Verslag Technische Meeting PaSS-Microsoft
Afgelopen maandag 29 juni organiseerde de werkgroep PaSS-Microsoft de Technische Meeting “MITM/AU2/CSRF/0day exploits: Applicatiebeveiliging met Microsoft technologie”. In de meeting kwamen een viertal presentaties aan bod over toegepaste cryptografie in .NET, Cross Site Request Forgery, het Microsoft Geneva framework en wie beveiligt de (web)applicatie.
Martin Visser, trekker van PaSS Microsoft, was de avondvoorzitter en opende de avond met een korte introductie van PaSS. Aansluitend volgde een korte presentatie over wie nu eigenlijk onze webapplicaties beveiligt. Zoals hopelijk bekend is, is dit antwoord te vinden in de verschillende Secure Development Lifecycles (zoals Microsoft’s SDL, OWASP’s CLASP of Cigital’s Touchpoints) en moet natuurlijk zijn: iedereen die zich bezig houdt met het ontwikkelproces. Van requirements engineer tot architect, designer, progammeur, tester en beheerder, zij hebben allen expliciete taken op het gebied van applicatiebeveiliging.
Ton Roelofsen en Remco Eissing presenteerden een soms nog wat onderbelichte applicatie kwetsbaarheid: Cross Site Request Forgery. Zij deden dit in het Vulnerability-Attack-Countermeasure formaat. Allereerst maakte Ton duidelijk gemaakt wat deze bedreiging precies inhoudt en waarom deze voor webapplicaties zeer serieus moet worden genomen. De gevolgen kunnen zeer vergaand zijn zoals oa. Google, ING en Wikipedia ervaarden. Vervolgens presenteerde Remco in de vorm van een demo een daadwerkelijk CSRF aanval. Aan de hand van de demo applicatie uit de “Application Security ASP.NET 2.0” cursus (die intern wordt gegeven) voerde hij Evil Bob’s aanval uit. Vervolgens werden een aantal tegenmaatregelen besproken. Sommige standaard aanwezig in ASP.NET, sommige in de vorm van een third party library. Bij het afwegen van de voor- en nadelen werd snel duidelijk dat geen enkele tegenmaatregel, zoals we dit vaak zijn bij security maatregelen, het probleem volledig op lost. De programmeur zal altijd zelf zijn hersens moeten blijven gebruiken, en dat is maar goed ook!
Naast de sprekers van PaSS-Microsoft zelf was er ook een externe spreker van Microsoft Nederland uitgenodigd. Koen Laan van Microsoft wist uit te leggen aan de hand van een aantal demo’s waarom het nieuwe Geneva framework (oude codename ‘Zermatt’) een goede oplossing is voor brokered authentication en authorisation. Door gebruik te maken van het claims paradigma worden de huidige identity vraagstukken in applicaties beter vertaalt naar technische oplossingen. Claims zijn vertrouwde stellingen die worden gemaakt door vertrouwde partijen over bepaalde subjecten. Zo kan een gebruiker, door in te loggen met zijn overheids DigiD, bv. een claim verwerven dat hij/zij ouder is dan 21 jaar. Ook hoeft op deze wijze een webshop niet meer creditcard gegevens aan gebruikers te vragen maar volstaat een gesigneerd token van de bank dat een bepaalde transactie is gefiatteerd. De eindgebruiker authenticieert zich hiervoor op de bestaande wijze bij zijn bank. Met demo’s van oa. het mixen van form-based en windows authentication wordt dit principe duidelijk gemaakt.
Annejan Barelds sloot de avond af met een zeer goed ontvangen presentatie over toegepaste cryptografie. Op geheel eigen wijze wist Annejan een inzicht te geven in de do’s en don’t van cryptografische oplossingen. Daaronder valt overigens niet alleen de bekende encryptie van data maar ook zaken als hashing en Message Authentication Codes. Ook schetste hij wanneer cryptografie dient te worden toegepast; te vaak zien we onbeveiligde, persoonsidentificerende data in de database worden opgeslagen. Annejan bood aan de hand van een voorbeeldapplicatie heldere oplossingen hiervoor. Deze cryptografische oplossingen voegen eigenschappen toe aan de data die wordt opgeslagen, zoals bijvoorbeeld integriteit. In een voorbeeld liet Annejan zien hoe de applicatie detecteert dat er buiten de applicatie om wijzigingen waren gemaakt in de data en hoe dit te detecteren valt. Iets wat niet mag ontbreken bij bv. financiële instellingen!
De presentaties:
Martin Visser – Introductie “Wie beveiligt de (web)applicatie”
Remco Eissing/Ton Roelofsen – VAC Cross Site Request Forgery
Koen Laan (Microsoft) – Claims-Based Identity (gezien de status van Geneva is deze presentatie helaas niet publiekelijk beschikbaar)
Annejan Barelds - Cryptografie in .NET
Meer informatie:
MSDN security center: http://msdn.microsoft.com/security
Geneva Framework Downloads: http://msdn.microsoft.com/nl-nl/evalcenter/dd440951(en-us).aspx
Interessante Blogs:
Vittorio Bertocci: http://blogs.msdn.com/vbertocci/default.aspx
Geneva Team Blog: http://blogs.msdn.com/card/default.aspx
The SDL: http://blogs.msdn.com/sdl/
Alex Smolen: http://keepitlocked.net/
