"Een vergelijkbare tool van Microsoft, de Enhanced Mitigation Experience Toolkit, biedt die bescherming alleen op 32-bit, benadrukt Loman. Bovendien is EMET 900MB groot en leunt hij op het .NET Framework, terwijl de software van de Nederlanders nog geen 3MB is en in C++ en assembler is geschreven."
Dat is uiteraard niet helemaal correct. Zoals hieronder ook al door diverse mensen terecht wordt aangegeven is EMET zelf slechts zo'n 17 MB groot (na installatie op de schijf). Daarentegen heeft de EMET notifier het .NET framework nodig , en dat is wel verschrikkelijk groot. Zo'n 850 MB op 32bit systemen en 2GB op 64bit systemen (volgens MS zelf).
https://www.microsoft.com...oad/details.aspx?id=30653
Nou weet ik niet of dat Tweakers hier deze info letterlijk van dhr. Loman heeft overgenomen maar het had mij toch beter geleken als Tweakers het iets beter had genuanceerd en duidelijk had gemaakt dat die 900MB niet voor EMET zelf geld maar voor het benodigde .NET framework.
Bovendien staat dat .NET framework voor zover ik weet standaard geinstalleerd op Vista en hoger. Dat betekent dat het in die gevallen dus alleen de eerder genoemde 17MB kost om EMET te installeren.
-------------------
@ChicaneBT
XP moet je gewoon niet meer willen gebruiken. Bedrijven die mensen wel adviseren XP te gebruiken die snappen het niet helemaal.
Dat is iets waar je tegenwoordig overal mee word doodgegooid , zelfs hier op Tweakers .
Sinds medio april 2013 kom ik overal de waarschuwingen tegen om vooral zo snel mogelijk XP te dumpen en naar iets nieuwers over te stappen , dit alles omdat XP na het stoppen van de ondersteuning in april een grote gatenkaas zou zijn qua vulnerabilities en de simpelste scriptkiddie binnen 5 seconden binnen zou kunnen komen. Zelfs op Security.nl lijkt dat de gangbare opinie. Wat ik mis in dat verhaal is dat het echt niet zo moeilijk is om met een aantal simpele maatregelen te komen die dat risico nagenoeg compleet weg nemen.
1: Zorg dat je browser en de plug-ins up to date blijven en als je JAVA (de browser plugin en niet JavaScript) niet nodig hebt zorg dan dat het ook niet aanwezig is , of op zijn minst schakel de plugin dan uit.
2: Gebruik een goede adblocker en gebruik minimaal de standaard "EasyList Dutch+Easylist" , maar het kan ook handig zijn om ook de "EasyPrivacy" list en de "Fanboy's Social Blocking List" te gebruiken indien je niet graag door jan en alleman gevolgd wil worden op het internet. Indien je Adblock Plus gebruikt dan vooral niet vergeten om het vinkje bij "Enkele niet-opdringerige advertenties toestaan" uit te zetten.
Dit omdat het intussen toch wel bekend is dat veel exploits (waarschijnlijk zelfs veruit het grootste deel)via advertenties geserveerd word.
3: Gebruik de NoScript extensie , je mag gerust de opties zo in stellen dat JavaScript WEL uitgevoerd mag worden want anders kom je er waarschijnlijk vrij snel achter dat heel veel (waarschijnlijk de meeste zelfs) websites ineens niet meer goed werken en het is een bitch om continue uitzonderingen te moeten maken. Maar wat wel belangrijk is is dat je de opties voor het blokkeren van Frames en iFrames aan zet. Die vindt je in het tabblad "Ingebouwde objecten" en zijn "<IFRAME> verbieden" en "<FRAME> verbieden".
4: Gebruik MalwareBytes Anti-Exploit , dit is een gratis programma dat op zijn eigen unique wijze de gevolgen van een succesvolle exploit mitigeerd , het houd namelijk de download danwel het runnen van de gedownloade malware tegen en is tot nu toe daar zeer succesvol in gebleken. Een voordeel hierbij is dat het geen enkele configuratie nodig heeft , gewoon downloaden en installeren en dat is alles.
5: Gebruik een goed security pakket (Firewall , anti-virus) de keus is groot en de meeste presteren best goed. Mijn persoonlijke voorkeur gaat naar Comodo vanwege de uitgebreide mogelijkheden tot configuratie maar het tevens gratis Avast is ook niet slecht en heeft weer extra beveiliging die kwaadaardige scripts op websites automatisch tegen houdt.
6: Gebruik EMET , het kost wel wat werk om het goed in te stellen maar dan heb je ook wat. Ja ik weet het , een Chinese beveiligings onderzoeker heeft onlangs een methode gevonden om EMET te omzeilen
http://www.security.nl/po...ek+omzeilt+Microsoft+EMET , maar ga er maar vanuit dat dat in een nieuwe versie van EMET zal worden aangepast voordat het in het wild te vinden is.
Hier nog even een linkje naar een mooie reactie van iemand die stap voor stap uitleg geeft over de configuratie van EMET
http://www.security.nl/posting/41491#posting370538
Verder zijn er nog veel en veel meer mogelijkheden om XP (of andere windows versies) beter te beschermen tegen exploits en malware , hier nog even een linkje met een discussie over de vraag ofdat XP na april nog te gebruiken is (de tekst van de topic starter is weggehaald maar een aantal van de reacties er onder zijn zeker nuttig ondanks dat het op een gegeven moment een beetje een flamewar word)
http://www.security.nl/posting/375782/[verwijderd]
------------------
Dan nog even terug naar het artikel zelf , daar staat :
"Een van de technieken waar de software bescherming tegen biedt is return-oriented programming. Daarbij worden de bestaande machine-instructies van een bepaald programma in een specifieke, door de aanvaller gekozen volgorde uitgevoerd, waardoor hij zijn eigen code kan samenstellen. Normaliter moet dat worden verhinderd door data execution prevention,"
Dat is voor het grootste deel juist maar op een punt klopt dat toch echt niet.
Er word namelijk gesuggereerd dat DEP Return-Oriented-Programming zou moeten voorkomen en dat is pertinent niet waar. Return-Oriented-Programming (ROP for short , maar ook wel Return to libc style attacks genoemd) is juist een methode die gebruikt word om DEP uit te kunnen schakelen en zodoende de reeds in het geheugen staande shellcode uit te kunnen voeren. Het enige (belangrijke in dit geval) dat DEP namelijk doet is geheugen locaties markeren als zijnde Writable danwel Executable , dit moet er voor zorgen dat shellcode weliswaar nog steeds kan worden weggeschreven maar dan dus niet kan worden uitgevoerd omdat het stukje geheugen als Writable gemarkeerd staat en dus niet als Executable. Het mag duidelijk zijn dat dat op geen enkele wijze een ROP-chain kan voorkomen.
Ik hoop dat de Tweakers redactie dat toch nog even aanpast en die fout er uit haalt.
[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:20]