German OWASP Day 2014/Programm

Florian Stahl and Stefan Burgmair — OWASP Top 10 Privacy Risks
Discussions about how to protect personal data are lively, but still there is no specific and independent description of privacy risks for web applications available. Thus, companies lack guidance to apply during systems development and users cannot easily check whether they take privacy risks when using certain web applications. Therefore the OWASP Top 10 Privacy Risks project was founded in February 2014 to develop a top 10 list for privacy risks in web applications. It covers technological and organizational aspects like missing encryption or insufficient transparency. The project got huge attention from privacy and security experts worldwide and was chosen as key input for the Internet Privacy Engineering Network (IPEN) founded by the European Data Protection Supervisory earlier this year. This session will be the first presentation of the OWASP Top 10 Privacy Risks at a public conference.

Further information about the OWASP Top 10 Privacy Risks Project is available on the project Website.

Sebastian Schinzel — Scannen des gesamten IPv4 WWW
Spätestens seit der Veröffentlichung der Netzwerkscanner Zmap und Masscan in 2013 wurde es erstmals für Jedermann technisch möglich, den gesamten IPv4-Bereich in wenigen Stunden zu scannen. Die dadurch möglich gewordenen Datenanalysemöglichkeiten sind vielfältig und höchst interessant. Man muss nicht mehr von Stichproben extrapolieren, sondern erhebt einfach alle Daten.

Im Labor für IT-Sicherheit der FH Münster haben wir im letzten Jahr das gesamte Internet mehrere Dutzend Male gescannt. Das Ziel der Scans war es, Instanzen bestimmter Webanwendungen zu finden, die kritische Sicherheitslücken enthalten. In diesen Vortrag stelle ich unsere Erfahrungen mit den Scans vor.

Amir Alsbih — Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen
In diesem Vortrag sollen die praktischen Erfahrungen aus knapp 100 Sicherheitsabnahmen geteilt werden, die letztes Jahr durch uns durchgeführt wurden.

Insbesondere soll darauf eingegangen werden, welche praktischen Herausforderungen bei einer vollständigen / teilweise outgesourcten Entwicklung und oder dem Betrieb von Web-Anwendungen bestehen. Durch das Aufzeigen der praktischen Realität über eine Vielzahl von Projekten mit unterschiedlichen Beteiligten, unterschiedlichen Größen und unterschiedlichen "Zielgruppen" soll die Diversität der Sichten auf die Sicherheit verdeutlicht werden. Indem man sich diese Herausforderungen bewußtmacht, können ggf. das eigene Handeln optimiert und ggf. Probleme bereits im Vorfeld vermieden werden.

Walter Tighzert — Cloud encryption: encrypt all the things!
Cloud computing offers numerous advantages for the end user: low maintenance, immediate scalability, high availability... However, potential customers are reluctant to use business cloud solutions due to security and privacy concerns. They do not want a malicious cloud provider, administrator or attacker to look at their data. Cryptography is one possible solution to prevent this. With the recent progress on cryptographic algorithms, such as order preserving encryption or partially homomorphic encryption, it is possible to search over encrypted data – without the need for decryption – and to execute complex queries.

We will present different approaches to using cryptography in the cloud, from research prototype to commercial solutions (database encryption, browser extension, HTTP proxy…). We will show how each solution impacts on the performance, security and functionality of various business applications from the healthcare and sales domains.

Achim Hoffmann and Torsten Gigler — Richtig verschlüsseln mit SSL/TLS
Das 'S' von SSL/TLS spielt neben https bei immer mehr Infrastruktur-Diensten, wie z.B. SMTP, IMAP, POP3, RDP, FTP, LDAP und XMPP (Jabber) eine Rolle. Diese nutzen die SSL/TLS-Verschlüsselung entweder direkt, oder mittels STARTTLS. Nicht zuletzt aufgrund den geheimdienstlichen Aktivitäten und der Heartbleed-Lücke von OpenSSL ist das Thema 'Verschlüsselung des Transports der Daten' aktueller denn je.

Leider reicht es nicht, sich ein Zertifikat zu besorgen, die Verschlüsselung 'einfach' einzuschalten und zu denken, dass dann schon Alles gut ist. Weder 'viel hilft viel', noch das blinde Vertrauen in die Standard-(Default-)Einstellungen führen zum gewünschten Schutz. Dieser Vortrag erklärt die wichtigsten, derzeit allgemein empfohlenen Konfigurations-Einstellungen (Good Practices). Dabei vertiefen wir, wie die richtigen Protokolle und Verfahren (Cipher), sowie deren Priorisierung ausgewählt werden sollten, um eine zeitgemäße Verschlüsselung zu erreichen. Dies, ohne dabei wichtige Clients, meist Browser, 'abzuhängen'.

Danach erfährt die/der Teilnehmer/in, wie mithilfe des OWASP-Tools 'O-Saft' die wichtigsten Einstellungen der eigenen Server im Internet und - wofür es weniger Lösungen gibt - im eigenen LAN geprüft werden können. Dafür wird weder ein besonderer Client, noch ein Login, oder gar ein Clientzertifikat für den Zugriff auf den Server benötigt. In der neuesten Version von 'O-Saft' reicht die Installation der Programmiersprache 'Perl' für eine Analyse der SSL/TLS-Protokolle, Cipher und deren Priorisierung aus. Für die Analyse der restlichen Parameter und des Zertifikats werden lediglich Standard-Verschlüsselungsbibliotheken, wie z.B. OpenSSL benötigt. 'O-Saft' unterstützt außerdem beim Überprüfen der Protokolle und der Cipher STARTTLS für die 7 oben genannten, weiteren Dienste. Dabei ist das Programm sehr einfach zu bedienen.

Abschließend stellen wir Beispiel-Ergebnisse und Vergleiche mit anderen Tools vor.

Bruce Sams — Hacken und Absichern von iOS Anwendungen
Mobilanwendungen zeigen eine eigene Palette an Schwachstellen, die besondere Lösungen benötigen. In dieser Session werden aktuelle Schwachstellen und Absicherungsmaßnahmen für iOS-Anwendungen gezeigt. Themen wie Malicious Profiles, HTTP Request Hijacking, Certificate Pinning, binary Code Patching, undokumentierte iOS Dienste wie „pcapd“ usw. werden besprochen. Danach werden die neuen Sicherheitsfeatures in iOS erklärt und ein Vergleich mit iOS6 und iOS7 gemacht. Daraus kann man die Trends bei Apple erkennen und etwas über die zukünftigen Entwicklungen erraten. Zur Abrundung werden hilfreiche Tipps für die Erstellung von sicheren iOS Anwendungen gezeigt. Praxisbezogene Beispiele in Code und Konfiguration untermauern die Diskussion.

Sprecher / Speaker
(in alphabetischer Ordnung)

Torsten Gigler
Torsten Gigler - Dipl.-Ing. Elektrotechnik (Univ.) - Netz- und Unix-Sicherheit seit Ende der 90er Jahre - (Web-)Anwendungssicherheit seit 2001 - arbeitet seit 1993 in der IT eines Großunternehmens - bei OWASP seit 2 Jahren aktiv (z.B. Projektleiter 'OWASP Top 10 für Entwickler') - O-Saft-Nutzer und seit einem knappen Jahr in der Freizeit Mitentwickler (Analyse der SSL/TLS-Protokolle und Cipher durch Simulation der 1. Phase des Verbindingsaufbaus)

Achim Hoffmann
Achim Hoffmann is a senior security consultant for information security services, in particular anything related to (web) application security. He is regular speaker at conferences, writes articles and best pratice guides. He is member of the German OWASP Board. Achim initiated and developed the OWASP tool O-Saft for deep analyzes of SSL/TLS connections.

Florian Stahl
Florian Stahl is a German security and privacy consultant and evangelist. He is Master in information systems and computer science and has CISSP and CIPP/IT certifications. Currently Florian is Lead Consultant at msg systems in Munich. He is regular speaker at conferences and writes articles on his blog securitybydesign.de. Florian founded and leads the OWASP Top 10 Privacy Risks Project.

Walter Tighzert
Walter Tighzert is as a Senior Security Researcher at SAP SE and currently works on cloud security topics, in particular encryption in the cloud.

 