Plugin para EmetRules: Ahora, más fácil de usar

lunes, 14 de diciembre de 2015

EmetRules es una herramienta que creamos hace dos años. No es que estuviese destinada a cambiar el mundo, pero resulta una primera incursión en el universo del certificate pinning y facilita una de las funcionalidades de EMET que resulta más compleja de usar: el pinning. Hemos desarrollado ahora un sencillo plugin para internet Explorer que usa EmetRules a su vez, para que el pinning con EMET sea todavía más sencillo. Veamos cómo funciona.


Internet Explorer es el único navegador (de los principales) que no soporta aún HPKP. De hecho, es el navegador con menos opciones a la hora de realizar certificate pinning en general. EMET incluýo hace algunas versiones una funcionalidad para pinear dominios, pero era su uso resultaba engorroso. Por eso creamos EmetRules para pinear varios dominios de una vez.

EmetRules cuenta con algunos fans. Así que hemos creado un plugin sencillo para llamar a EmetRules desde el navegador. Así, es incluso más fácil pinear un dominio, con solo darle a un botón. El dominio acabará en la configuración de EMET y será pineado ahí

EmetRules también ha sido actualizado para soportar la llamada directa desde el navegador, añadiendo una nueva opción. Para explicarlo mejor, aquí van algunos pantallazos de cómo funciona.

  • Se visita el dominio que se quiere pinear con Internet Explorer.

Se visita el dominio que se quiere pinear
  • Se pulsa sobre el icono en la barra de herramientas, o se pulsa con el botón derecho en cualquier punto de la web buscando la opción "Pin with EmetRules"

Se puede usar el icono o la opción del menú con el botón derecho
  • La primera vez que se use, aparecerá una alerta. Todo está bien siempre que el programa esté firmado por nosotros. Esto significa que el sistema operativo está avisando de que un programa externo está siendo llamado desde dentro de una web y que quiere salir del modo protegido (o sea, que será lanzado en nivel de integridad medio en vez de bajo).
Advertencia sobre la ejecución de un fichero desde el navegador
  • Ahora se pasa el control al EmetRules "tradicional". Aparecerá una ventana de comandos que tomará el certificado raíz, construirá el XML para EMET y se lo dará
  • Si eres "administrador pero no administrador" (usas UAC), aparecerá un diálogo de UAC, puesto que insertar dominios de EMET necesita elevar privilegios.
  • Si todo va bien, el dominio aparecerá pineado en EMET.
El dominio se pinea finalmente con EMET

Si se quiere cambiar al gusto la funcionalidad, se puede hacer modificando directamente el html en el directorio de instalación.

Esperamos que os sea útil. La herramienta está disponible desde aquí.


No hay comentarios:

Publicar un comentario