Développement Sécurisé Tour Novembre-Décembre 2005 Eric Mittelette, Eric Vernié Microsoft France – DPE Novembre 2005
Agenda Partie I : Méthodologie Sécurité et le développement Sécurité et le développement Partie II : Hack et code Top X des problèmes de développement Conclusion
Partie I: Sécurité et le développement Stratégie de sécurité Microsoft SD3 - SDL Analyse des risques, outils, méthodologie Stratégie de développement sécurisé Informatique de confiance et SDL (WSI) STRIDE Model et analyse des menaces … Security et ressource humaine… Outils de test et danalyse de code … PAG de sécurité n-us/dnpag2/html/SecurityGuidanceIndex.asp n-us/dnpag2/html/SecurityGuidanceIndex.asp
Les 10 grandes règles de sécurité Qu'un développeur doit connaître pour protéger son code Se méfier des entrées utilisateur Se protéger contre les saturations de tampon Éviter les scripts inter-site N'exigez pas d'autorisations d'administrateur système (sa) Attention au code de cryptage ! Réduisez votre profil d'attaque Utilisez le principe du moindre privilège Faites attention aux modes de défaillance L'emprunt d'identité est fragile Écrivez des applications que les non-administrateurs puissent réellement utiliser
Partie II « Top 10 » des questions de sécurité Contrôle des saisies Problèmes liés à la localisation Protéger un secret Utiliser la cryptographie Problèmes de déni de service Contrôler lexécution du code Sécurité et gestion des rôles Propriétés intellectuelle Sécuriser un site WEB Sécuriser un Web Service
Toute saisie est source de problème Point fondamental lors de la conception Identifier au plus tôt saisie,règles de saisie Saisie et Buffer overrun dans le code C/C++ Les formes canoniques (piège dans les url) Saisie et base de données (Sql injection) Saisie sur le Web et XSS (cross scripting site) Denis de service et robustesse des codes
void UnSafe (const char* uncheckedData) { int anotherLocalVariable; strcpy (localVariable, uncheckedData); } char localVariable[4]; Exemple de débordement de la pile Haut de la pile char[4] int Adresse de retour
Débordement de segments de mémoire Remplace les donn é es stock é es dans le segment Plus difficile à exploiter qu'un d é bordement de m é moire tampon Données Pointeur Données Pointeur strcpy xxxxxxx xxxxxxx
Problèmes liés à la localisation La localisation peut être une source de faille de sécurité. Notamment en C/C++ et lors de la manipulation des chaines UNICODE MultiByteToWideChar() Outil danalyse statique de code /Analyse et VS2005 (C++)
Pause
Protéger un secret Identifier les données « secrètes » de lapplication Chaîne de connexion Saisie dun mot de passe SecureString Gestion des mots de passe dans.NET vs natif Utiliser la cryptographie et choisir la bonne approche… Ne pas ré inventer la roue Rester à jour des hack et parades
Utiliser la Cryptographie Différents algorithmes Symétrique – asymétrique Hash Signature, et certificat.NET encapsule certains dentre eux Cas concrets: Comment transmettre un secret à un utilisateur Gérer le mot de passe de lutilisateur
Problème de Déni de service Problème de Déni de service Lattaque vise a mettre a genoux les application serveur Buffer énorme, recherche de faille technique, hack sur les services du serveur… Utilisation abusive du compte sa pour une base de données Menaces et contre mesure :
Contrôle de lexécution du code.NET Code Access Security Initiative.NET de contrôle de lexécution dun code Tout code appartient a un groupe de code, un groupe de code va posséder un jeu dautorisation. On peut créer ses jeux de permission Entit é de s é curit é Description Strat é gie Définie par les administrateurs Appliquée au moment de l'exécution Simplifie l'administration Contient des autorisations Contient des groupes de codes Groupe de codes Associe des composants similaires Basé sur les preuves Lié à un ou plusieurs jeux d'autorisations Jeu d'autorisations Est un ensemble d'autorisations accordées
Gestion des rôles applicatifs.NET Notion d Identificateur et de Rôles Comparable au mécanisme COM+ Rôle et users peuvent être des comptes/groupes NT ou créé par la logique applicative Couplage « de fait » avec ActiveDirectory… Et/ou Rôles Applicatifs Role Based Security est traité au même niveau que Code Access Security Même mécanisme dinterception/Eception Utilise lObjet : PrincipalPermission Lapplication en cours doit en avoir les droits… Lapplication en cours doit en avoir les droits… Le rôle est porté par la thread dexécution…
Protection de la propriété intellectuelle Le code MSIL est lisible, et lon peut y comprendre les algorithmes utilisés Les Obfuscator sont la réponse Attention aux idées reçue sur.NET Dé assemblage et code natif… 7/html/vxoriDesignConsiderationsForDistributedApplications.asp
Sécuriser un site WEB Authentification ASP.NET Config.web Windows, Passport, Forms, None En accord avec lAuthentification IIS AnonymeBasic/DigestIntegrated Autorisation (web.config) allowdeny
Sécuriser un WebService WS-I WS-* Sécurité indépendante des couches de transports Travail sur les enveloppes SOAP (header)
Service Web et la sécurité La sécurité se décline en plusieurs notions Authentification Passer une identité au Service Web Autorisation Donner des droits sur des ressources Confidentialité des données Contrôler les données Intégrité des données Assurer que les données ne soient pas altérées Dénie de Service Bloquer les accès aux Services
S é curit é de niveau message Les messages XML transmettent des informations de sécurité Informations d'identification Signatures numériques Les messages peuvent être cryptés Client Transport Service Transport Tout transport XML La sécurité est indépendante du protocole de transport
Sécurité au niveau Applicatif Authentification Étendre le modèle de Service Web ASP.NET Utilisation den-têtes SOAP personnalisés Flexibilité dutiliser son propre mécanisme Intégrité et Confidentialité Utilisation des APIs de cryptographie et les standards du Web en terme de signatures et dencryptage Alternative : est lutilisation de SSL combiné avec les entêtes SOAP Quand lutiliser ? Utilisation de schémas de bases de données existant pour la validation dutilisateurs ou de rôles Crypter une partie du message plutôt que la totalité du flux Indépendant du transport
WS-* Architecture des Spécifications Transports HTTP, HTTPS, SMTP, TCP… XML XML, XSD, XPath Messaging SOAP, WS-Addressing Security WS-Security WS-Trust WS-Federation Reliability WS-Reliable Messaging Transactions WS-BusinessActivity WS-Coordination WS-AtomicTransaction Metadata WSDL, WS-Policy Livre blanc commun IBM Microsoft:
Web Services Architecture Modulaire : Composition den-têtes SOAP Largement adopt é e Toutes nouvelles sp é cifications XML sont é tudi é es par l organisme WS-I L industrie centralise ses efforts sur l interop é rabilit é des outils et des plates-formes autour de Services Web On réutilise, on ne réinvente pas Tous les modules sont indépendants des plates- formes et langages
Modulaire : Exemple Sécurité Et Licence Routage <S:Envelope xmlns:S=" xmlns:xsd=" xmlns:xsi=" soap://tickers-r-us.org/stocks uuid:84b9f5d0-33fb-4a81-b02b-5b760641c1d6 <wssec:credentials xmlns:wssec=" <wslic:binaryLicense xmlns:wslic=" wslic:valueType="wslic:x509v3" xsi:type="xsd:base64Binary"> dWJzY3JpYmVyLVBlc…..eFw0wMTEwMTAwMD <tru:StockSymbol xmlns:tru=" QQQ MessageSOAP
Implémentation Microsoft Web Services Enhancements 1.0,2.0 et 3.0 pour Microsoft.NET Nouvelle bibliothèque de classes Microsoft.NET de Services Web (Microsoft.Web.Services)
Runtime WSE … Moteur dapplication des protocoles WS-*, à des messages SOAP Fournit un modèle de programmation pour manipuler les entêtes SOAP. Implémentation côté client et serveur Notion de pipelines et de filtres Lecture des entêtes SOAP entrant Écriture dans les entêtes SOAP sortant Transformation du corps SOAP (Cryptage)
SOAP Message SoapContext Custom token handlers Custom Policy handlers Runtime WSE
Ma boite à outil Les outils CAS cnfg et Caspol… FxCop, /Analyse Test unitaires intégrés dans VS2005 Obfuscator Outil de hacking, pour tester les attaques connues Outil de configuration du WEB (ASP-v2) Et la presse…déric !
Conclusion Restons vigilant ! Cycle itératifs sur la sécurité dés la phase de conception jusquà la phase de maintenance… Créer une équipe sécurité, penser à la formation et mise a jour annuelle des développeurs Séquiper doutils de test et de mesures…
Ressource Writing Secure Code – M Howard Ouvrage de référence pour les développeurs SDL et publication PAG Guideline pour la securité avec code à lappuis Centre de développements sur MSDN Webcast de ces rencontres Démo, webcast articles, réguliers