~sebastianweber; : MSDN

Internet Explorer ist sicherer als Firefox

sebweber — Tue, 04 Dec 2007 07:28:09 GMT

Jeff Jones hat erneut Zahlen zusammengetragen und die Sicherheit aktueller Browser verglichen - eine Zusammenfassung kann man auf Heise Online lesen.

TechEd Developers 2007 setzt ein klares Zeichen für Security!

sebweber — Tue, 06 Nov 2007 11:26:55 GMT

In dieser Woche findet die TechEd für Entwickler in Barcelona statt und setzt damit zugleich ein Zeichen für Security. Denn dieses mal haben wir uns entschieden einen dedizierten Security-Track anzubieten. Insgesamt gibt es mehr als 20 Vorträge rund um Security. Im Mittelpunkt steht dabei immer die Frage, wie man die eigene Anwendung besser absichern kann: von Secure-Coding bis hin zu Threat Modelling und dem Security-Development-Lifecycle (SDL).

Als Content-Owner für den Security-Track freue ich mich besonders, dass wirklich alle Sprecher, die ich angesprochen habe, umgehend ihre Unterstützung zugesagt haben: seien es die externe Experten wie Dominick Baier, Keith Brown & Rafal Lukawiecki aber auch die eigenen Kollegen wie Chris Corio, Mike Downen, Michael Howard & Alik Levin, um nur einige zu nennen.

Uns ist klar, dass man mit Security-Vorträgen (noch) keinen Preis gewinnen kann, sie werden weniger besucht und gelten oft als schwer verdaulich - es ist halt angenehmer, sich die "bunten Themen" anzuschauen. Zumal man dort weniger Gefahr läuft auf die eigenen, kritischen sicherheitsrelevanten Fehler aufmerksam gemacht zu werden.

Aber an den Besucherzahlen allein werden wir die Vorträge nicht messen und auch in Zukunft weiter das Thema voran treiben!

Web Security Workshop

sebweber — Sun, 04 Nov 2007 09:24:55 GMT

Dominick Baier und Christian Wenz halten am 17.12.2007 einen Web Security Workshop im Streit's Kino, Hamburg. Nach 10h intensiver Wissensvermittlung geht es mit Popcorn und einem Film bis Mitternacht weiter. - So mach Security spaß!

Alles weitere hier.

Microsoft Application Verifier V3.4 veröffentlicht

sebweber — Mon, 03 Sep 2007 23:14:44 GMT

Das Analyse-Tool für unmanaged Code - ein Pflichtwerkzeug bei uns im Haus (Stichwort: Sicherheits-Entwicklungszyklus).

Download: Microsoft Application Verifier.

Inside Microsoft: Details zu MS07-029 DNS RPC Interface Buffer Overrun

sebweber — Fri, 29 Jun 2007 18:12:37 GMT

Michael Howard erläutert im SDL-Blog Details zu dem DNS RPC Interface Buffer Overrund (MS07-029) und erläutert an Hand des Quellcodes, was schief gelaufen ist, warum unsere Analyse-Tools nicht funktioniert haben und an welchen Stellen wir unsere internen Trainings verbessern müssen.

Alles weitere findet sich hier.

Vista Security - nach 6 Monaten

sebweber — Thu, 21 Jun 2007 23:37:00 GMT

Jeff Jones hat nach dem Ansturm auf seinen 90-Tage-Bericht, jetzt die ersten 6 Monate zusammengefasst.

Vergleicht man die Anzahl der "High severity vulnerabilities" der ersten 6 Monate, ergibt sich ein für Vista sehr erfreuliches Bild. Nicht, dass wir nicht noch Raum zur Verbesserung hätten - keine Frage, es geht immer besser- aber im Vergleich zu Windows XP und den Marktbegleitern, sieht es ganz gut aus:

Quelle: Weblog, Jeff Jones, Microsoft Corporation

Details, sowie der Download des gesamten Berichtes, findet sich im Weblog von Jeff.

Neues Security-Forum im vb@archiv

sebweber — Thu, 31 May 2007 14:57:47 GMT

Das vb@archiv ist um ein Forum reicher geworden: Security für Entwickler.

Gerade frisch eröffnet steht naturgemäß noch nicht viel drin. Das sollte man jedoch als Aufruf verstehen und seine Fragen einfach mal eintragen. Wir werden in der Anfangszeit das Forum verstärkt "monitoren", damit jeder auch zu seiner Antwort kommt.

IT-Sicherheit: die Pflichtversicherung

sebweber — Tue, 29 May 2007 12:01:48 GMT

Wer sich fragt, wie in Deutschland ganz offiziell die Lage der IT-Sicherheit eingeschätzt wird, der findet im aktuellen BSI-Lagebericht zur IT-Sicherheit 2007 Antworten.

Ein wesentliches Merkmal ist sicherlich der Trend zur weiteren Professionalisierung der IT-Bedrohungen. Es sind nicht mehr die Jugendstreiche wie vor einigen Jahren, sondern immer öfters professionelle Angriffe mit wirtschaftlichem Interesse.

Nach dem letzten Bericht von 2005 finden diesmal zwei neue Bedrohungen Einzug in das Papier: Ping-Anrufe und Szenarien rund um AJAX. Dagegen verlieren klassiche Viren und Dialer an Bedeutung. Besonders hoch wird die Gefahr bei Zero-Day-Exploits, Trojanische Pferde, Spam Emails, Bot-Netze und Phising eingeschätzt. Wobei Bot-Netze schon zwei Jahre zuvor ganz oben erschienen sind.

Interessant finde ich auch die abschließenden Sätze des Berichtes:

"Letztlich zahlt sich Sicherheit immer aus, für Anwender aus allen Bereichen ebenso wie für die gesamte Gesellschaft. Sie gehört zu der Art von Versicherungen, die jeder haben muss."

Alle Details finden sich im rund 70 Seiten starken Dokument unter: http://www.bsi.bund.de/literat/lagebericht/index.htm

Security How To's und CodeClips auf MSDN Solve

sebweber — Thu, 17 May 2007 09:13:42 GMT

"Na endlich!", wird der ein oder andere denken und recht hat er: Ab sofort schmückt sich msdn-solve.de mit einem ersten(!!!) Schwung How To's und CodeClips zum Thema Security.

Dominick Baier erläutert immer wieder auftauchende Fragen ganz allgemein zum Thema Security und ganz speziell zur sicheren Client Entwicklung. Alles inklusive Quellcode, Text, Bild und Ton!

Allgemeine Security

Wie entschlüssele ich Daten mit einem Zertifikat?

Daten können prinzipiell auf zwei Arten (symmetrisch oder asymmetrisch) verschlüsselt werden. Bei der sogenannten asymmetrischen Verschlüsselung werden Daten mit einem Public Key verschlüsselt und nur die Person, die im Besitz des dazugehörigen Private Keys ist, kann die verschlüsselten Daten wieder entschlüsseln. Dieses Verhalten ist in den Standards X509 und PKCS#7 festgelegt. Dominick Baier, Sicherheits-Berater bei thinktecture, zeigt in diesem CodeClip wie asymmetrisch verschlüsselte Daten in .NET entschlüsselt werden können.

Wie verschlüssele ich Daten mit einem Zertifikat?

Wie überprüfe ich digitale Signaturen?

Daten werden in der Regel digital signiert um deren Integrität sicherzustellen (siehe CodeClip „Wie kann ich Daten digital signieren?“). Dazu werden häufig X509 Zertifikate verwendet. In diesem CodeClip lernen Sie, wie die digitale Signatur von Daten und das signierende Zertifikat mit .NET überprüft werden kann.

Wie signiere ich Daten digital?

Mit Hilfe von privaten Schlüsseln können Daten digital signiert werden. Ein häufiger Anwendungs-Fall ist einen privaten Schlüssel zu verwenden, der mit einem Zertifikat aus dem Zertifikats-Speicher assoziiert ist. Wie das mit .NET funktioniert sehen Sie in diesem CodeClip.

Wie greife ich auf den Windows Zertifikat-Speicher zu?

Windows legt typischerweise Zertifikate im sog. Zertifikatsspeicher ab. Um zertifikatsbasierte Sicherheits-APIs nutzen zu können, beispielsweise im Zusammenhang mit SSL, WCF oder CAS, muss man auf Zertifikate aus dem Zertifikatsspeicher zugreifen können. Dominick Baier, Sicherheitsspezialist bei leastprivilege.com zeigt in diesem CodeClip die notwendigen Schritte.

Wie erzeuge ich einen Schlüssel aus einem Passwort?

Es gibt Situationen, in denen Sie kryptografisches Schlüsselmaterial aus einem Passwort erzeugen müssen. Dies ist oft der Fall wenn Endbenutzer involviert sind. Ein populäres Beispiel wäre das Verschlüsseln von Daten mithilfe eines Passworts was Gegenstand dieses CodeClips ist.

Wie erzeuge ich einen zufälligen Schlüssel für symmetrische Kryptografie?

Es gibt diverse Situationen in denen zufällige Werte benötigt werden. Dies ist vor allem der Fall bei kryptografischen Algorithmen (Verschlüsselung, Salts, Nonces). Die Qualität dieser Algorithmen hängt in entscheidendem Maße von der Qualität der erzeugten Zufallszahlen ab.

Wie speichere ich sicher ein Passwort?

Passwörter sind nach wie vor das üblichste Authentifizierungs-Merkmal und werden von vielen Anwendungen genutzt. Dies hat zur Folge, dass Benutzer täglich mit einer Vielzahl von Passwörtern konfrontiert werden. Aus diesem Grund tendieren Benutzer dazu einfache, weil leicht zu merkende und damit häufig schwache Passwörter zu verwenden, bzw. Passwörter in mehreren Anwendungen wiederzuverwenden.
Vor diesem Hintergrund sollten Passwörter niemals im Klartext gespeichert werden, da eine evtl. Kompromitierung der Passwort-Datenbank nicht nur Passwörter dieser Anwendung offenlegt, sondern evtl. auch Passwörter anderer Anwendungen.

Client Entwicklung

Wie kann ich vorübergehend die Identität eines anderen Benutzers annehmen?

Manchmal kann es hilfreich sein, wenn ein Programm temporär in dem Sicherheitskontext eines anderen Benutzers ausgeführt wird. So kann beispielsweise eine Verbindung zu einer Datenbank aufgebaut werden ohne dass Benutzername und Passwort in dem Connection String angegeben werden müssen. Dieser CodeClip zeigt, wie der Sicherheitskontext eines Programms vorübergehend geändert werden kann.

Wie kann ich ein Windows Passwort überprüfen?

Es gibt Situationen in denen man das Passwort eines Windows Accounts manuell überprüfen möchte. Wie die genaue Vorgehensweise ist beleuchtet dieser kurze CodeClip.

Wie kann ich einen Prozess mit einem anderen Benutzerkonto starten?

Jeder Prozess läuft unter einem bestimmten Sicherheits-Kontext. Im Normalfall wird der Sicherheits-Kontext des interaktiv angemeldeten Benutzers auf Kind-Prozesse vererbt. Wie ein Prozess in einem anderen Sicherheits-Kontext gestartet werden kann ist Gegenstand dieses CodeClips?

Wie schreibe ich die Zugriffs-Kontrolllisten einer Datei?

Jedes Windows Objekt, das unter Kernel-Verwaltung steht, besitzt eine sog. Zugriffskontrollliste (ACL). Diese Datenstruktur beschreibt den Besitzer des Objekts, die erlaubten Zugriffe sowie welche Zugriffe protokolliert werden.
In diesen CodeClip zeigt Dominick Baier wie ACLs mit .NET geschrieben werden können.

Wie lese ich die Zugriffs-Kontrolllisten einer Datei?

Jedes Windows Objekt, das unter Kernel-Verwaltung steht, besitzt eine sog. Zugriffskontrollliste (ACL). Diese Datenstruktur beschreibt den Besitzer des Objekts, die erlaubten Zugriffe sowie welche Zugriffe protokolliert werden.
In diesem CodeClip sehen Sie wie Sie ACLs mit .NET auslesen können.

Wie kann ich die Informationen eines Benutzers aus Active Directory lesen?

Das Active Directory ist ein Verzeichnis-Dienst für Intranet-Objekte (Computer, Benutzer etc.). Jedes dieser Objekte speichert diverse Zusatzinformationen. Wie Sie in Ihren Programmen auf Daten aus dem Active Direcrory zugreifen können sehen Sie in diesem CodeClip.

Wie ermittle ich Information über den aktuell angemeldeten Benutzer?

Häufig werden Anwendungen auf den entsprechend angemeldeten Benutzer angepasst. Ist der angemeldete Benutzer beispielsweise Mitglied in der Gruppe der Administratoren werden ihm weitere Bereiche der Anwendung freigeschalten. Dieser CodeClip zeigt, wie Sie den Benutzernamen sowie die Gruppenzugehörigkeit des aktuell angemeldeten Anwenders ermitteln können.

Das Sicherheitsmodell von Silverlight

sebweber — Fri, 11 May 2007 13:14:57 GMT

Ok, jeder spricht die Tage über Silverlight - doch wie sieht das Sicherheitsmodell dahinter aus? Kollege Shawn Fakas gibt erste Eindrücken in einem Blogeintrag.

Kurz zusammengefasst:

Silverlight basiert auf CoreCLR
CoreCLR kennt kein CAS & Co.
Um den Zugriff auf "Critical Code" (bspw. System Bibliotheken für IO) abzusichern, gibt es in Silverlight "Safe Critcal Code". Dahinter stehen quasi Wrapper, die die Zugriffe durch Überprüfungen etc. absichern (bspw. IsolatedStorage für IO)

Details, wie gesagt, bei Shawn ...

Windows Vista Security - 90 Tage danach

sebweber — Fri, 23 Mar 2007 17:22:34 GMT

Jeff Jones hat einen Bericht zusammengestellt, der die ersten 90 Tage von Vista zusammen fasst und es mit anderen Betriebssystemen vergleicht.

SDL Banned APIs

sebweber — Fri, 09 Mar 2007 20:01:07 GMT

In meinen Vorträgen zu SDL habe ich oft von den "Banned APIs" gesprochen. Also die APIs, die wir aus Sicherheitsgründen gegen überarbeitete APIs ausgetauscht haben.

Wie im Weblog von Michael Howard schon erwähnt, hier die Liste:

http://msdn2.microsoft.com/en-us/library/bb288454.aspx

AJAX Security Webcasts

sebweber — Fri, 09 Mar 2007 18:02:36 GMT

Es gibt eine interessante Webcast-Reihe zu AJAX-Security von unseren US-Kollegen:

Live From Redmond: AJAX Security Basics- The Building Blocks to Protecting Your Applications Built with ASP.NET AJAX

Live From Redmond: How Hackers Reverse Engineer and Exploit an ASP.NET AJAX Application

Live From Redmond: The Brave New World of AJAX Hacking (and prevention using ASP.NET)

Live From Redmond: The Next Generation of AJAX Attacks – A New Generation of Attack Theories

Live From Redmond: Best Practices: A Look at Developer ASP.NET AJAX Security Mistakes

Weitere Infos dazu im Blog von Joe Stagner.

Keynote auf der OOP zu SDL

sebweber — Mon, 22 Jan 2007 22:14:05 GMT

Sehen wir uns? Ich selbst bin leider nur am Mittwoch vor Ort und muss am Nachmittag bereits wieder abreisen.

Mein Beitrag dreht sich (natürlich ;-)) um den Sicherheits-Entwicklungszyklus bei Microsoft.

Bin gespannt ...

Defense in depth: VML Bug und Vista

sebweber — Fri, 12 Jan 2007 13:57:19 GMT

Im Webcast über "Security-Helferlein" war es noch die graue Theorie, hier ein Beispiel aus der Praxis:

Why Windows Vista is unaffected by the VML Bug