German OWASP Day 2011

Die führende deutsche Konferenz zur Webapplikations-Sicherheit

OWASP Day 2011
= 4. German OWASP Day 2011 =

Langsam wird es zur erfreulichen Gewohnheit: Wie die letzten drei Jahre (siehe 2010, 2009, 2008) wird es auch dieses Jahr in Deutschland wieder eine OWASP-Konferenz geben: den 4. German OWASP Day. 2011 wird die Konferenz in München stattfinden. Natürlich gibt es auch dieses Jahr wieder ein Vorabendevent zum Netzwerken, Kennenlernen und Diskutieren.

Wo
Die Konferenz findet im NH-Hotel München Dornach statt.

Die Lokation für unsere Vorabendveranstaltung werden wir in Kürze bekannt geben.

Wann

 * Vorabendveranstaltung: Mittwoch, den 16.11.2011
 * Konferenz: Donnerstag, den 17.11.2011

Organisation

 * Birgit Bernskötter (Extern)
 * Georg Hess (Chapter Leader)
 * Bruce Sams (Board Member)
 * Tobias Glemser (Board Member)
 * Achim Hoffmann (Board Member)
 * Ulrike Petersen (Board Member)

Hash tag
&#35;owasp_d2011

Agenda / Presentations
Die vorläufige Agenda für den 4. German OWASP Day 2011: (die Agenda wird weiter mit Invited Talks ergänzt):

Sebastian Schinzel — Quellcodescans von Web-Anwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen
Statische Code-Analyse (SCA) ist ein Software-Testverfahren, um nach Schwachstellen im Quelltext einer Anwendung zu suchen, ohne diese auszuführen. Automatisierte Werkzeuge (so genannte SCA-Tools) sollen bei der Analyse unterstützen. Mittlerweile sind diese Werkzeuge technische ausgereift und finden reale Schwachstellen – auch und gerade in Webanwendungen, die häufig ein besonderes Risiko für Unternehmen darstellen.

Häufig werden SCA-Tools noch als simple "Bug-Finder" angesehen, mit denen ein Softwaretester bereits fertig entwickelte Anwendungen auf Schwachstellen untersucht. Diese Ansicht ist aus vielerlei Gründen problematisch: Erstens werden Schwachstellen erst sehr spät im Entwicklungsprozess gefunden. Da es bekanntlich deutlich günstiger ist, Defekte während der Entwicklung zu beheben als zu einem späteren Zeitpunkt, ist die nachgelagerte Ausführung häufig unwirtschaftlich. Zweitens bekommen die Entwickler kein direktes Feedback, lernen daher nicht aus ihren Fehlern und machen die gleichen Fehler wieder und wieder. Hier kommen letztendlich auch psychologische Aspekte zum Tragen: Anstatt am Ende eines Projekts für seine Programmierfehler gerügt zu werden, sollten die Entwickler durch SCA-Tools bereits während der Entwicklung auf mögliche Schwachstellen hingewiesen werden. Drittens kann das SCA-Tool am Ende von großen Projekten mehrere Hundert oder Tausend potentielle Schwachstellen melden. Diese Ergebnisse zu bewerten bedeutet erheblichen Aufwand und kann sowohl Budget und Abgabefristen, als auch die Nerven des Teams überstrapazieren.

In diesem Vortrag zeige ich, wie und an welcher Stelle im Entwicklungsprozess SCA-Tools in erfolgreichen Entwicklungsprojekten eingesetzt werden, wie man nach dem Kosten/Nutzen-Prinzip entscheidet, welche Testfälle eines SCA-Tools aktiviert werden sollten und wie man auch große Mengen gefundener Schwachstellen aus der Sicht des Risikomanagements bewertet.

Rob Rachwald, Noa Bar-Yosef — What are hackers hacking?
Vulnerabilities are everywhere. Knowing where they are is useful - but knowing which one will be exploited is much more useful. Security professionals need to focus on real threats plaguing today’s practitioners and provide up-to-date statistics on actual attack data. Where can they get such data?

Imperva’s HII analyzes hacker attack data on a regular, detailed basis and helps answer: What are the most commonly exploited vulnerabilities? What are the trending topics hackers are discussing? Where should practitioners focus their Web security controls? The talk will discuss each of these questions separately and provide data collected from:
 * Imperva honey pots which track and record live attack traffic.
 * Monitored discussions on hacker forums.
 * Analyses of hacker technologies and innovations.

CfP - Call for Presentations
'''CfP ist bereits geschlossen. Das PK arbeitet noch an invited talks.'''

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zum vierten Mal eine deutsche OWASP-Konferenz aus: den 4. German OWASP Day. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum. Die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Der OWASP German Day 2011 ist eine klassische technologieorientierte Security-Konferenz, die Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bietet. Auch fachübergreifende, nicht-technische Themen sind willkommen, bitte keine Marketingvorträge.

Einreichungen von Vorträgen
Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung oder eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein, damit das Programmkomitee eine gute Entscheidungsgrundlage hat. (Bitte auf Orthographie achten, da die Zusammenfassung so wie sie ist ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Präsentationen können 25 oder 40 Minuten dauern (exklusive 5 Minuten Diskussion), bitte Wunschlänge vermerken.

Erwünscht sind alle Themen mit Bezug zu Webapplikationssicherheit und OWASP, insbesondere:


 * Praxisrelevante technische Vorträge
 * Sichere Entwicklungs-Frameworks und Best Practices
 * Sichere Webanwendungen in der Cloud
 * Secure Development Lifecycle
 * Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
 * Security-Management von Anwendungen im Unternehmen
 * Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
 * Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
 * OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
 * Anwendungssicherheit und Metriken
 * Datenschutz bei Webanwendungen

Abhängig von der Anzahl eingehender Vorträge bieten wir ein oder zwei Tracks an. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Folien der Vorträge werden unter der freien OWASP Lizenz auf der Konferenzwebseite veröffentlicht. Daher muss bei Annahme des Beitrags durch das Programmkomitee das OWASP Speaker Agreement ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreements sieht vor, dass die Standardfoliensätze von OWASP verwendet werden ([[Media:OWASP_Presentation_template.ppt|PPT]], [[Media:OWASP_Presentation_template.pptx|PPTX]], [[Media:OWASP_Presentation_template.odp|ODF/OpenOffice]]).

Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.

Alle Teilnehmer sowie Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 16.11.2011.

Programmkomitee

 * Bruce Sams
 * Martin Johns
 * Kai Jendrian
 * Boris Hemkemeier
 * Dirk Wetter

Termine (Achtung: Delays)

 * Einreichungen bis 09.09.2011 ausschließlich online über https://www.easychair.org/conferences/?conf=owaspger11.
 * Bitte geben sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben): Abstract, Bio, Länge, ggf. Foliensätze
 * Benachrichtigung der Vortragenden: 16.09.2011 (wird sich leider um ein paar Tage verzögern)
 * Programm online: 20.9.2011
 * Einreichung der Foliensätze (prefinal): 20.10.2011
 * Konferenz: 17.11.2011

Eintrittspreise
Für den 4. OWASP German Day 2011 gelten die folgenden Preise:


 * normaler Teilnehmer (Early Bird) = 219,00 EUR(*)
 * normaler Teilnehmer = 279,00 EUR
 * OWASP-Mitglied (Early Bird) = 189,00 EUR(*)
 * OWASP-Mitglied = 219,00 EUR
 * Studenten = 59 EUR (**)

(*) Eine Registrierung zu Early-Bird-Preisen ist bis zum 30.9.2011 möglich

(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen.

Anmeldung
Bitte melden Sie sich für die Konferenz und die Vorabendveranstaltung auf der Anmeldungseite an.

Infos für Sponsoren
Als Sponsor des German OWASP Day 2011 setzen Sie ein klares Zeichen: Sie unterstützen den deutschen Branchentreffpunkt im Bereich Web Application Security und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

Dieses Jahr findet die deutsche OWASP-Konferenz in München statt. Im Rahmen einer konferenzbegleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Wir erwarten zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- und Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des “Gold-, Silber oder Bronze-Sponsorings” (Logo- oder Roll-Up). Ihr Logo mit Link ist in jedem Fall bei uns auf der Landing Page.

Mehr Infos zum Sponsoring sind [[Media:OWASP_D_2011_SponsorenInfo_GHE_2011_06_11_version1_0x.pdf|diesem PDF]] zu entnehmen.

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und gemeinnützigen OWASP Foundation (501c3 Not-For-Profit).

Kontakt
[mailto:orga2011@owasp.de orga2011@owasp.de]

Welcome
The German section of the Open Web Application Security Project (OWASP) announces for the fourth OWASP German Day. The conference takes place on November 17, 2011 in Munich. The German OWASP Day is primarily oriented towards a German speaking audience but also presentations in English are welcome. The 4th OWASP German Day in 2011 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications. Please no marketing talks.

Venue
The conference will be located at NH-Hotel München Dornach.

The location for the pre-event dinner will be announced soon.

When

 * Pre-event Dinner: Wendsday, 16'th November 2011
 * Conference: Donnerstag, den 17'th November 2011

Organisation

 * Birgit Bernskötter (Extern)
 * Georg Hess (Chapter Leader)
 * Bruce Sams (Board Member)
 * Tobias Glemser (Board Member)
 * Achim Hoffmann (Board Member)
 * Ulrike Petersen (Board Member)

Call for Presentations
Please note: '''CfP is already closed. Program committee is working on invited talks'''

To submit a proposal, please submit online an abstract of the presentation (500 to 4000 chararters) and a brief biography (150 to 800 characters). Please also state the desired length: 25 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we take your abstract and publish this 1:1 into our program).

We are interested in all topics related to Web Application Security and OWASP, in particular:


 * Technical presentations related to operations
 * Frameworks and best practices for secure development
 * Cloud Security
 * Privacy in Web Applications
 * Secure Development Lifecycle
 * Metrics for application security
 * Security awareness programs for developers, testers, architects and project owners
 * Security management for applications in the corporate environment
 * Application security for Outsourcing and Offshoring projekts
 * Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
 * OWASP in your workplace, university, etc.

Depending on the number of submissions we will offer either one or two tracks. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license. Therefore all speakers must accept and sign the OWASP Speaker Agreement without changes prior to the conference. It requires that you use one of the following templates: [[Media:OWASP_Presentation_template.ppt|PPT]], [[Media:OWASP_Presentation_template.pptx|PPTX]], [[Media:OWASP_Presentation_template.odp|ODF/OpenOffice]].

Unfortunately we can't cover any travel expenses or costs for accomodations.

'''Participants and speakers are all warmly invited to attend the evening program on the 16th of November 2011. '''

Program Committee

 * Bruce Sams
 * Martin Johns
 * Kai Jendrian
 * Boris Hemkemeier
 * Dirk Wetter

Dates (Delays see below)

 * Submissions no later than September 9, 2011 only online via Easychair.
 * Please read and follow the requirements above: Abstract, bio, length and maybe slides!
 * Notification of acceptance by September 16, 2011 (there'll be a few days of a delay)
 * Program to be online: September 20, 2011 (there'll be a few days of a delay)
 * Prefinal submission of the slides by October 20, 2011
 * Conference: November 17, 2011

Registration Fees

 * Non-Member = 279,00 EUR
 * Non-Member (Early Bird) = 219,00 EUR(*)
 * OWASP Member = 219,00 EUR
 * OWASP Member (Early Bird) = 189,00 EUR(*)
 * Students = 59 EUR (**)

(*) Early-Bird registration is open 'til 30.9.2011

(**) Proper proof of student status is required for registration.

Registration
Registration is open, please visit [https://www.optimabit.com/owasp/ 4. German OWASP Day Registration ].

Contact
[mailto:orga2011@owasp.de orga2011@owasp.de]