Sådan laver du sikrere applikationer i .NET

Tænker du på sikkerhed, når du koder? Tænker du sikkerhed, før du koder? Ved du hvilke risici, der er i de applikationer du laver? Ved du, hvordan hackere arbejder?

Hvis du svarer tvivlende på et eller flere af ovenstående spørgsmål, vil du have gavn af at læse nogle af de ressourcer som Henrik Westergaard Hansen fra Microsoft, har indsamlet til dig.

Der er fire formål med denne MSDN Guide:
1) At give dig et indblik i hvilke angreb, der typisk anvendes
2) At give dig mulighed for at forsvare dig mod disse kendte angreb
3) At gennemgå de bedste praktikker for sikkerhed
4) At gøre dig i stand til at tænke sikkerhed ind i hele udviklingsprocessen, således at sikkerhed tænkes ind gennem kravspecificeringen, anaylse, design, programmering samt test.

Vi anbefaler
Kom godt i gang
Kom videre
Introduktion
Her får du en generel introduktion til sikkerhed. Formålet er at give dig et indblik i angrebsmetoder og forsvarsmetoder. Efter endt forløb vil du være bedre rustet til at lave sikrere applikationer.
Artikler
10 ting enhver udvikler skal vide om sikkerhed!
Disse 10 ”almindelige programmeringsfejl” er som oftest årsag til de store sikkerhedshuller og vira såsom BLASTER.
Grunden til at du som udvikler skal vide, hvordan disse huller undgås er, at langt de fleste angreb sker ikke længere mod operativ systemet, men mod de applikationer der installeres på operativ systemet.
Laver du web klienter, er de risici du eksponerer dig overfor nogle lidt andre, om end der er sammenfald. SQL Injections og Cross-site scripting er to meget almindelige sårbarheder på website.


Mark S. Rasmussen har skrevet en god artikel: Securing .NET code. Mark kommer godt rundt om, hvordan man beskytter sin kode mod reverse engineering og beskytter sin IP.
Blogs
Der findes mange gode blogs omkring sikkerhed. Følgende kan varmt anbefales.

Keith Brown Security Briefs
Michael Howard
MSDN Security
Paul Maher's Developer Security Blog
Rick Samona
Shawn Farkas .NET Security Blog
Ressourcer
Arrangementer
Websites
Webcasts
Bøger

DPE teamet afholder ind imellem TechTalks i sikkerhed. Her kan du downloade nogle af præsentationerne.

TechTalk: Slides ligger online. TechTalk

Writing Secure Code
I dette webcast kan du se Joel Semeniuk gennemgå og demostrere mange af de angreb, som er beskrevet i bogen ”Writing Secure Code”.

Joel Semeniuk webcast

Sikker kode
Når du skriver din kode, kompilerer den og efterfølgende distribuerer exe/dll filerne, er din kode da sikker? Denne webcast handler ikke om beskyttelse imod buffer overruns, SQL/code injection og diverse andre hacking teknikker, men taler om beskyttelse af selve kildekoden og beskyttelse af intellektuelle rettigheder.

Sikker kode webcast

Threat Modeling
Threat modeling er en proces beskrevet af Microsoft og er et bud på, hvordan du kan tænke sikkerhed ind i udviklingsprocessen, således at sikkerhedsaspekter adresseres. Microsoft har lavet et gratis Threat Modeling værktøj, således at du får god støtte til at implementere og gennemføre processen.

Threat Modeling webcast

Threat Modeling præsentation fra Developer Days
Developer Days webcast

Writing Secure Code er en rigtig god bog, som dækker meget bredt. Den giver mange gode historier, som forklarer de forskellige ”historiske” angreb og sikkerhedshuller. De forskellige og mest kendte angreb forklares godt. På processiden gennemgås Threat modelling.

Klart en af de bedste bøger jeg har læst om emnet.

Hunting Security Bugs er klart en bog skrevet til udviklere! Der er ikke så meget snik-snak. Alle de kendte angreb beskrives meget detaljeret med rigtig mange gode kodestumper, som demonstrerer både hvordan sikkerhedshullet er opstået, men også hvordan angribere udnytter hullet. Bogen demonstrerer flere super relevante værktøjer, så som Wire Shark, Reflector og Dotfucsator.
Introduktion
Det antages, at du er bekendt med mange af de angreb, som er beskrevet tidligere i denne guide. Her kommer nogle ressourcer, som går lidt dybere. Her er blandt andet informationer om Code Access Security i .NET og kryptering.
Artikler
En god artikel der viser, hvordan du beskytter IP i dine applikationer. Artiklen giver et rigtig godt indblik i, hvordan du sikrer dig imod reverse engineering samt hvordan du kan styrer licensnøgler.
Code Access Security er en af de helt centrale sikkerhedsmekanismer i .NET. Her er tre gode artikler som du burde læse, eller i hvert fald kende indholdet af.
Denne artikel beskriver, hvordan du bruger kryptografi funktionerne i .NET.
Blogs
Her er nogle af de centale blogs som omhandler sikkerhed

Michael Howard
Eric Lippert
Eric Fitzgerald
Steve Lamb
MSRC Blog
ACE Team
Jeff Jones
Windows Vista Security/
User Account Control Team
Solution Accelerators - Security and Compliance
Ressourcer
Webcasts
E-learning
Bøger

Der findes en Webcast serie på MSDN, som gennemgår nogle af de mest debaterede emner.

MSDN Webcasts

MSDN Webcast: “Ask The Developer Security Experts” Series—Smart Client Security Best Practices—Level 200
Original Air Date: December 2, 2004

Er du mere interesseret i de IT-Pro relaterede emner, så som Identify Management, IIS sikkerhed og konfiguration, AD/ADFS, så er der mange gode ressourcer på dette website.
Hver måned udsender Microsoft et nyhedsbrev hvor der indgår nye ressourcer.

http://www.microsoft.com/technet/security/secnews/newsletter.htm

Developing More-Secure Microsoft® ASP.NET 2.0 Applications
En god bog der addresserer sikring af infrastruktur, sikker kommunikation, kryptering samt sikkerhedsfunktioner som bruges i implementeringen af ASP.NET applikationer.