Jag är nyss hemkommen från München och  European Identity & Cloud Conference . Inspirerad, full av idéer och tillräckligt med uppslag i bagaget, som jag omedelbart skulle vilja hoppa på och som definitivt skulle kunna hålla mig sysselsatt i flera liv till.

Dessvärre kommer jag inte att ha möjlighet att närvara på Microsoft Techdays 2012 som kickar igång idag i Örebro.

Men de flesta av mina kollegor i gruppen MEET  (som jag är en mycket stolt medlem av sedan 5 år tillbaka) är på  plats just nu  - och alla de vill inget hellre än att ni pumpar de på ALLT de vet och något till. Så notera deras bloggar nedan och börja stalka dem nu!  Och glöm inte att hälsa från mig!

Och när ni ändå är där, så glöm inte att äta på Soleo, om ni skall ut på stan.

• Alan Smith (Azure)
• Anders Olsson (Security)
• Andreas Stenhall
• Björn Axell (System Center)
• Cecilia Wiren (.NET)
• Chris Klug (.NET)
• Daniel Bugday (Sharepoint)
• Hasain Alshakarti (Security)
• Henrik Nilsson (FIM, ADFS, Security)
• Joakim Nässlander (Windows Server, Cluster)
• Johan Arwidmark (System Center)
• Johan Åhlén (SQL Server)
• Jörgen Nilsson (System Center)
• Kent Nordström (Identity and Security)
• Magnus Björk (Exchange)
• Magnus Mårtensson (Azure)
• Martin Lidholm (Unified Communication, Lync)
• Mathias Olausson (ALM)
• Ola Skoog (IT Pro Evanglist)
• Patrik Löwendahl (.NET)

Finns att beskåda på Svt Play fram till 2/9

Programmet är en uppföljare till ett inslag som visades i höstas om säkerhetsbrister i trådlösa nät och handlar om säkerhetsrisker i sociala medier och internet överlag.

Programmet visar först en repris av höstens inslag för att sedan övergå i det nyare inslaget.

Vi dyker upp efter ca 39 minuter. Inslaget är inspelat i Concrete ITs kontor på söder i Stockholm. Inslaget avslutas med att reportern besöker konferensen Hack in the Box i Amsterdam och intervjuar Facebooks säkerhetschef Joe Sullivan. Jag var med även där nere, men syns dock inte till inslaget från konferensen.

Saxat ut Tv-tablån på någon större blaska. Min kollega Marcus Söderberg har precis kapat SVT-reportern Nicke Nordmarks Twitterkonto

Ex:
Klient loggar in i AD via ADFS 2.0 och får en säkerhetstoken. Vid senare tillfälle kan klienten med hjälp av denna token, via samma ADFS-server erhålla nya tokens till olika RPs. Således behöver användaren endast logga in en gång och kan sedan erhålla nya tokens med olika claims för olika system och syften.

För att kunna åstadkomma detta behöver ADFS 2.0 i första läget skapa en token med sig själv som AudienceURI.

Det går i det läget inte att använda sig av ADFS ursprungliga identifierare, tex http://servernamn/adfs/services/trust

Tillvägagångssättet blir istället följande:

Skapa ett valfritt alias för ADFS-tjänsten, tex http://aliasURI/

Genom att

1. Öppna upp ett Powershellfönster i administratörsläge på ADFS-servern
2. Skriv kommandot Add-ADFSSnapin Microsoft.ADFS.Powershell (laddar snapin för ADFS)
3. Skriv kommandot Set-ADFSProperties –AcceptableIdentifier ”http://aliasURI/”
4. Öppna upp MMC-snapin för ADFS 2.0 och skapa en Relying Party Trust och skapa till denna en  identifier som är satt till ovanstående alias (http://aliasURI/). För kryptering av token används ADFS-tjänstens certifikat för Token Decryption.

5. I klienten sätts egenskapen AppliesTo i anropet till ovanstående alias. Ex rst.AppliesTo = new EndpointAddress(”http://aliasURI/”)

KLART!

Ni kan läsa mer på Vittorio Bertoccis blogg och på Claims based identity blog på MSDN

En av de nya punkterna som sticker ut lite är:
Do not use Microsoft Visual Basic 6 to build products

Say no more…..

Säkerhet är något som alltid traditionellt sett varit delegerat till IT-avdelningen, vars uppgift varit att applicera perimeterskydd kring våra system, dvs. bygga stängsel kring allt, medan majoriteten av utvecklare i stort sett fortsatt att utveckla applikationer och tjänster utan att ha säkerhet i åtanke.
Brandväggar, IDS:er, etc. är alla försök att skydda våra system mot en grym omvärld, medan applikationerna själv allt som oftast inte erbjuder något som helst, eller väldigt lite skydd i fråga.

Många säkerhetsföretag som livnär sig på att utföra säkerhetsgranskningar av kod och system, kommer allt som oftast in sent i applikationslivscykeln och granskar system som redan är i acceptanstest eller produktion och det blir då kostsamt, om inte näst intill omöjligt, att åtgärda säkerhetsproblemen. Samma fel riskerar dessutom att introduceras på nytt om man fortsätter i samma spår.
Alltför många utvecklare jag träffar regelbundet relaterar säkerhet till säkerhetsfunktioner såsom autentisering och kryptering. Men det är viktigt att skilja på säkerhetsfunktioner och säkra funktioner.
Och det är bristen på det senare som i de flesta fall orsakar de vanligaste säkerhetsbristerna som i förlängningen leder till intrång samt stöld och förvanskning av information.

Missförstå mig inte. Perimeterskydd behövs och det ena utesluter inte det andra. Hur mycket säkerhet man än har i åtanke vid utveckling kommer det alltid att begås misstag och säkerhet skall appliceras på flertalet lager.
Men perimeterskydd, som är reaktiva till sin natur, är inte effektiva som enda skydd och perimetern blir alltmer svårdefinierbar. Informationen lever inte längre endast i isolerade silon och vårt inträde i molnet är ett bra exempel på detta.

Tjänster som skall leva i molnet bör dessutom vara ”internet ready”. Det innebär bla att de skall kunna motstå en rad säkerhetsrelaterade angrepp på applikationslagret. För det är viktigt att känna till att i plattformar som Windows Azure, så ansvarar visserligen Microsoft för perimeterskydden, driftsäkerheten och tillgängligheten (och gör det väldigt bra), men du, och endast du, ansvarar för applikationssäkerheten.

Så precis som den övriga industrin i sitt miljöarbete äntligen lärt sig att det är bättre att spy ut mindre avgaser än att försöka rena luften i efterhand, så kanske vi inom mjukvaruindustrin borde ta lärdom.
Bli mer proaktiva istället för reaktiva. Angrip grundorsaken istället för att försöka lindra symptomen.
Mjukvara måste designas med säkerhet i åtanke och bli en integrerad del i hela utvecklingsprojektet. Från krav, via design och implementation, hela vägen till test och driftsättning. Oavsett om vi arbetar agilt eller med andra metoder.
Det är självklart både billigare och betydligt bättre ur riskhänseende att introducera färre sårbarheter och åtgärda de tidigt än att upptäcka dessa när det är för sent och skadan är skedd.

För att klara av detta måste vi höja säkerhetsmognaden i teamen och införa aktiviteter för säkrare design, implementation och test av mjukvara.
Microsoft insåg detta den hårda vägen för ett antal år sedan, och inledde ett flerårigt arbete som resulterade i en framgångsrik modell för säker systemutveckling, även kallad The Security Development Lifecycle (SDL), som numera appliceras på alla utvecklingsprojekt internt.
Microsoft har gjort modellen publik, vilket betyder att du kan ta del av SDL och applicera på dina utvecklingsprojekt.
SDL innehåller aktiviteter, verktyg och checklistor för att integrera säkerhet i hela livscykeln och är dessutom numera anpassad för arbete i agila projekt. Det finns t.ex. SDL-anpassade mallar för TFS (MSF-Agile + SDL Process Template for Visual Studio Team System).

Vill ni veta mer om SDL eller diskutera applikationssäkerhet generellt, så kan ni träffa mig på Techdays i Örebro i Mars. Jag och Magnus Mårtensson (affärsomådesansvarig för moln på Diversify), håller sessionen ”Windows Azure calling – who is this?” om behörighetskontroll i Windows Azure med hjälp av Appfabric Access Control Service (ACS) och Windows Identity Foundation. Jag kommer även att vara tillgänglig i ATE-arean för att svara på frågor och hjälpa till med allt säkerhetsrelaterat.

Evenemanget är gratis och anmäler er gör ni här

Ibland finns det ingen session som passar en och då hamnar man på sessioner om saker man aldrig pysslat med.

Det är lite av tjusningen med konferenser och i flertalet fall har jag tackat min lyckliga stjärna att jag gått på sessioner med för mig okänt ämne, då det visat sig vara hur relevant som helst.

Min kollega Marcus hamnade i fel sal här när han skulle titta på en session om virtualisering, såg en annan om klustring av SQL Server och fann att det var superintressant.
Själv hamnade jag på torsdagmorgonen på ”Giving your Windows Phone XNA Games Plenty of Whizz and Bang” med Rob Miles.
Jag är inte mycket av en gamer och aldrig pilla på XNA, men efter en timmes humorfylld och teknikspäckad session var jag hur taggad som helst och föreslog för min kollega att vi skulle göra ett spel till Windows phone och bli stenrika. Detta höll i sig i en halvtimme efteråt minst.

Efter denna inledning var det dags för den briljante John Craddock att denna gång dema ADFS 2, vilket han gjorde med bravur.

Sedan kom en session jag sett fram emot:
“Cloud Security: The Practical Meaning of Security, Identity and Access Revealed!” med Paula Januszkiewicz och Tomasz Onyszko
Paula är säkerhetskonsult och MVP på Enterprise Security och vi blev utlovade en del real world-scenarion och diverse attackvektorer.
Det som följde var en timmes tortyr.
Sessionen var satt till nivå, 300 men kändes mer som nivå 100. Men det var inte det som var tortyren.
Talarna talade som programledarna i Bullen och förklarade allting för oss som om vi vore en skock dagisungar.

Torsdagen blev sista dagen för mig och IT-bullen (eller bullen IT kanske?) var det som för min del fick avsluta årets konferens. TechEd slutar fredag vid lunchtid, men det fanns inga sessioner som tilltalade mig och denna gång valde jag att kasta mig ut på helt andra äventyr i Berlin.
För även om TechEd var slut för min del denna gång så var jag långt ifrån färdig med Berlin och hade ytterligare tre dagar att se fram emot. Men det är en helt annan historia…..

Nu är det officiellt. Jag diggar Messe Berlin stenhårt.

Ze lemmings!

Idag höjdes nivån på konferensen med 300%. Då gårdagens sessioner överlag var lite ljumma (med ett par undantag), bjöd den tredje dagen på de bästa sessionerna. Det är sådana här dagar som gör det mer än värt att åka till TechEd.

Morgonen började med John Craddock´s session ”Cloud computing, is it right for you?” där han tog upp utmaningarna med att migrera till molnet. John går genom både SaaS-, PaaS- och IaaS-scenarion och till min glädje fick säkerhet ett stort utrymme i sessionen. Och det råder ingen tvekan om att John vet vad han pratar om på det området.

John är entusiastisk inför det rådande paradigmskiftet och ser det som en utmärkt tillfälle att vara innovativ istället för att, som många, vara oroliga för att övergången till att konsumera datorkraft såsom vi idag konsumerar elkraft skall göra de sysslolösa.

Däremot råder John att inte kasta sig in i molnet, eller för att uttrycka det i hans ord:  ”Don´t jump to the cloud!”, utan att undersöka förutsättningarna och förbereda sig  adekvat.

Och jag kunde bara le när han visade följande slide:

för att sedan fråga publiken hur många som hade sina säkerhetsprocesser, rutiner, policys och dokumentation på plats. Av ca 1000 deltagare räckte ungefär 3 upp handen.

För är inte det vanligaste argumentet mot molnet hur läskigt det är att låta någon annan hantera stora delar av säkerheten?

John visade också hur ansvarsfördelningen ser ut säkerhetsmässigt mellan SaaS, PaaS och IaaS, samt att det är väldigt viktigt att tjänsterna är ”Internet ready” innan man kastar upp dessa i molnet. Det blir då viktigare än någonsin att integrera säkerhet i sin utvecklingsmetodik med tex SDL. Ljuv musik i mina öron.

Sedan pratade John om federering och Claims  som en förutsättning för att klara identiteter i molnet.

Dagen följdes sedan med en fantastisk session av Dominick Baier ”Archtecting Claims-Aware applications (With the Windows Identity Foundation and Active Directory Federation Services) ”

och avslutades med en av mina absoluta favorittalare Vittorio Bertocci  (vars bok jag för övrigt läser just nu) som höll ”Windows Identity Foundation and Windows Azure for developers”.

Det råder ingen tvekan om att molnet kommer vara det som äntligen pushar Claims och federering.   Vittorio Bertocci sa det bäst:  ”All else is syntactic garbage”. Precis min åsikt.

Idag börjar jag hitta. Eller hitta kanske är att ta i. Jag går inte vilse längre. Och faktum är att jag börjar gilla byggnaden. Den liksom smyger sig på en.

Jag har sett motsvarande sessioner åtskilliga gånger förut. Denna gång framfördes det av en hyfsat bra talare och Stoffe som inte sett så mycket av Azure tidigare och var väldigt nyfiken på plattformen blev helt såld. Jag  fick efteråt gång på gång höra vilken ”Amazon Killer” detta kommer att bli.

Min vän och fd kollega Marcus Murray från TrueSec höll sedan en fullsatt session med titeln ”Attack & Defence: Authentication and Passwords!”

Marcus trivs på scen och ju större publik desto mer glöder han och vi blev serverade en kavalkad av säkerhetsbrister och hur man utnyttjar dessa.

Marcus och hans kollega Hasain Alshakarti hade sniffat det öppna nätverket innan sessionen, som inleddes slagkraftigt med en bild på allt smaskigt de hittat – självklart med alla känsliga detaljer överkluddade.

Resterande eftermiddag blev det mer ännu Azure. Titeln på Beat Schweglers session,  ”Cloud Computing  - A crash course for architects”,  kändes spännande, men ack vad jag bedrog mig.

Då morgonens sessionen var ett bra exempel på en sämre talare med intressant innehåll var denna raka motsatsen. En hyfsad talare med helt ointressant innehåll.

Det kändes  som en crash course i Azure för säljare snarare än arkitekter. Någonting som jag, med gott samvete, hade kunnat skicka våra säljare på så att de kan svänga sig med tillräckligt mycket Azure-floskler för att överleva sin vardag.

Efter ett tag stängde jag av, talaren blev till ett bakgrundssorl och jag roade mig med att kolla mail.

Sista sessionen fick jag äntligen skymta lite kod.
Titlen var ”moving applications to the cloud” , talaren Eugenio Pace och handlade om vilka utmaningar utvecklare står inför för att migrera en applikation till Azure.

Några exempel som togs upp var autentisering, sessionshantering, överföring av stora datamängder såsom bilder, lagring, etc.

För autentisering använde Eugenio självklart WIF, vilken är nyckeln till framgång vad gäller hantering av identiteter i alla olika molnscenarion.  Han passade på att påpeka att WIF använder DPAPI default  för bla signering av tokens och måste konfigureras att använda cert istället då man har fler instanser.

Efter dagens relativt otekniska sessioner så kändes det ljuvligt att få avlusta med lite hands on-exempel och kod.

Det tog mig exakt  en kvart att ta mig ut från jättelabyrinten vid dagens slut. Det som avsevärt försvårade det hela var att man ändrat i labyrinten. Passager hade stängts och nya öppnats. Vägen tillbaka var helt annorlunda än vägen dit.Lite här och där stötte man på en dörrvakt som  avvisade en och dirigerade om ens rutt.

Stoffe och jag letar var kvällens fest vi är bjudna på skall husera.