23 Juni: Niels Tanis over security bij Macaw!

Sandboxing .NET assemblies for fun, profit and of course security!

De manier waarop we vandaag de dag .NET applicaties ontwikkelen leunt zwaar op libraries van derden, ontwikkeld door mensen buiten je eigen team. Dit heeft uiteraard enorme voordelen vanuit het standpunt van productiviteit. Er is geen enkele reden waarom je dit soort functionaliteit zelf zou moeten gaan schrijven.

Maar door gebruik te maken van 3rd party libraries krijg je automatisch alle issues én potentiële security problemen mee die in de loop der tjid in die libraries gevonden zijn. Wat doet deze library? En welke andere libraries en/of functionaliteit gebruikt deze library eigenlijk? Wat hebben de makers ervan gedaan om de veiligheid te waarborgen?

Als we een .NET applicatie bouwen, gebaseerd op dit soort externe libraries, kunnen we onze algehele veiligheid dan garanderen? Nieuwe technologieën zoals WebAssembly hebben het concept van nano-procesen geintroduceerd. Die geven de ontwikkelaar de mogelijkheid om te beperken wat een externe module kan doen door het in een sandbox te plaatsen. Kunnen we dit wellicht ook toepassen in .NET? 

Vroeger konden we gebruik maken van AppDomains en Code-Accesss-Security om dat voor elkaar te krijgen, maar met de introductie van .NET Core hebben we maar één AppDomain. En CAS is helaas deprecated verklaard.

Gelukkig hebben we met .NET Core meer toegang tot de achterliggende systemen via de AssemblyLoadContext. In deze sessie gaan we een sandbox bouwen door precies daarvan gebruikt te maken. Een sandbox met beperkte rechten die de beschikbare functionaliteit vermindert zodat de veiligheid van onze applicaties verbeteren!

Niels Tanis

Niels heeft een achtergrond in .NET ontwikkelen, pentesten en is een security consultant. Hij is CSSLP gecertificeerd en is bezig geweest met het inbreken, verdedigen en bouwen van secure applicaties. Hij is in 2015 bij Veracode gaan werken en werkt nu als security researcher in verschillende talen en technologieen, gerelateerd aan Veracode's Binary Static Analysis service. Niels is getrouwd en vader van twee kinderen, en woont net buiten Amersfoort.

 

 

Deze sessie wordt gehost door Macaw, en is, na registratie, gratis voor iedereen die meer wil weten hoe je op een leuke manier .NET applicaties veiliger kunt maken!

Uiteraard is er eten en drinken: de deuren gaan om 18:00 open en Niels zal starten om 19:00. 

 


Deze meeting is al geweest. Je kunt je niet meer inschrijven. Bekijk hier het overzicht van andere bijeenkomsten.




Waar en wanneer

Taurusavenue 16E, 2132 LS Hoofddorp


donderdag 23 juni 2022

Let op: deze meeting heeft een andere begin- en eindtijd dan je van ons gewend bent. Bekijk het programma voor de exacte aanvangstijd.