German OWASP Day 2014/Programm

Agenda / Vorträge / Presentations
Die Zeiten mögen sich noch geringfügig ändern

Keynote — Rainer Böhme (Universität Münster): Über Agenten und Trittbrettfahrer -- Websicherheit als öffentliches Gut
Rainer Böhme erläutert Kernthesen der ökonomischen Betrachtung von IT-Sicherheit, einem Forschungsgebiet, das in den vergangen Jahren massiv an Bedeutung gewonnen hat. Er stellt Querbezüge zur Sicherheit der Web-Plattform her und kommentiert aktuelle Regulierungsbestrebungen in Deutschland und Europa.

Giorgio Maone — The First, Toughest and Messiest XSS Filter Ever
"NoScript Security Suite" to better reflect how, over the time, it has gone far beyond basic script blocking, by experimenting additional defensive mechanisms against several Web-based security threats as they emerged from research. Among these additions, one of the most important is certainly the "Injection Checker": a Cross-Site Scripting Filter introduced in 2007, when XSS began to be taken seriously but almost nobody yet believed it might be mitigated to any extent on the client side. NoScript demonstrated that browser technology could effectively protect users against reflected attacks even on the buggiest Web sites, paving the way for Microsoft Internet Explorer's own filter (2008) and Google Chrome's XSS Auditor (2010). Despite the obvious disparity in financial and manpower resources (NoScript being essentially a Free Software one-man project), the Injection Checker remains arguably the most effective of all the client-side XSS filters available today, priding itself in chasing the most cutting-edge attacks, rather than picking the low hanging fruit and just aiming at the script kiddies. This is possible thanks to the steady help of brilliant security researchers such as Mario Heiderich, Masato Kinugawa or Eduardo Vela (just to mention the most prolific), who kindly submit their most esoteric findings and responsibly wait for NoScript to be hardened against their novel techniques before disclosing them. This usually takes less than 24 hours for a beta release and about one week for an automatic update protecting the bulk of NoScript users. Years and years of such an "Emergency Driven Development" have shaped quite an interesting and messy pile of code: the brave and patient spelunker who ventures to dig through it has a chance to unearth hidden gems, dirty tricks, ugly hacks and large chunks of Web Application Security history.

Seba Deleersnyder — OpenSAMM Best Practices: Lessons from the Trenches
Managing all application security activities as part of development and deployment of applications can be an overwhelming challenge. OWASP OpenSAMM gives you a structural and measurable blueprint to integrate OWASP best practices in your software life cycle. This OWASP framework allows you to formulate and implement a strategy for software security that is tailored to the risk profile of your organisation.

During this talk Sebastien will get you up to speed on the OpenSAMM framework and share important challenges faced in implementing the framework within various organisations. Important topics that will be covered during this presentation are: Practical lessons learned and use cases from the trenches that make OWASP OpenSAMM a valuable methodology and which you should apply for your secure development life cycle! Next year we organize the first OpenSAMM summit in Dublin on 27-28 of March 2015. More details on https://www.owasp.org/index.php/Samm.
 * What is the optimal OpenSAMM maturity level for your organisation?
 * At which level to implement OpenSAMM in the organisation: at company, business unit or development team level?
 * How to integrate OpenSAMM activities in agile development?
 * How to apply OpenSAMM on suppliers or outsourced development?
 * What metrics does OpenSAMM provide to manage your secure development life cycle?

Claudio Criscione (Google) — Web app scanning is hard, let’s go shopping
With so many open source and commercial security scanning tools available, one should wonder how so many organizations’ web applications sport trivial security vulnerabilities. It turns out, setting up an automated web security scanning program is not an easy task, bustling as it is with pitfalls and unforeseen challenges. In this talk we discuss some of these issues and share some of the approaches we have seen working in practice.

Jerry Hoff — Secure development and the SDLC
Developing secure applications requires a degree of coordination throughout disparate teams and phases, and security activities must survive despite the conflicting priorities and motivations. There are multiple methodologies and schools of thought for adding security activities to each phase of the development process.

In this presentation, given from the developer's perspective, we will go through several of the more popular methodologies such as NIST’s “Security considerations in System Development Life Cycle” Document, Microsoft’s Simplified SDL, BSIMM3 and OWASP Open SAMM and discuss advantages / disadvantages of each. We will also discuss challenges and resistance of trying to add security to an entrenched development process.

Florian Stahl — OWASP Top 10 Privacy Risks
Discussions about how to protect personal data are lively, but still there is no specific and independent description of privacy risks for web applications available. Thus, companies lack guidance to apply during systems development and users cannot easily check whether they take privacy risks when using certain web applications. Therefore the OWASP Top 10 Privacy Risks project was founded in February 2014 to develop a top 10 list for privacy risks in web applications. It covers technological and organizational aspects like missing encryption or insufficient transparency. The project got huge attention from privacy and security experts worldwide and was chosen as key input for the Internet Privacy Engineering Network (IPEN) founded by the European Data Protection Supervisory earlier this year. This session will be the first presentation of the OWASP Top 10 Privacy Risks at a public conference.

Further information about the OWASP Top 10 Privacy Risks Project is available on the project Website.

Sebastian Schinzel — Scannen des gesamten IPv4 WWW
Spätestens seit der Veröffentlichung der Netzwerkscanner Zmap und Masscan in 2013 wurde es erstmals für Jedermann technisch möglich, den gesamten IPv4-Bereich in wenigen Stunden zu scannen. Die dadurch möglich gewordenen Datenanalysemöglichkeiten sind vielfältig und höchst interessant. Man muss nicht mehr von Stichproben extrapolieren, sondern erhebt einfach alle Daten.

Im Labor für IT-Sicherheit der FH Münster haben wir im letzten Jahr das gesamte Internet mehrere Dutzend Male gescannt. Das Ziel der Scans war es, Instanzen bestimmter Webanwendungen zu finden, die kritische Sicherheitslücken enthalten. In diesen Vortrag stelle ich unsere Erfahrungen mit den Scans vor.

Amir Alsbih — Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen
In diesem Vortrag sollen die praktischen Erfahrungen aus knapp 100 Sicherheitsabnahmen geteilt werden, die letztes Jahr durch uns durchgeführt wurden.

Insbesondere soll darauf eingegangen werden, welche praktischen Herausforderungen bei einer vollständigen / teilweise outgesourcten Entwicklung und oder dem Betrieb von Web-Anwendungen bestehen. Durch das Aufzeigen der praktischen Realität über eine Vielzahl von Projekten mit unterschiedlichen Beteiligten, unterschiedlichen Größen und unterschiedlichen "Zielgruppen" soll die Diversität der Sichten auf die Sicherheit verdeutlicht werden. Indem man sich diese Herausforderungen bewußtmacht, können ggf. das eigene Handeln optimiert und ggf. Probleme bereits im Vorfeld vermieden werden.

Walter Tighzert — Cloud encryption: encrypt all the things!
Cloud computing offers numerous advantages for the end user: low maintenance, immediate scalability, high availability... However, potential customers are reluctant to use business cloud solutions due to security and privacy concerns. They do not want a malicious cloud provider, administrator or attacker to look at their data. Cryptography is one possible solution to prevent this. With the recent progress on cryptographic algorithms, such as order preserving encryption or partially homomorphic encryption, it is possible to search over encrypted data – without the need for decryption – and to execute complex queries.

We will present different approaches to using cryptography in the cloud, from research prototype to commercial solutions (database encryption, browser extension, HTTP proxy…). We will show how each solution impacts on the performance, security and functionality of various business applications from the healthcare and sales domains.

Achim Hoffmann und Torsten Gigler — Richtig verschlüsseln mit SSL/TLS
Das 'S' von SSL/TLS spielt neben https bei immer mehr Infrastruktur-Diensten, wie z.B. SMTP, IMAP, POP3, RDP, FTP, LDAP und XMPP (Jabber) eine Rolle. Diese nutzen die SSL/TLS-Verschlüsselung entweder direkt, oder mittels STARTTLS. Nicht zuletzt aufgrund den geheimdienstlichen Aktivitäten und der Heartbleed-Lücke von OpenSSL ist das Thema 'Verschlüsselung des Transports der Daten' aktueller denn je.

Leider reicht es nicht, sich ein Zertifikat zu besorgen, die Verschlüsselung 'einfach' einzuschalten und zu denken, dass dann schon Alles gut ist. Weder 'viel hilft viel', noch das blinde Vertrauen in die Standard-(Default-)Einstellungen führen zum gewünschten Schutz. Dieser Vortrag erklärt die wichtigsten, derzeit allgemein empfohlenen Konfigurations-Einstellungen (Good Practices). Dabei vertiefen wir, wie die richtigen Protokolle und Verfahren (Cipher), sowie deren Priorisierung ausgewählt werden sollten, um eine zeitgemäße Verschlüsselung zu erreichen. Dies, ohne dabei wichtige Clients, meist Browser, 'abzuhängen'.

Danach erfährt die/der Teilnehmer/in, wie mithilfe des OWASP-Tools O-Saft die wichtigsten Einstellungen der eigenen Server im Internet und - wofür es weniger Lösungen gibt - im eigenen LAN geprüft werden können. Dafür wird weder ein besonderer Client, noch ein Login, oder gar ein Clientzertifikat für den Zugriff auf den Server benötigt. In der neuesten Version von 'O-Saft' reicht die Installation der Programmiersprache 'Perl' für eine Analyse der SSL/TLS-Protokolle, Cipher und deren Priorisierung aus. Für die Analyse der restlichen Parameter und des Zertifikats werden lediglich Standard-Verschlüsselungsbibliotheken, wie z.B. OpenSSL benötigt. 'O-Saft' unterstützt außerdem beim Überprüfen der Protokolle und der Cipher STARTTLS für die 7 oben genannten, weiteren Dienste. Dabei ist das Programm sehr einfach zu bedienen.

Abschließend stellen wir Beispiel-Ergebnisse und Vergleiche mit anderen Tools vor.

Bruce Sams — Hacken und Absichern von iOS Anwendungen
Mobilanwendungen zeigen eine eigene Palette an Schwachstellen, die besondere Lösungen benötigen. In dieser Session werden aktuelle Schwachstellen und Absicherungsmaßnahmen für iOS-Anwendungen gezeigt. Themen wie Malicious Profiles, HTTP Request Hijacking, Certificate Pinning, binary Code Patching, undokumentierte iOS Dienste wie „pcapd“ usw. werden besprochen. Danach werden die neuen Sicherheitsfeatures in iOS erklärt und ein Vergleich mit iOS6 und iOS7 gemacht. Daraus kann man die Trends bei Apple erkennen und etwas über die zukünftigen Entwicklungen erraten. Zur Abrundung werden hilfreiche Tipps für die Erstellung von sicheren iOS Anwendungen gezeigt. Praxisbezogene Beispiele in Code und Konfiguration untermauern die Diskussion.

Sprecher / Speaker
(in alphabetischer Ordnung)

Rainer Böhme
Rainer Böhme ist Juniorprofessor für Wirtschaftsinformatik, insbesondere IT-Sicherheit an der Westfälischen Wilhelms-Universität Münster. Schwerpunkte seiner Forschungstätigkeit sind IT-Risikomanagement, virtuelle Währungen, Cyberkriminalität und digitale Forensik.

Seba Deleersnyder
Co-founder & managing partner application security at Toreon.com As application security specialist for more than 10 years, Sebastien has helped various companies improve their ICT-, Web- and Mobile Security, including BNP Paribas Fortis, Atos Worldline, KBC, NationaleNederlanden (ING), Isabel, Fluxys, OLAF, EU Council, TNT Post, Flemish Community, Agfa-Gevaert and ING Insurance International.

Sebastien is the Belgian OWASP Chapter Leader, co-project leader of the OpenSAMM project, served on the OWASP Foundation Board member (2007-2013) and performed several presentations and trainings on Web Application, Mobile and Web Services Security. Furthermore Sebastien co-organizes the yearly BruCON conference in Ghent (Belgium).

Torsten Gigler
Torsten Gigler berät seit über 15 Jahren im Bereich Informations- und Anwendungssicherheit innerhalb eines Unternehmens. Er ist seit 2 Jahren bei OWASP aktiv (z.B. Projektleiter 'OWASP Top 10 für Entwickler') und seit einem knappen Jahr Mitentwickler des Tools O-Saft (Analyse der SSL/TLS-Protokolle und Cipher durch Simulation der 1. Phase des Verbindungsaufbaus).

Jerry Hoff
Jerry Hoff is the Principle Security Strategist at WhiteHat Security. Jerry has worked at a number of financial institutions such as Morgan Stanley and Lehman Brothers, and has 15+ years of application security, web development and technical instruction experience. Jerry is highly involved in OWASP as is the lead of the OWASP Appsec Tutorial Series, which has garnered hundreds of thousands of views and thousands of subscribers on YouTube. He is also the project lead of the security training tool WebGoat.NET. He is also a frequent speaker at a number of security conferences including 2012 AppSec USA, 2012 AppSec Research EU in Athens, AppSec Ireland 2012, 2013 AppSec USA 2013, and Appsec Asia 2014 and several keynotes including AppSec Latin America 2012, AppSec Brazil 2009. He regularly speaks at organizations such as OWASP, ISSA, FS-ISAC, ISACA and IANS.

Achim Hoffmann
Achim Hoffmann is a senior security consultant for information security services, in particular anything related to (web) application security. He is regular speaker at conferences, writes articles and best pratice guides. He is member of the German OWASP Board. Achim initiated and developed the OWASP tool O-Saft for deep analyzes of SSL/TLS connections.

Giorgio Maone
Giorgio Maone is a software developer and security researcher born and living in Palermo, Italy. He's member of the Mozilla Security Group and invited expert in the W3C's Web Application Security Working Group. In 2005 he created the NoScript Security Suite browser add-on, which today absorbs most of the time and energy left by his main job: parenting 3 little children.

Florian Stahl
Florian Stahl is a German security and privacy consultant and evangelist. He is Master in information systems and computer science and has CISSP and CIPP/IT certifications. Currently Florian is Lead Consultant at msg systems in Munich. He is regular speaker at conferences and writes articles on his blog securitybydesign.de. Florian founded and leads the OWASP Top 10 Privacy Risks Project.

Walter Tighzert
Walter Tighzert is as a Senior Security Researcher at SAP SE and currently works on cloud security topics, in particular encryption in the cloud.

 