antywirus, to znacznie bardziej zaawansowany program.

EMET umożliwia wykorzystanie wielu mechanizmów ochronnych zaimplementowanych w systemie Windows.

Microsoft co miesiąc umieszcza w usłudze Windows Update nowe biuletyny zabezpieczeń. Jeżeli się im przyjrzymy, to dojdziemy do wniosku, że większość ze znalezionych dziur umożliwia zdalne wykonywanie nieautoryzowanego kodu, a następnie przejmowanie kontroli nad komputerem ofiary. Tak też jest w istocie i potwierdzają to zbiorcze statystyki roczne. Przy każdej takiej sytuacji firma rekomenduje: nie korzystajcie z kont administratora, do codziennej pracy wystarcza konto standardowe, które jest znacznie mniej narażone na tego typu ataki. To prawda i zdecydowanie warto tak robić. Szkoda tylko, że sam Windows podczas instalacji zakłada nam tylko jedno konto o właśnie uprawnieniach administratora – czy nie można byłoby tego zrealizować tak, jak w przypadku niemal każdej dystrybucji Linuksa, gdzie tworzone jest zarówno konto administratora, jak i standardowe?

Nawet jeżeli nie możemy zrezygnować z wyższych uprawnień, nadal możemy znacznie podnieść bezpieczeństwo systemu. Odpowiada za to niewielki pakiet EMET (Enhanced Mitigation Experience Toolkit), w języku polskim określany jako zestaw zaawansowanych narzędzi rozszerzonego środowiska ograniczającego ryzyko. Nazwa może wydawać się skomplikowana, ale świetnie oddaje ideę tej aplikacji. Jej działanie znacznie ogranicza ryzyko wystąpienia ataku i przejmowania kontroli nad aplikacjami. Zapewnia ona dostęp do zaawansowanych mechanizmów bezpieczeństwa wbudowanych w system. Te istnieją od dawna, ale Windows jako taki nie umożliwia zbyt wygodne sterowanie nimi. Ktoś interesujący się zaawansowanymi opcjami mógł natknąć się we właściwościach systemu na konfigurację DEP, czyli modułu zapobiegania wykonywaniu danych, poza tym jednak niczego więcej nie znajdziemy.

EMET dostępny jest na stronach TechNet, jego instalacja jest szybka i prosta, kończy się kreatorem, jaki umożliwia nam wstępne zabezpieczenie niektórych programów. Ochronę rozbito na dwa poziomy: ustawienia globalne, systemowe, a także konfigurację poszczególnych aplikacji. W pierwszym przypadku możemy sterować nie tylko DEP, ale także SEHOP (blokada nadpisania nagłówka), ASLR (losowe adresowanie danych), zaufanymi certyfikatami, a także blokowaniem niebezpiecznych, zewnętrznych fontów. Ten ostatni problem może wydawać się błahy, ale Microsoft już od kilku miesięcy łata dziurawe biblioteki GDI umożliwiające przejęcie kontroli za pomocą odpowiednio spreparowanej witryny. Wystarczy ją odwiedzić, aby przekazać system w ręce napastnika.

Dziury we Flashu, Javie, Adobe Readerze czy przeglądarce? EMET jest w stanie ochronić nas przed ich wykorzystaniem.

Pod oknem głównych ustawień znajdziemy listę aktualnie aktywnych procesów oraz ich status w odniesieniu do pracy EMET-a. Każdą z aplikacji możemy skonfigurować, tutaj ustawienia są już znacznie bardziej rozbudowane i oprócz wspomnianych wcześniej zabezpieczeń obejmują także m.in. EAF i wprowadzony niedawno EAF+. Oczywiście aplikacje, z których korzystamy, mogą (a nawet powinny!) samodzielnie aktywować tego typu mechanizmy. Wielu programistów nie podchodzi jednak do tej kwestii zbyt ambitnie – dziury w np. Adobe Readerze czy Flashu umożliwiają z kolei wykorzystanie exploitów i przejęcie naszego komputera. EMET służy do tego, aby techniki te wymuszać, niezależnie od tego, co postanowił autor aplikacji. Co więcej, nie wymaga on modyfikacji programu ani dostępu do kodu źródłowego. Zabezpieczenia są niczym kagańce nakładane odgórnie.

EMET automatycznie wykrywa naruszanie stanu aplikacji lub systemu i domyślnie je blokuje, w razie potrzeby może także jedynie przeprowadzać audyt i informować nas o różnych zdarzeniach. Pakiet zapisuje dane w dzienniku systemowym, wyświetla także swoją ikonę w zasobniku systemowym i działa w tle – z punktu widzenia obciążenia jest jednak kompletnie niezauważalny. Co ciekawe, choć program jest przeznaczony dla osób administrujących systemem, twórcy wbudowali w niego nawet obsługę motywów graficznych. Znacznie przydatniejszą opcją będzie jednak mechanizm importowania i eksportowania reguł. Te możemy utworzyć na jednym komputerze, a następnie szybko przenieść na inne. W katalogu aplikacji znajdziemy także gotowe listy dla popularnych programów (np. pakiet Office, Java, Flash, Adobe Reader, popularne przeglądarki).

Zainstalowanie EMET-a i jego ustawienie dla najbardziej wrażliwych aplikacji może uchronić nas przed większością ataków. Dotychczasowe badania pokazywały, że aktywacja wbudowanych zabezpieczeń odrzuca przynajmniej 95% prób ataków exploitów. Nie jest to lek na wszystko, historia zna już przypadki obchodzenia EMET-a, ale za każdym razem wymagały one stosowania bardzo zaawansowanych technik ataku i specyficznych scenariuszy. Zwykły użytkownik domowy nie jest narażony na aż takie ryzyko. Inna sprawa to kompatybilność. Nie każda aplikacja będzie działał poprawnie z aktywowaną ochronę tego typu. Niestety nawet teraz natknąć się możemy na teoretycznie nowe programy, które są napisane w zły sposób i które ulegają awarii po aktywacji np. ASLR. Co ciekawe, w tym gronie znajdziemy także programy Microsoftu.

Pobierz EMET 5.5 Beta (Windows 10)

Pobierz EMET 5.2 (Windows 8.1 i starsze)

Firma wciąż rozwija ten pakiet i okresowo wydaje nowe, zaktualizowane wersje. Pełnię możliwości uzyskamy obecnie na 64-bitowej wersji systemu Windows 10, choć jest ona wspierana tylko w wersji beta EMET 5.5 (stabilna wersja to 5.2). Nie wynika to ze złośliwości producenta, ale tego, że niskopoziomowe mechanizmy ochrony da się wprowadzić tylko na etapie tworzenia systemu, a nie już po jego opublikowaniu i w ramach aktualizacji. Z wielu zabezpieczeń mogą korzystać także użytkownicy Visty, Windows 7, 8, 8.1 i odmian serwerowych, gdzie oprogramowanie tego typu jest wysoce zalecane. Jak z niego korzystać? Początkowo wystarczy go zainstalować i aktywować zalecane ustawienia. Po tym konieczne jest sprawdzenie wszystkich wykorzystywanych na co dzień aplikacji.