Artikel top billede

DK-CERT: Gratis værktøj beskytter programmer

Med et gratis værktøj fra Microsoft kan it-folk sikre, at hackere ikke kan udnytte sårbarheder i programmer, skriver Shehzad Ahmad fra DK-CERT i denne måneds klumme om it-sikkerhed.

Hvis du har ansvar for sikkerhed i applikationer, er her et værktøj, du skal prøve: Microsofts EMET (Enhanced Mitigation Evaluation Toolkit).

Programmet, som er gratis, gør det muligt at øge sikkerheden på stort set enhver applikation, I anvender.

Alle applikationer har fejl - det kan ikke undgås, da systemudvikling er en kompliceret affære.

Nogle fejl kan udnyttes til at bryde sikkerheden, det er de såkaldte sårbarheder.

Hvis man har et sårbart program, har man to muligheder for at beskytte sig:

Man kan omskrive det og rette den fejl, der udgør sårbarheden. Eller man kan beskytte det, så sårbarheden godt nok stadig findes, men ikke længere kan udnyttes.

Beskyt mod bufferoverløb

Et eksempel på den sidstnævnte metode er DEP (Data Execution Prevention).

Det er en funktion, der udnytter en kombination af software og hardware til at forhindre, at der kan afvikles programmer i dele af hukommelsen, der er reserveret til data.

Dermed kan man i mange tilfælde forhindre, at bufferoverløbssårbarheder kan udnyttes i praksis.

Programmører kan indbygge understøttelse af DEP i deres programmer.

Men det hjælper jo ikke meget, hvis man har et program, men ikke har adgang til kildekoden.

Her kommer EMET ind. Værktøjet gør det muligt at tage en exe-fil og aktivere beskyttelser mod en række sårbarhedstyper i den.

Man behøver ikke at vide, om programmet har en bestemt sårbarhed.

Hvis det er tilfældet, kan beskyttelsen forhindre, at den bliver udnyttet, ellers sker der ikke noget.
EMET er lavet som et framework, der løbende kan udvides med nye typer beskyttelse.

Fire metoder til at beskytte sig

EMET leveres med fire metoder.

- SEHOP forhindrer, at angribere udnytter Structured Exception Handler (SEH) Overwrites. Det en udbredt angrebsmetode, der har været kendt siden 2003.

- Dynamic DEP aktiverer DEP (Data Execution Prevention). Det kræver dog, at hardwaren og styresystemet understøtter det.

- NULL page allocation forhindrer en form for angreb, som endnu kun kendes på teoretisk plan.

- Heap spray allocation forhindrer til gengæld en metode, der er meget brugt. Det handler om at fylde en proces' heap med særlig kode, der for eksempel kan bruges til at aktivere en shell.

EMET har flere fordele. Den vigtigste er, at det nu er muligt at beskytte gamle programmer, som man ikke har kildekode til.

Beskyttelsen virker også på gamle styresystemer (med undtagelse af DEP).

Man behøver altså ikke opgradere til Windows 7 eller Server 2008 for at være beskyttet.
Endvidere kan man slå beskyttelsen til og fra på procesniveau.

Så hvis en bestemt proces ikke kan køre med en bestemt beskyttelse, kan man fjerne den, men stadig beholde den for andre processer.

Test grundigt

Lad mig lige slutte med en advarsel: Når man piller ved applikationer, risikerer man altid utilsigtede konsekvenser.
Så hent EMET og afprøv det i et testmiljø.

Men sæt ikke applikationer i produktion, før I har sikret jer, at de stadig virker, efter at EMET-beskyttelsen er slået til.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere