Sanningen bakom ExploitShield

Den 28:e september annonserar dsanchezlavado via Twitter ett nytt projekt, ExploitShield. Genom kaxiga påståenden om 100% skydd mot 0day-attacker är det svårt att inte slänga ett extra öga på projektet. Det skrivs en del om verktyget, men detaljerna om hur det faktiskt fungerar håller sig undan rampljuset. Skepticismen tränger snabbt fram och jag konstaterar att inget verktyg kan vara SÅ bra. Kombinera sagda påståenden med det faktum att tekniken bakom är patent pending så finns det nog egentligen inga andra slutsatser att dra.

Idag (29/10) publicerades en djupgående analys av ExploitShield som bekräftar våra farhågor; tomma ord utan teknisk uppbackning. Andrew Ruef konstaterar bland annat att verktyget öppnar upp nya avenyer för angrepp eftersom det exempelvis installerar en kernel-driver för att tillhandahålla sitt ”skydd”, en kernel-driver som samtliga användare kan prata med… suck. Det skulle även vara relativt trivialt att undvika genom ROP (return-oriented programming). Verktyget bygger på security through obscurity och secrecy, två begrepp ofta associerat med motsatsen till säkerhet.

Tyvärr blev ExploitShield alltså inte mer än någon form av vaporware. Flytta istället fokus till EMET, Enhanced Mitigation Experience Toolkit, från Microsoft som ger reella möjligheter till förbättrad säkerhet i vissa programvaror. I övrigt får vi helt enkelt fortsätta att hoppas på det där allsmäktiga verktyget som en gång för alla… nej, jag skriver inte klart den meningen. Fortsätt praktisera skepticism och var extra vaksamma när en lösning påstås erbjuda det där magiska skyddet.

// Christoffer Strömblad
Informationssäkerhetskonsult på SAFESIDE SOLUTIONS AB