Gratis Microsoft tool beveiligt oude Windows apps
Microsoft heeft zoals beloofd een nieuwe versie van de Enhanced Mitigation Experience Toolkit (EMET) uitgebracht, die ervoor zorgt dat oude Windows applicaties moderne beveiligingsmaatregelen zoals DEP en ASLR kunnen gebruiken. EMET is volgens de softwaregigant vooral bedoeld voor "IT professionals" die systemen tegen veelvoorkomende dreigingen en exploits willen beschermen.
Veel applicaties maken geen gebruik van beveiligingsmaatregelen zoals Dynamic Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR), waardoor het eenvoudiger voor aanvallers is om werkende exploits te ontwikkelen. Naast DEP en ASRL past EMET 2.0 ook Structure Exception Handler Overwrite Protection (SEHOP), Heap Spray Allocation, Null Page Allocation en Export Address Table Access Filtering toe. Een andere grote verandering ten opzichte van de eerste versie is de aanwezigheid van een grafische user interface. "Dat maakt het eenvoudiger om maatregelen te configureren en te zien wat er op het systeem draait", zegt Andrew Roths in deze 21 minuten durende video.
Risicobeheer
"Door deze beveiligingsmaatregelen op oude producten toe te passen, helpt de tool klanten die zich in de overgang naar een veiligere versie van de software bevinden, om de risico's te beheren", aldus Roths. Daarnaast is de tool ook geschikt om de beveiligingsmaatregelen van elke willekeurige Windows applicatie te testen om vervolgens feedback aan de leverancier te geven.
Microsoft hoopt zo dat meer leveranciers de eerder genoemde technieken gaan ondersteunen, want dat is nu nauwelijks het geval. Waarom ontwikkelaars geen DEP en ASLR toepassen is ook voor Microsoft een raadsel, zo liet Jerry Bryant, Security Program Manager van het Microsoft Security Response Center, laatst in een interview met Security.nl weten.
Ik kan wel een aantal redenen verzinnen. De laatste versies van Visual Studio produceren veel grotere executables dan versie VC 6. Het wordt al jaren met opzet moeilijk gemaakt om Visual Studio gratis ("Toolkit") te gebruiken. Van Microsoft zelf hoe je geen hulp te verwachten. Microsoft doet veel moeite om het hun klanten zo moeilijk mogelijk te maken. Bij elke wijziging wordt verzonnen dat het de wens is van "de" klant, terwijl dat duidelijk niet zo is. Liegebeesten.
Microsoft blinkt uit in enorm wollig PR taalgebruik, rijksambtenaren zijn er niets bij. Ze vinden het heel fijn om voor elk initiatief een afkorting te verzinnen. Zonder afkorting telt je project niet mee natuurlijk. Dat die afkorting nergens op slaat is blijkbaar niet erg.
Als reseller wordt je behandeld als een kind. Je moet -volgens Microsoft- een groot aantal tests doen om mee te tellen. Welke tests precies wordt zorgvuldig geheim gehouden.
Onder deze omstandigheden moet je niet verwachten dat mensen veel moeite gaan doen om uit te zoeken wat nou eigenlijk bedoeld wordt met die door afkortingen gelardeerde PR speak over vage beveiligingsdingetjes.
Technieken als DEP en ASLR zijn er niet om Microsoft blij te maken maar om je klanten te beschermen. Het is dus in het belang van je klanten dat je die technieken gaat benutten.
Volgens mij is Vistual Studio nooit gratis geweest tot de release van Visual Studio 2005 Express. Dat dit pakket niet dezelfde features heeft als de duurdere pakketten lijkt me niet zo gek. Het is bedoeld als entry-level pakket, voornamelijk voor studenten en hobbyisten. Als je je geld verdiend met de code van Visual Studio dan kan er ook wel een MSDN abonnement af van 850 euro per jaar met een Visual Studio Professional licentie.
Mijn ervaring is dat de compilers van Vistual Studio over het algemeen zeer goede code genereren. Zeker als je de compiler switches optimaliseert specifiek voor jouw project. Als je code nog uit de VC6 tijdperk is moet je misschien daar ook wel eens wat aan gaan doen. Zo kan je veel C runtime calls vervangen door Win32 API calls om je executable code te verkleinen.
En als je echt niet tevreden ben kan je toch gewoon wat anders gebruiken. Er zijn vele andere compilers voor Windows en die ondersteunen ook DEP en ASLR. Niemand verplicht je om Visual Studio te gebruiken.
Tja, als je daar zelf in gelooft. De werkelijkheid is anders. Werk je soms voor Microsoft?
Om de gratis versies te kunnen gebruiken moest je afgaan op informatie van derden om allerlei goed verstopte bijbehorende API's te downloaden. Zonder die API's had je er zo goed als niets aan. Onbegrijpelijk dat je dat goed wilt praten.
Visual Studio produceert steeds langzamere en grotere code. De enige verbetering in VS 2010 is dat het sneller compileert. In VS 2008 was dat onmogelijk traag. Een gratis compiler als GCC 3.4 (MinGW) produceert snellere code dan VS voor standaard C.
C is C, je moet geen Win32 API calls gebruiken voor standaard C functies. Microsoft wil dat natuurlijk graag om je te binden aan Windows. Probeer jouw met Win32 API calls doorspekte applicatie maar eens netjes te porten naar Linux of BSD.
Overigens zitten die standaard C calls in de C runtime DLL's, dus dat heeft nauwelijks invloed op de grootte van de applicatie.
Het enige wat EMET toevoegt is een opt-in voor DEP als die standaard uit staat voor programma's. En als je de handleiding mag geloven kan het zomaar aanzetten van ASLR zorgen dat je computer alleen nog in safe-mode opstart. Lijkt mij niet wenselijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
