|
|
|
|
Strumenti |
18-09-2013, 19:28 | #1 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
EMET - Protezione anti-exploit avanzata per le applicazioni
Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
Download v5.1 A COSA SERVE A proteggere dagli exploit che colpiscono programmi vulnerabili ad attacchi di tipo memory corruption. IN CHE MODO Mettendo a disposizione dei processi speciali tecnologie che inibiscono il tentativo di prendere possesso delle sue risorse. COSA E' QUINDI UN EXPLOIT? Quel particolare meccanismo che, una volta sfruttato, porta all'infezione. Idealmente, allora, abbiamo una situazione di questo tipo: uno strumento vulnerabile ad un certo tipo di attacco (pensiamo ad un browser) e una pagina manipolata ad hoc che, appena aperta, è capace di infettare il PC in modo silente sfruttando proprio quella vulnerabilità. Grazie al controllo di EMET sul processo vulnerabile, quest'ultimo resta tale fino al rilascio dell'apposita patch ma si spezza il meccanismo attorno al quale vive l'exploit impedendo generalmente che abbia successo. F.A.Q. 1) Non è un Antivirus 2) E' compatibile con tutti i sistemi VISTA+ indipendentemente dalla loro architettura. 3) Non richiede manutenzione una volta settato. 4) Non impatta sulle performance se non in misura marginale. 5) Protegge di default una serie di programmi di uso comune considerati particolarmente sensibili al rischio exploit. 6) Permette di tarare a piacere le tecnologie di mitigazione native al sistema operativo. (Non si corre pertanto il rischio di favorire la comparsa di BSoD anche là dove si dovesse optare per settaggi di sistema particolarmente restrittivi) 7) Proteggendo un'applicazione si proteggono anche i relativi plugin? SI Ultima modifica di nV 25 : 20-11-2014 alle 17:33. |
18-09-2013, 19:43 | #2 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
*CONFIGURAZIONE DI BASE*
E' sufficiente portare a termine il processo di installazione avendo cura di selezionare l'apposita opzione che costruisce automaticamente una lista di quelle che sono le applicazioni considerate comunemente vittima di attacchi. Nella fattispecie sono riconosciute come tali Internet Explorer, i moduli di Java/Office e poco altro. Il programma agirà in maniera trasparente ponendo sotto il suo controllo i programmi in questione ogni volta che questi dovessero essere eseguiti. Il LIMITE evidente di questa configurazione, allora, è che considera potenzialmente attaccabili solo un ventaglio molto ristretto di processi. *CONFIGURAZIONE AVANZATA* Per superare il limite evidenziato e visto che il tool si propone di proteggere un qualsiasi processo dal rischio exploit, la nostra attenzione si deve spostare anche sul resto dei software installati localmente. L'obiettivo, infatti, è istruire il programma in modo tale ogni qual volta un particolare processo venga eseguito, questo funzioni sotto la supervisione di EMET. Le operazioni da compiere per integrare la lista predefinita di applicazioni protette è sintetizzata sotto. Terminata l'installazione avendo avuto cura di selezionare l'impostazione raccomandata, è necessario optare anzitutto per una configurazione di sistema più rigida: menù a tendina → Maximum Security Settings Gli effetti risultano immediatamente visibili: i pulsanti infatti diventano verdi e viene richiesto il riavvio per applicare in modo permanente le nuove impostazioni. Nonostante la segnalazione della necessità di un riavvio è possibile passare subito alla scheda che gestisce i processi che devono essere protetti dal tool. La schermata che ci viene presentata risulta popolata da una serie di voci che, come abbiamo visto, è stata costruita in via automatica durante l'installazione. Osservando allora l'elenco, ci rendiamo subito conto che sono esclusi elementi come Google Chrome e tanti altri che sono solitamente vittime di attacchi. Aggiungerli risulta cmq operazione banale nel momento in cui se ne conosca il percorso. Al termine dell'operazione è necessario riavviare il PC. → *IPOTESI DI UN PROGRAMMA "EMETIZZATO" CHE DOVESSE PRESENTARE PROBLEMI* L'effetto è il vederlo terminare inaspettatamente. Controllando però il popup generato, si ricava al volo quella che è la mitigazione imputata del malfunzionamento. La cosa da fare, allora, è procedere alla disattivazione manuale della mitigazione in oggetto per il processo che non la digerisce (VLC nell'esempio). Ultima modifica di nV 25 : 05-05-2014 alle 17:32. |
18-09-2013, 19:43 | #3 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
.
Ultima modifica di nV 25 : 10-08-2014 alle 18:42. |
18-09-2013, 20:27 | #4 |
Senior Member
Iscritto dal: Dec 2006
Messaggi: 4679
|
Grazie mille, domani lo installo.
Ciao nipotino
__________________
Da Vedere con calma https://www.facebook.com/media/set/?...2110&type=1&l=[/ Autoassemblato, Asus P8H77 V-LE, Intel i3 3220T, RAM 2x4 GB, Nvidia 8800 GTS (Non sempre) I confini, la cosa più assurda che l'uomo abbia inventato. Member of: One Human Family Group |
19-09-2013, 10:10 | #5 |
Senior Member
Iscritto dal: Dec 2006
Messaggi: 4679
|
Installato, per ora con impostazioni automatiche, poi vedrò piano piano.
Ciao
__________________
Da Vedere con calma https://www.facebook.com/media/set/?...2110&type=1&l=[/ Autoassemblato, Asus P8H77 V-LE, Intel i3 3220T, RAM 2x4 GB, Nvidia 8800 GTS (Non sempre) I confini, la cosa più assurda che l'uomo abbia inventato. Member of: One Human Family Group |
19-09-2013, 13:43 | #6 |
Senior Member
Iscritto dal: Jan 2007
Città: quel ramo del lago di como, che volge a mezzogiorno... ^^
Messaggi: 19625
|
installato da quando ne hai fatto parola nell'altro thread.
ogni tanto da fastidio a Silverlight (o più probabilmente, è Silverlight a far cazzate) per il resto, finora, no problem. tripletta UAC + Def + EMET . sarei curioso di provarlo fisicamente su una macchina che venga poi infestata ad hoc.
__________________
|
19-09-2013, 17:27 | #7 |
Senior Member
Iscritto dal: Oct 1999
Città: Tivoli (RM)
Messaggi: 18335
|
Mi iscrivo,in download (ma è normale che il tempo stimato sia 25 minuti?)
Anch'io,al momento e utilizzando solo ie,userò le impostazioni di default. Grazie nv25
__________________
Mi chiamo Silvio,molto piacere. Il mio sito...La mia configurazione e i miei test su windows 8 I ♥ my Galaxy NoteIII 7505 NEO (JB 4.3).......vendo varie |
19-09-2013, 19:53 | #8 |
Senior Member
Iscritto dal: Aug 2009
Messaggi: 638
|
Molto interessante, l'ho installato ma ho da chiedere una cosa...una volta aperto nella parte bassa si notano i processi attivi e sulla colonna di destra denominata "Running EMET" non c'è nulla, tranne che nei processi relativi ad IE, dove compare una flag verde.
Come mai compare solo con IE? Per i settaggi ho flaggato quelli raccomandati dal wizard |
19-09-2013, 22:12 | #9 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
"Running EMET" è seguito dal flag verde...solo se il processo emetizzato è in esecuzione in quel preciso momento, in caso contrario...
Per toglierti ogni dubbio, prova a lanciare un qualsiasi altro eseguibile protetto di default e vedi cosa succede, ciao. ES: ipotizziamo che di default EMET protegga solo 2 eseguibili: IE e Windows Media Player. Se il 1° è in esecuzione mentre il 2° è chiuso ---> flag solo su IE Se il 1° e il 2° sono in esecuzione ---> flag su entrambi ecc.. Ultima modifica di nV 25 : 12-10-2013 alle 12:52. |
20-09-2013, 06:12 | #10 |
Senior Member
Iscritto dal: Aug 2009
Messaggi: 638
|
Il problema infatti è che ad esempio con Chrome il flag non c'è e lo stesso era avviato, stessa cosa per WLMail. Presumo quindi abbia sbagliato qualcosa o non si sia installato correttamente.
|
20-09-2013, 08:18 | #11 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
La spiegazione, molto semplicemente, è che il programma di default non protegge quegli eseguibili (io la chiamo FASE 2).
In sostanza, quando uno installa EMET deve chiedersi una cosa: sul PC sono installati esclusivamente i programmi elencati nella scheda Apps? Nell'ipotesi allora in cui vi siano anche altri programmi oltre a quelli contemplati di default, qualcuno di questi è per caso "delicato"? (= interfacciandosi su contenuti ignoti, quindi potenzialmente pericolosi, può essere usato come leva per un attacco?) Fatta questa considerazione, non si fa altro che aggiungere l'eseguibile incriminato in EMET cosi' che ogni volta che questo viene aperto risulti protetto.. Ma chi si interfaccia allora su contenuti potenzialmente pericolosi configurandosi quindi come "programma delicato"? Gira e rigira i soliti strumenti. I Browser (dunque non solo IE che è invece l'unico coperto di default da EMET), i lettori di contenuti multimediali (quindi non solo WMP come ci vorrebbe far credere EMET), IDEM per la parte Office. Alla fine della fiera, da manipolare c'è realmente poco... Ultima modifica di nV 25 : 20-09-2013 alle 11:16. |
20-09-2013, 19:07 | #12 |
Senior Member
Iscritto dal: Aug 2009
Messaggi: 638
|
Infatti ora li ho configurati e il falg verde è comparso..
Grazie nv25 |
25-09-2013, 20:27 | #13 |
Senior Member
Iscritto dal: Sep 2012
Messaggi: 23717
|
Da non conoscente di questo EMET, qualcuno sa dirmi come installarlo correttamente senza far danni?
__________________
Lian-Li PC-O11 Dynamic Seasonic Prime TX-850 AMD Ryzen 5900X ARCTIC Liquid Freezer II 360 MSI X570S UNIFY-X MAX Crucial Ballistix 3600 MHz (2x16GB) EVGA GeForce RTX 2080 SUPER XC ULTRA Samsung 980 Pro 500GB Sabrent Rocket 4.0 1TB LG 27GP850 |
25-09-2013, 20:37 | #14 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
.
Ultima modifica di nV 25 : 10-08-2014 alle 18:42. |
26-09-2013, 17:00 | #15 |
Senior Member
Iscritto dal: Aug 2002
Città: Firenze
Messaggi: 2341
|
Premetto che mi sono informato per ora poco sull'argomento. In ogni caso, funzionando, a quanto posso ipotizzare, come una sorta di "virtual box di sicurezza", in che misura è quantificabile l'impatto di EMET e dei software emetizzati sulle prestazioni generali del sistema (risorse CPU, RAM e disco), e l'impatto sulle performances dei singoli processi emetizzati?
|
26-09-2013, 20:33 | #16 |
Senior Member
Iscritto dal: Jan 2007
Città: quel ramo del lago di como, che volge a mezzogiorno... ^^
Messaggi: 19625
|
__________________
|
29-09-2013, 12:37 | #17 |
Senior Member
Iscritto dal: May 2001
Città: Varese
Messaggi: 20136
|
Molto interessante!
__________________
|AMD Ryzen 5 5600|Thermalright Assassin X 120 SE|MSI X470 Gaming Plus Max|Crucial Ballistix 4x8GB ddr4 3600|Sapphire RX 580 Nitro+ 8GB gddr5|WD Black SN770 1TB M2 nvme + Thermalright M2 Pro|Sharkoon SilentStorm CoolZero 850W 80Plus Gold|NZXT H510|Philips 275E2FAE 27"|Windows 11 Pro 64bit 22H2| "You can choose to not believe I'm here, I flourish most inside your fear" |
30-09-2013, 20:58 | #18 |
Senior Member
Iscritto dal: Sep 2012
Messaggi: 23717
|
Appena installata, come l'avete configurato EMET? postate gentilmente le vostre configurazioni!!
__________________
Lian-Li PC-O11 Dynamic Seasonic Prime TX-850 AMD Ryzen 5900X ARCTIC Liquid Freezer II 360 MSI X570S UNIFY-X MAX Crucial Ballistix 3600 MHz (2x16GB) EVGA GeForce RTX 2080 SUPER XC ULTRA Samsung 980 Pro 500GB Sabrent Rocket 4.0 1TB LG 27GP850 |
01-10-2013, 11:30 | #19 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
non esistono configurazioni miracolose o esclusive per qualcuno.
Posto che a livello di sistema la configurazione di default è accettabile (anche perchè riflette le impostazioni decise in s eno alla MS per ogni dato sistema operativo), per capire quali processi debbano essere protetti oltre a quelli di default è sufficiente esaminare proprio la lista predefinita. Se di default ad es. EMET protegge i processi di Office ma noi usiamo LibreOffice, proteggeremo i processi di LibreOffice ... Se di default EMET protegge IE e Windows Media Player ma noi impieghiamo Opera & VLC, ne proteggeremo i relativi binari... Non credo sia difficile da capire, no? Ultima modifica di nV 25 : 29-04-2014 alle 21:34. |
02-10-2013, 13:35 | #20 |
Senior Member
Iscritto dal: Apr 2001
Città: Giovinazzo(BA) ...bella città, riso patat e cozz a volontà!
Messaggi: 26487
|
Molto interessante.
Thread aggiunto ad entrambi gli indici di sezione, 7 e 8 Titolo modificato.
__________________
Ezio Lacandia on DeviantArt | Slimkat mod per N4 e N5 | Trattative mercatino HWU | Driver nForce NET Framework [Guida] | BSOD individuazione cause | Guida Sintetica Strap/Divisori P45 | Fix associazioni Vista/7 Problemi Win Installer | Avviare programmi senza richiesta UAC | Problemi Font | Guida Raccolte 7 | Win 32/64bit come perchè |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:53.