German OWASP Day 2011

Die führende deutsche Konferenz zur Webapplikations-Sicherheit

OWASP Day 2011
= 4. German OWASP Day 2011 =

Langsam wird es zur erfreulichen Gewohnheit: Wie die letzten drei Jahre (siehe 2010, 2009, 2008) wird es auch dieses Jahr in Deutschland wieder eine OWASP-Konferenz geben: den 4. German OWASP Day. 2011 wird die Konferenz in München stattfinden. Natürlich gibt es auch dieses Jahr wieder ein Vorabendevent zum Netzwerken, Kennenlernen und Diskutieren.

Wo
Die Konferenz findet im NH-Hotel München Dornach statt.

Die Lokation für unsere Vorabendveranstaltung werden wir in Kürze bekannt geben.

Wann

 * Vorabendveranstaltung: Mittwoch, den 16.11.2011
 * Konferenz: Donnerstag, den 17.11.2011

Mailing
am 17. November 2011]]
 * 10.09.2011 [[Media:Mailing-Einladung-9sep11.pdf | 2011 - das Jahr der Datendesaster im Internet: Präventionen auf dem 4. German OWASP Day
 * 04.10.2011 [[Media:Mailing-Agenda-Sept2011.pdf | Das Programm des vierten German OWASP Day ist online]]
 * 13.10.2011 [[Media:Mailing-Agenda-Okt2011.pdf | 2011 - zum Jahr der Datendesaster im Internet: Agenda zum 4. German OWASP Day am 17. November 2011]]

Ankündigung
Das OWASP Academy Portal wird ein "Labor" mit theoretischen und praktischen Übungen zu den OWASP Top 10 anbieten. Das Portal wird im Rahmen des Vortrags OWASP Global Education Committee von Martin Knobloch vorgestellt und erklärt.

Organisation

 * Birgit Bernskötter (Extern)
 * Georg Hess (Chapter Leader)
 * Bruce Sams (Board Member)
 * Tobias Glemser (Board Member)
 * Achim Hoffmann (Board Member)
 * Ulrike Petersen (Board Member)
 * Dirk Wetter

Hash tag
&#35;owasp_d2011

Agenda / Presentations
Die Agenda für den 4. German OWASP Day 2011:

Downloads

 * Georg Heß — [[media:00_OWASP_German_Day_4_Einleitung_-_Georg_Hess.pdf‎ | Begrüßung]]
 * Isabel Münch (BSI) Keynote — [[media:01_OWASP_German_Day_4_Keynote_-_Isabel_Muench.pdf | Sicherheit in und für Deutschland]]
 * Sebastien Deleersnyder - [[media:02_OWASP_German_Day_4_OWASP-Introduction_-_Sebastien_Deleersnyder.pdf | OWASP Introduction]]
 * Sebastian Schinzel — [[media:03A_Quellcodescans_-_Sebastian_Schinzel.pdf | Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen]]
 * Rob Rachwald, Noa Bar-Yosef — [[media:03B_What_are_hackers_hacking_-_Rob_Rachwald.pdf | What are hackers hacking?]]
 * Andreas Kurtz — [[media:04A_Sicherheit_mobiler_Apps_-_Andreas_Kurtz.pdf |Sicherheit mobiler Apps]]
 * Martin Knobloch — [[media:OWASP_GermanyDay_2011-Global_Education_Committee.pdf |OWASP Global Education Committee]]
 * Sebastian Lekies, Walter Tighzert — [[media:05A_Client-Side_Cross-Domain_Requests_-_Sebastian_Lekies+Walter_Tighzert.pdf | Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme]]
 * Thomas Biege — [[media:05B_No_reason_to_be_SAD_-_Thomas_Biege.pdf | No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications]]
 * Hans-Joachim Knobloch, Kai Jendrian — [[media:06A_Web-Services-Security_-_Reicht_der_REST_-_Hans-Joachim_Knobloch+Kai_Jendrian.pdf | Web-Services-Security - Reicht der REST?]]
 * Bruce Sams — [[media:06B_Secure_SDLC_-_Bruce_Sams.pdf | Secure SDLC für die Masse dank OpenSAMM?]]
 * Amir Alsbish — [[media:07B_IT-Sicherheit_in_Unternehmen_-_Amir_Alsbih.pdf | IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten]]
 * Juraj Somorovsky — [[media:07A_Breaking_XML_Signature_and_Encryption_-_Juraj_Somorovsky.pdf | How To Break XML Signature and XML Encryption]]
 * Thomas Roessler (W3C) Invited Talk — [[media:08_OWASP_German_Day_4_Invited_Talk_Von_Webseiten_zu_verteilten_Cloud-Anwendungen_-_Thomas_Roessler.pdf | Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit]]

Sebastian Schinzel — Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen
Statische Code-Analyse (SCA) ist ein Software-Testverfahren, um nach Schwachstellen im Quelltext einer Anwendung zu suchen, ohne diese auszuführen. Automatisierte Werkzeuge (so genannte SCA-Tools) sollen bei der Analyse unterstützen. Mittlerweile sind diese Werkzeuge technische ausgereift und finden reale Schwachstellen – auch und gerade in Webanwendungen, die häufig ein besonderes Risiko für Unternehmen darstellen.

Häufig werden SCA-Tools noch als simple "Bug-Finder" angesehen, mit denen ein Softwaretester bereits fertig entwickelte Anwendungen auf Schwachstellen untersucht. Diese Ansicht ist aus vielerlei Gründen problematisch: Erstens werden Schwachstellen erst sehr spät im Entwicklungsprozess gefunden. Da es bekanntlich deutlich günstiger ist, Defekte während der Entwicklung zu beheben als zu einem späteren Zeitpunkt, ist die nachgelagerte Ausführung häufig unwirtschaftlich. Zweitens bekommen die Entwickler kein direktes Feedback, lernen daher nicht aus ihren Fehlern und machen die gleichen Fehler wieder und wieder. Hier kommen letztendlich auch psychologische Aspekte zum Tragen: Anstatt am Ende eines Projekts für seine Programmierfehler gerügt zu werden, sollten die Entwickler durch SCA-Tools bereits während der Entwicklung auf mögliche Schwachstellen hingewiesen werden. Drittens kann das SCA-Tool am Ende von großen Projekten mehrere Hundert oder Tausend potentielle Schwachstellen melden. Diese Ergebnisse zu bewerten bedeutet erheblichen Aufwand und kann sowohl Budget und Abgabefristen, als auch die Nerven des Teams überstrapazieren.

In diesem Vortrag zeige ich, wie und an welcher Stelle im Entwicklungsprozess SCA-Tools in erfolgreichen Entwicklungsprojekten eingesetzt werden, wie man nach dem Kosten/Nutzen-Prinzip entscheidet, welche Testfälle eines SCA-Tools aktiviert werden sollten und wie man auch große Mengen gefundener Schwachstellen aus der Sicht des Risikomanagements bewertet.

Rob Rachwald, Noa Bar-Yosef — What are hackers hacking?
Vulnerabilities are everywhere. Knowing where they are is useful - but knowing which one will be exploited is much more useful. Security professionals need to focus on real threats plaguing today’s practitioners and provide up-to-date statistics on actual attack data. Where can they get such data?

Imperva’s HII analyzes hacker attack data on a regular, detailed basis and helps answer: What are the most commonly exploited vulnerabilities? What are the trending topics hackers are discussing? Where should practitioners focus their Web security controls? The talk will discuss each of these questions separately and provide data collected from:
 * Honey pots which track and record live attack traffic.
 * Monitored discussions on hacker forums.
 * Analyses of hacker technologies and innovations.

Andreas Kurtz — Sicherheit mobiler Apps
Apples Mobilgeräte, wie das iPhone und das iPad, erfreuen sich nicht nur im Consumer-Bereich immer größerer Beliebtheit, sondern erhalten auch mehr und mehr Einzug in Unternehmen. Aufgrund des mittlerweile hohen Verbreitungsgrads von iPhones und iPads, sowie der Sensitivität, der auf diesen Geräten verarbeiteten Daten, ergeben sich hohe Sicherheitsanforderungen an das iOS Betriebssystem sowie die betriebenen Apps.

Während sich Sicherheitsüberlegungen in der Vergangenheit dabei meist auf die Integration und Pflege der mobilen Endgeräte in der Unternehmensinfrastruktur beschränkten, wurde die Sicherheit der darauf betriebenen Apps zuweilen meist vernachlässigt.

Im Rahmen dieses Vortrags werden zahlreiche Sicherheits- und Datenschutzprobleme mobiler Apps am Beispiel von Apples iOS demonstriert. Anhand einiger identifizierter Schwachstellen in weit-verbreiteten und populären Apps, werden häufige Programmier- und Designfehler erläutert, die immer wieder zu gravierenden Schwachstellen in mobilen Apps führen.

In diesem Zusammenhang wird auch das „OWASP Mobile Security Project“ vorgestellt und die Erfahrungen aus zahlreichen Sicherheitsüberprüfungen mobiler Apps mit dem aktuellen Entwurf der „OWASP Top 10 Mobile Risks“ abgeglichen.

Martin Knobloch — OWASP Global Education Committee
The OWASP Global Education Committee (GEC) has various new projects that are important and worth sharing:


 * OWASP Academy Portal
 * The OWASP Academy Portal will be the online Application Security training environment of OWASP. Powered and Sponsored by Hacking Labs and SecurityInnovations, the portal offers training material and training excercises.


 * To main groups will be addressed by the Academy Portal:
 * - Teachers, e.g. professors teaching about IT
 * - Students, e.g. all who want to learn about Application Security
 * The talk will show the goals, status and future plans of the AcademyPortal!


 * OWASP Training Events
 * As already familiar in relation to the OWASP AppSec conferences, the GEC is busy organizing OWASP Training Conferences, indepent to AppSec conferences.
 * This part will update the audience with the status and plans of the OWASP Training Events.

Sebastian Lekies, Walter Tighzert — Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme
Von Beginn an verändert sich das World Wide Web stetig. Um neue Anwendungen zu realisieren werden ständig neue Technologien entwickelt und in den Browser integriert. Cross-Domain Requests stellen eine dieser neuen Technologien dar. Mit Hilfe von Adobe Flash, Microsoft Silverlight oder dem in HTML5 integrierten Cross-Origin Resource Sharing (CORS) lassen sich trotz der "Same-Origin Policy" client-seitig HTTP-Anfragen erzeugen, die im Authorisierungskontextes des Benutzers ausgeführt werden. Prinzipiell ist es mit diesem Mechanismus möglich, private Daten zu stehlen oder geschützte Aktionen auszuführen. Um dies zu vermeiden, setzen all diese Technologien eine server-seitige Erlaubnis voraus. Hierzu muss der Server eine Policy bereitstellen in der vertrauenswürdige Domains gelistet sind. Bevor ein sogenannter Cross-Domain Request durchgeführt wird, lädt der Browser diese Policy herunter und überprüft, ob die anfragende Webseite für den Server vertrauenswürdig ist oder nicht. Falls ja, wird die Anfrage durchgeführt. Falls nein, verhindert der Browser den Request. Um mögliche Sicherheitsprobleme mit diesem Modell zu untersuchen, haben wir eine große Studie durchgeführt. Im Rahmen dieser Studie wurden 1.000.000 Internetseiten überprüft und deren Cross-Domain Policies ausgewertet. Insgesamt wurden hierbei zirka 83.00 Policies gefunden, von denen zirka 31.000 potentiell unsicher sind. Wiederum zirka die Hälfte dieser Webseiten (15.000) weisen deutliche Anzeichen darauf hin, dass private Daten durch Cross-Domain Requests gestohlen werden könnten. Im weiteren Verlauf wird vorgestellt, welche Webseiten besonders unsicher sind und wie Cross-Domain Policies sicher eingesetzt werden können. Zusätzlich wird eine Firefox Extension vorgestellt, die in der Lage ist potentiell schädliche Requests zu entschärfen, indem Session Cookies von maliziösen Requests abgeschnitten werden. Ein Nutzer kann sich somit vor unsicheren Policies schützen, ohne die Anwendungslogik legitimer Anwendungen zu stören.

Thomas Biege — No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications
Secure software is the Achilles' heel of todays IT infrastructure, especially in a open-source world were development cycles are short, budgets are small and competitors did not sleep.To cut our costs and decrease the Total Cost Of Ownership for our products we attacked the most expensive bugs, security bugs, by integrating a simple Secure Development Life-Cycle, called SAD, into the agile development processes of our enterprise web-applications. The process itself is an assemble of different industry-standard approaches plus a good dose of common sense due to lessons learned during my work. The tools and resources used were open-source (i.e. from OWASP) and often self-written to fill the gaps of the FOSS world. During the session you will see how we saved us and our customers several thousands Euros and released a product with solid security properties.

Hans-Joachim Knobloch, Kai Jendrian — Web-Services-Security - Reicht der REST?
Derzeit gibt es zwei verbreitete Ansätze für Web-Services: SOAP und REST. RESTful Web-Services können sich zunächst "nur" auf die Sicherheitsfunktionen von SSL/TLS und HTTP abstützen. Rund um SOAP gibt es dagegen eine elaborierte WS-Security Architektur. Daher scheint aus Sicherheitsgesichtspunkten zunächst SOAP gegenüber REST im Vorteil. Dennoch geht der Trend in der Praxis zur Nutzung von RESTful WebServices.

Es wird ein kurzer Überblick über die beiden Ansätze und über die Sicherheitsmechanismen im SOAP-Umfeld (WS-Security, WS-SecureConversation, WS-Federation, WS-Authorization, WS-Policy, WS-Trust, WS-Privacy) gegeben. Deren Funktionalitäten müssen für RESTful WebServices bei Bedarf per SSL/TLS und/oder durch explizite Programmierung auf Anwendungsebene ersetzt werden.

Trotz der Vielzahl an sicherheitsbezogenen, teilweise noch in Bearbeitung befindlicher Spezifikationen im SAOP-Umfeld reichen diese jedoch aus unserer Ansicht nach ebenfalls nicht aus, um Sicherheitsanforderungen aus der Praxis vollständig abzudecken. So fehlt beispielsweise ein Bandbreitenmanagement als Schutz gegen Überlastung. Auch steht momentan kein etablierter, allgemein nutzbarer Federated Identity Management Dienst zur Verfügung.

Umgekehrt sind viele SOAP-Sicherheitsmechanismen - zumindest momentan noch - eher wenig praxisrelevant: Die WS-Security-Architektur ist für die beliebige Verknüpfung von Webdiensten in einer völlig offenen Landschaft gedacht. Dies kommt dem Problem gleich, durch Rufen auf einem belebten Marktplatz eine Skatrunde aus völlig Fremden zusammen zu stellen und miteinander eine Partie zu spielen.

In der Praxis dominieren derzeit jedoch andere Anwendungsszenarien, bei denen die Grenzen zwischen Vertrauensbereichen (Trust Domains) wesentlich einfacher verlaufen als in einer völlig offenen Landschaft, nämlich interne Verknüpfung von Anwendungen, bilateraler Datenaustausch mit Partnern und geschlossene Benutzergruppen (CUG). Innerhalb einer Trust Domain kann ein WebService sich dann häufig darauf abstützen, dass die aufrufende Anwendung bereits grundlegende Sicherheitsfunktionen wie die Authentifikation und Autorisierung des dahinter stehenden Anwenders erbringt. D. h. der aufgerufene WebService muss diese nicht - wie in einer offenen Landschaft - zwingend selbst gewährleisten.

Für die drei genannten Anwendungsszenarien reichen daher auch die Sicherheitsmechanismen aus, die RESTful WebServices zur Verfügung stehen, d. h. besonders SSL/TLS mit Client-Authentifkation, ergänzt um Maßnahmen zum Schutz der Verfügbarkeit gegen Überlastung (die auch in WS-Security so nicht enthalten sind) sowie bei Bedarf Maßnahmen auf Anwendungsebene wie bspw. XMLDsig oder andere Signaturen der übergebenen Daten. Besonders wichtig ist eine genaue Überprüfung der Daten und die Prüfung der Autorisierung an Übergabepunkten zwischen Trust Domains. Auf organisatorischer Seite kommen dazu noch SLAs oder andere rechtlich bindende Vereinbarungen mit Partnern und CUG-Mitgliedern.

Daraus ergibt sich für uns als Antwort auf die Frage im Titel: Für die Mehrzahl der heutigen WebService-Anwendungsszenarien werden Sicherheitsfunktionen der WS-Security-Architektur von SOAP nicht unbedingt benötigt; die für REST nutzbaren Mittel reichen aus. Getreu dem Motto: Lieber erst einmal das Einfache richtig machen, anstatt sich beim potentiell Perfekten zu verheddern.

Markus Wagner Bruce Sams — Secure SDLC für die Masse dank OpenSAMM?
Mit der Grundaussage „(Web-)Anwendungssicherheit kann nicht durch eine Einzelaktion erreicht werden“ wird bereits seit Jahren (erfolgreich?) versucht das Sicherheitsbewusstsein von Anwendungsentwickler und Sicherheitsverantwortlichen zu erhöhen und das Thema Security als essentielle Komponente eines Softwareentwicklungsprozesses zu verstehen. Um dies möglichst effizient zu gestalten und Unterstützung bei der Einführung eines secure Software Development Life Cycle (SSDLC) zu bieten, wurden bereits vor einigen Jahren Verfahren und Modelle erarbeitet.

Dieser Vortrag soll daher einen kurzen Vergleich des OWASP-eigenen Projekts OpenSAMM mit den bekanntesten Vertretern BSIMM und Microsoft SDL bieten.

Der Schwerpunkt liegt allerdings auf Erfahrungsberichten aus dem täglichen Einsatz von OpenSAMM in Unternehmen. Positive Erkenntnisse, aber auch fehlende Aspekte sollen dabei von der ersten Analyse, über die Etablierung bis hin zum Regelbetrieb veranschaulicht werden.

Amir Alsbish — IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten
Wie in anderen Bereichen, weicht die Theorie auch im Bereich der Informationssicherheit von der Wirklichkeit ab. In dieser Präsentation werden auf Probleme eingegangen, die sich für die Verantwortlichen für die Informationssicherheit in Unternehmen ergeben. Am Beispiel von interner und externer Softwareentwicklung in Projekten, soll gezeigt werden, wie die Sicherheit durch die Kombination von Personen, Prozessen, Verträgen und Technologie auf pragmatischem Werg erhöht werden kann. Dabei werden konkrete Erfahrungen und Beispiele zu unterschiedlichsten Themen aufgezeigt. Insbesondere sollen dabei kostenfreie Blueprints z.B. aus diversen OWASP Projekten, Tools wie das SDL Threat Modeling Tool, oder Hardening Vorgaben wie beispielsweise den CIS Vorgaben angesprochen werden, mit denen positive Erfahrungen gesammelt wurden. Weiterhin soll gezeigt werden, welchen Mehrwert Checklisten für Unternehmen darstellen, auch wenn diese von vielen Unternehmen abgelehnt werden. Abschließend soll auf einen Ansatz eingegangen werden, mit denen fehlendes Budget ausgeglichen werden kann.

Juraj Somorovsky — How To Break XML Signature and XML Encryption
Extensible Markup Language (XML) is a syntax for serialization of tree-shaped data structures. This standard is used for data storage, data transmission or in Web Services. It is employed in a large number of major web- based applications, ranging from business communications, e-commerce, cloud computing, and financial services over healthcare applications to governmental and military infrastructures. In order to secure sensitive XML data, the W3C standardization group has specified application of cryptographic primitives in XML documents. The resulted standards have become XML Signature and XML Encryption. They allow to ensure basic security properties -- integrity, authenticity, and confidentiality -- of arbitrary XML data. In this work, we present two practical attacks on XML-based SOAP Web Services interfaces breaking these security properties in the exchanged XML documents.

First, we present XML Signature wrapping attacks. Using these techniques, the attacker who is in possession of a validly signed SOAP message can execute arbitrary functions on the Web Service interface on behalf of the message signer. We demonstrate practical impacts of this attack by its application on Web Service interfaces of two major cloud systems: Amazon and Eucalyptus.

Second, we describe a practical attack on XML Encryption, which allows to decrypt a ciphertext by sending related ciphertexts to a Web Service and evaluating the server response. We show that an adversary can decrypt a ciphertext by performing only 14 requests per plaintext byte on average. This poses a serious and truly practical security threat on all currently used implementations of XML Encryption.

Invited Talk: Thomas Roessler (W3C) — Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit
HTML5 verändert die Landschaft, in der Webapplikationen entwickelt werden. Das Web wird zu einer Infrastruktur, mit deren Hilfe interaktive Cloud-Applikationen mit komplexen, verteilten und abhängigen browserseitigen Komponenten entwickelt werden. Als Konsequenz verschieben sich unsere Konzepte von Web-Sicherheit und die Rollen, die Webserver und Browser in diesen Konzepten spielen. Der Vortrag wird einen Überblick aktueller und kommender Technologien im Web liefern und eine Vorschau auf neue Sicherheits-Technologien wie Content Security Policy bieten.

Infos für Sponsoren
Als Sponsor des German OWASP Day 2011 setzen Sie ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

Dieses Jahr findet die deutsche OWASP-Konferenz in München statt. Im Rahmen einer konferenzbegleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Wir erwarten zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- und Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des “Gold-, Silber oder Bronze-Sponsorings” (Logo- oder Roll-Up). Ihr Logo mit Link ist in jedem Fall bei uns auf der Landing Page.

Mehr Infos zum Sponsoring sind [[Media:OWASP_D_2011_SponsorenInfo_GHE_2011_06_11_version1_0x.pdf|diesem PDF]] zu entnehmen.

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Kontakt
[mailto:orga2011@owasp.de orga2011@owasp.de]