Difference between revisions of "Gothenburg"

From OWASP
Jump to: navigation, search
(45 intermediate revisions by one user not shown)
Line 14: Line 14:
 
Välkommen till OWASP Göteborgs hemsida. Göteborgskapitlets ledare är [mailto:ulf.larson@owasp.org Ulf Larson], [mailto:mattias.jidhage@owasp.org Mattias Jidhage] och Jonas Magazinius.  
 
Välkommen till OWASP Göteborgs hemsida. Göteborgskapitlets ledare är [mailto:ulf.larson@owasp.org Ulf Larson], [mailto:mattias.jidhage@owasp.org Mattias Jidhage] och Jonas Magazinius.  
  
== Deltagande  ==
 
  
OWASP Foundation is a professional association of global members and is and open to anyone interested in learning more about application security. Local chapters are run independently and governed by the following [[Chapter Leader Handbook]]. As a [http://www.owasp.org/index.php/About_OWASP 501(c)(3)] non-profit professional association your support and sponsorship of a meeting venue and/or refreshments is tax-deductible. Financial contributions should be made online using the online chapter donation button. To be a '''SPEAKER''' at ANY OWASP Chapter in the world simply review the [http://www.owasp.org/index.php/Speaker_Agreement speaker agreement] and then contact the local chapter leader with details of what [http://www.owasp.org/index.php/Category:OWASP_Project OWASP PROJECT], independent research or related software security topic you would like to present on.
+
== Lokala nyheter  ==
  
 +
'''2013-01-31 - OWASP Göteborg - IT-forensik, 28e februari'''
  
 +
OWASP Göteborg drar igång våren med en spännande presentationskväll om IT-forensik i samarbete med ISACA. Vi har tre talare på schemat och vi lovar att det kommer bli en blandning ni inte kan motstå!
  
<paypal>Gothenburg</paypal>
+
Länk till [http://owaspgbg-it-forensics.eventbrite.com/ eventbrite]
  
 +
Vi tackar varmt vår sponsor Omegapoint för käk och för att vi får använda lokalen!
  
'''<center>[http://lists.owasp.org/mailman/listinfo/owasp-sweden Klicka här för att gå med i din lokalavdelnings mailinglista]</center>'''
+
'''Eventet kommer hållas på engelska'''
  
<!--
+
Prelimiär agenda:
Stop remove here
+
-->
+
  
Anmäl Er gärna till vår mailinglista. '''Notera''' dock att när du anmäler dig kommer du att anmäla dig till OWASP ''Sweden''-listan och inte ''Gothenburg''-listan. Detta beror på att Göteborgs och Sverige-kapitlen tillsammans har bestämt oss för att endast använda en lista.  
+
17:30 Eventet öppnar. Mackor och dricka. Ett par ord från vår sponsor Omegapoint
  
Vem som helst är välkommen till våra möten (det enda som krävs för deltagande är att du har gått med i OWASP Sweden-mailinglistan). Är du intresserad av att hjälpa till eller har förslag på spännande och intressanta föredrag och/eller talare är du välkommen att kontakta oss.
+
18:00 Community update
  
== OWASP Sverige-bloggen  ==
+
18:10 [Morten Schiønning/TeliaSonera] - Incidents and Forensics
  
För längre nyhetsinlägg och rapporter från konferenser och annat hänvisar vi till [http://owaspsweden.blogspot.com/ OWASP Sverige-bloggen].
+
18:50 Bensträckare
  
== OWASP Göteborgs vision  ==
+
18:55 [Rikard Bodforss/Omegapoint] - Don't touch that system!
  
OWASP Göteborgs vision är att väcka intresse för och sprida kunskap om hur man bygger säkra mjukvarusystem. Den är att tillhandahålla en balanserad mix av de senaste rönen inom akademisk säkerhetsforskning (spets och framkant), etablerade säkerhetstekniker och designprinciper för direkt tillämpning (bredd och mogenhet). De viktigaste elementen i konstruktionen av säkra applikationer är design och utvecklingsmetodik. OWASP Göteborg skall därför bidra till att öka säkerhetstänkandet hos programvaruutvecklare.
+
19:35 Bensträckare #2
  
OWASP Göteborg når ut till utvecklare, projektledare och säkerhetspersoner genom att erbjuda intressanta föredrag och demonstrationer kring säkerhet - både i stort och i smått. Communityhack-dagar, mingel, inhemska och utländska talare profilerar oss som en seriös aktör som erbjuder intresserade en mötesplats där de kan träffa likasinnade, utbyta idéer samt diskutera de senaste inom området.  
+
19:50 [Mattias Weckstén/Halmstad University] - Entry level it-forensic training from an academic point of view
 +
 
 +
20:30 Mingel, en öl eller två och lite snacks
 +
 
 +
Ca 21:00 Eventet avslutas
 +
 
 +
 
 +
Abstract och talarbio
 +
 
 +
'''Morten Schiønning'''
 +
 
 +
As with most things in life, dealing with security incidents is something you need to prepare and train for. Once a security incident has been declared you will need to do a number of things simultaneously, an essential part of which is the gathering of evidence to the facts. There are lots of considerations to be made and usually a lot of people to lead and/or coordinate. Understanding the risks and the pit-falls, working disciplined,  knowing the dos and don’ts and keeping a cool head may very well save the day. Even of you as an incident handler do not do the actual forensics, you need to know what happens, when and how, in order to make the best of the possibilities you have - as you are always at a disadvantage of the perpetrator.
 +
 +
I am a Senior Security Investigator at TeliaSonera CERT Coordination Centre, I have my offices in Copenhagen, but TS-CERT serve the entire TeliaSonera Group and fully owned companies in 17 countries. I have more than 25 years of experience in working with IT and 12 of those have been spent as a security professional. I have been half of that at DK*CERT, UNI-C, the CERT for the Danish education- and research network as well as the general public and the rest in various functions at TeliaSonera. I have also worked independently, doing forensics, for the Danish Police, several news media and as a specialist for the Danish Judicial system. I am a GIAC certified Forensics analyst and Incident Handler and do most of the ‘hands-on’ disciplines within IT and Mobile Forensics as well as penetration testing, security auditing and most, if not all other aspects of IT security and physical security. I am not and do not wish to be a public figure.
 +
 
 +
 
 +
'''Rikard Bodforss'''
 +
 
 +
Understanding of how different acquisition methods affect the system is important when examining the collected evidence and can be critical if the case ends up in a court of law. Rikard will give a hands-on demonstration of forensic artifacts from different routine tasks. The demonstration will give a basic understanding of how delicate the system is and why some acquisition methods leave a bigger footprint than others.
 +
 
 +
Rikard Bodforss is a security advisor at Omegapoint in Gothenburg, Sweden. He has over twenty years of experience from the IT industry and most of that working with information- and IT-security. He has held positions as Global Perimeter Protection Manager and Head of Forensics within Volvo Group. Now he is working with clients from many different industries like; critical public utilities (SCADA security), banking, automotive, retail and trade. His area of expertise ranges from very technical security, like forensics, to information security governance.
 +
Rikard holds a CISSP and a CISA certification, and was awarded the ISACA Thomas Fitzgerald Award in 2009 for acheiving the highest score in the world on the CISA exam. He is a very popular speaker at national and international conferences and promises to deliver a talk you do not want to miss!
 +
You can follow him on Twitter @rbodforss and listen to him (in Swedish) at sakerhetspodcastem.se where he is a co-host.
 +
 
 +
 
 +
'Mattias Weckstén''
 +
 
 +
A short talk about the IT-forensic program at Halmstad university, our view of the IT-forensic investigator, courses and skills taught and the future of the trade. The talk will be concluded with an overview of a selection of previous and current thesis projects.
 +
 
 +
Mattias is adjunct in computer engineering with a specialization in it-forensics at Halmstad University. Teaching a multitude of technical aspects of the trade of manual digital forensics. Promoting it-forensic awareness through popular science in modern media.
 +
 
 +
'''2012-10-29 - OWASP Göteborg - Pentest och Malware, 22e november'''
 +
 
 +
''Uppdatering 2012-12-05''
 +
 
 +
Slides finns nu tillgängliga, de finns under varje talares bio nedan.
 +
 
 +
Den 22e november kör vi vårt novemberevent. Kvällens tema är pentestning och malware, vi har tre talare på detta event och det är garanterat nåt ni inte vill missa. Så boka er plats redan nu på [http://owaspgbg-pentest-malware.eventbrite.com/ eventbrite]. Denna gång är vår sponsor TeliaSonera och vi kommer hålla eventet i deras lokaler i Gårda. Adressinformation finns i eventbrite-länken.
 +
 
 +
Prelimiär agenda:
 +
 
 +
17:30 Eventet öppnar. Mackor och dricka. Ett par ord från vår sponsor TeliaSonera
 +
 
 +
18:00 Community update
 +
 
 +
18:10 [Michael Boman/2Secure] - Malwareanalys som en hobby
 +
 
 +
18:50 Bensträckare
 +
 
 +
18:55 [Robin Blokker/FRA] - Penetrationstestning
 +
 
 +
19:35 Bensträckare #2
 +
 
 +
19:50 [Fredrik Sjöstrand/FRA] - Malware
 +
 
 +
20:30 Mingel, en öl eller två och lite snacks
 +
 
 +
Ca 21:00 Eventet avslutas
 +
 
 +
21:30 Eventet avslutas en gång till. Nu på allvar.
 +
 
 +
 
 +
Abstract och talarbio
 +
 
 +
''Michael Boman''
 +
 
 +
Som pappa till fem barn så har man varken tid eller pengar, men ändå ville jag inte lägga ner min hobby som malware-forskare. Lösningen heter automatisering, och jag tänkte förklara hur det fungerar. För tillfället så analyserar jag drygt 1 misstänkt virus/minuten, men det kan skalas upp i takt med hårdvara (så gott som linjär skalning
 +
 
 +
Michael Boman arbetar som säkerhetskonsult för 2Secure och analyserar skadlig kod som hobby. Michael har över 10 års erfarenhet av säkerhetstestning av applikationer och infrastruktur. Michael är passionerad om data-säkerhet och gör sitt bästa för att fler skall göra rätt från början. Michael driver webbsidan [http://michaelboman.org michaelboman.org] där delar där med sig sina kunskaper och erfarenheter när han kan.
 +
 
 +
Michaels slides: [[Media:Michael_Boman_Mart_OWASPGBG_20121122.pdf‎|Malware analysis as a hobby]]
 +
 
 +
''Robin Blokker''
 +
 
 +
All penetrationstestning utförs enligt "Best effort" principen med begränsade resurser. Vad är en rimlig spelplan för ett test? Vilka metoder är effektiva och vad letar man efter? Vilka gränser måste respekteras och vilka bör man som sakkunnig expert utforska eller ignorera? Hur ser man till att arbetet får maximal avkastning och att resultaten genererar verklig säkerhet i slutändan?
 +
 
 +
Robin Blokker är säkerhetsspecialist vid FRA:s enhet för nätverkssäkerhet var han arbetar med granskningar och penetrationstester av svenska myndigheters system. Robins tekniska hemmaplan är webbsäkerhet och klient-attacker. Han betraktar sig själv som en välintegrerad hemvandrare och en aktiv del av den offentliga säkerhetsgemenskapen var han övar sig i psykologisk krigsföring och
 +
frisbeegolf.
 +
 
 +
Robins slides: [[Media:Robin_Blocker_Penetrationtesting_OWASPGBG_20121122.RobinBlokker.pdf|Penetrationstestning]]
 +
 
 +
''Fredrik Sjöstrand''
 +
 
 +
Malware har gått ifrån att vara ett simpelt busstreck till att tömma ditt bankkonto, ta alla dina inloggningsuppgifter och aktivt försvåra analys med anti-debug, anti-vm och obfuskering. Hur kan det se ut? Vad händer? Framtid?
 +
 
 +
Fredrik Sjöström arbetar som reverse engineer vid FRAs informationssäkerhetsavdelning där han arbetar med att köra kod baklänges. Fokus ligger på malware analys och att hitta metoder för detektering. De lediga stunder som inte tillbringas i en debugger tillägnas Premier League och Chelsea FC.  
 +
 
 +
Fredriks slides: [[Media:Fredrik_Sjostrom_Malware_OWASPGBG_20121122.pdf‎|Malware]]
 +
 
 +
'''2012-10-08 - OWASP Göteborg - Introduction to Hardware Hacking part 1, 25:e Oktober, 2012'''
 +
 
 +
''Uppdatering 2012-10-29''
 +
 
 +
Nu finns slides tillgängliga [[Media:OWASP-Hardware-Hacking-Part1.pptx‎|OWASP Hardware Hacking Part 1]]. Dessutom finns en video från spektaklet. Den hittar ni [http://t.co/9VsMeAGW här].
 +
 
 +
''Ursprungspost 2010-10-08''
 +
 
 +
Torsdag 25e oktober slår OWASP Göteborg och Omegapoint upp sina portar för en helkväll med hårdvarusnickeri! Till vårt stora nöje blev eventet fullbokat i princip så fort biljetterna släpptes. Ni som är intresserade men som inte fick plats kan anmäla ert intresse till [mailto:mattias.jidhage@owasp.org Mattias Jidhage]. Om tillräckligt många är intresserade finns det inget som hindrar att vi kör fler omgångar.
 +
 
 +
Under kvällen så kommer vi kika lite på ytmontering generellt och mer specifikt på GoodFET (som är kvällens mål). Om man nu vill bygga något elektroniskt, hur gör man då? Och det här med ytmontering - kan man verkligen göra det hemma? Och varför? Vad skall man egentligen ha en GoodFET till? Vad finns det mer för intressanta säkerhetsrelaterade hårdvaruprojekt man kan pilla med? Din GoodFET får du ta med dig hem.
 +
 
 +
'''2012-09-13 - Slides från OWASP Göteborg 2012-09-06 finns nu tillgängliga'''
 +
 
 +
Nu finns slides från vårt september-event tillgängliga. Varsågoda!
 +
 
 +
Mikko Saario - [[Media:Mikko_Saario_3_from_1_hybrid_agile_OWASP_Gbg_20120906.pdf‎|3 från 1 - hybrid environments and agile]]
 +
 
 +
Ulf Larson - [[Media:Securing_mobile_applications_OWASP_Gbg_20120906.pdf|Securing Mobile Applications]]
 +
 
 +
 
 +
'''2012-07-04 - Nästa event spikat till torsdag den 6e september - tema mobile security'''
 +
 
 +
Torsdagen den 6e april slår vi upp portarna till OWASP Göteborgs första event på år två! Denna gång kommer temat vara mobilsäkerhet och vi har övertalat [https://www.linkedin.com/in/mikkosaario Mikko Saario], Senior Security Manager vid Nokia att komma och köra en 3-från-1 om mobilsäkerhet och agil säkerhet. Dessutom kommer Ulf Larson att berätta kortfattat om vad OWASP kan erbjuda mobilutvecklare. Sponsor för detta event är Adecco IT Konsult. Tusen tack till Adecco IT Konsult för detta!
 +
 
 +
Denna gång kommer eventet att hållas hos Adecco IT Konsult, Maskingatan 5, 417 64 Göteborg [https://owaspgbg-mobilesec.eventbrite.com/ Eventbrite].
 +
 
 +
Mikko kommer hålla sina presentationer på engelska och det är troligt att Ulf också gör så. Denna gång blir också demointensiv och förhoppningsvis håller sig demodjävulen på behörigt avstånd...
 +
 
 +
Preliminär agenda:
 +
 
 +
17:30 Eventet öppnar. Mackor och dricka. Ett par ord från vår sponsor Adecco IT Konsult
 +
 
 +
18:00 Community update
 +
 
 +
18:10 Securing mobile applications. What can OWASP offer, + a quick look at iGoat
 +
 
 +
18:40 Bensträckare
 +
 
 +
18:45 3-från-1 presentation från Mikko Saario (hybrid environments and security + agile development)
 +
 
 +
20:10 Mingel, en öl eller två och lite snacks
 +
 
 +
Ca 21:00 Eventet avslutas
 +
 
 +
'''Abstracts'''
 +
 
 +
''Securing Mobile applications. What can OWASP offer ...''
 +
 
 +
In this talk, we look at some common security pitfalls in mobile application development. We also take a peek inside the iGoat training application, an OWASP project aimed at educating mobile developers in secure programming. Finally, we look briefly on how to you can assess the security of your backend by using burp proxy to intercept and modify your mobile phone’s traffic in transit.''
 +
 
 +
''3-from-1 Mikko Saario''
 +
 
 +
In the first part of the talk, Mikko will take a quick look at various hybrid environments available for ‘mobile’ app developers – showing how the ‘desktop web’ and ‘mobile web’ are converging and what kind of fundamental security mechanisms do or do not exist in them to protect the user. The second part will take a look at recent developments in the web standards bridging these two worlds even closer to each other than ever before – perhaps even making native apps … redundant at some point? Finally, switching to something completely different, Mikko will share his experiences working with an agile team and helping them build more secure products. The talks are accompanied with small demos and use cases to show some of the discussed topics in real life.
 +
 
 +
 
 +
 
 +
'''2012-06-01 - Slides från OWASP Göteborg 2012-04-26 nu tillgängliga'''
 +
 
 +
Nu finns slides från vårt april-event tillgängliga. Nu vet ni alltså vad ni skall göra under semestern. Varsågoda!
 +
 
 +
Erlend Oftedal - [http://eoftedal.github.com/CrossDomainAndBrowserSecurity/#1 Cross domain communication and browser security features]
 +
 
 +
Combitech - [[Media:OWASP_Evalg_2012-04-26.ppt‎|Security assessment of the E-valg system]]
 +
 
 +
 
 +
'''2012-03-25 - Jim Manico's slides tillgängliga'''
 +
 
 +
Här kommer nu länken till Jim Manico's slides från föredraget den 22e. Håll till godo! [[Media:Manico_Developer_Top_Ten_Core_Controls_v4.1.ppt.zip | JManico - Developer Top Ten]]
 +
 
 +
'''2012-03-03 - Nästa officiella event spikat till torsdag den 26e april'''
 +
 
 +
Torsdagen den 26e april slår vi upp portarna OWASP Göteborgs sista event före sommaren. Efter detta går vi in i sommardimman och space:ar ut ett par månader innan vi återigen tar nya tag inför hösten. Sponsor för detta event är [http://www.combitech.se/ Combitech]. Tusen tack till Combitech för detta!
 +
 
 +
Temat för aprileventet är Norge! Vi får besök av Erlend Oftedal (@webtonull) som skall berätta om ''Cross domain communication and browser security features''. Rekommenderad lyssning för er som använder webbläsare. Vi har också ett team från Combitech som skall berätta om säkerhetsarbetet bakom framtagningen av E-valg, elektroniska val i Norge. Garanterat spännande lyssning det med!
 +
 
 +
Denna gång kommer eventet att hållas på ''Utbildningscenter för kollektivtrafik, Bror Nilssons gata 16, 417 55 Göteborg'' Håll ögonen öppna för Eventbrite-länk.
 +
 
 +
Preliminär agenda:
 +
 
 +
17:30 Eventet öppnar. Mackor och dricka. Ett par ord från vår sponsor Combitech
 +
 
 +
18:00 Community update
 +
 
 +
18:10 Security assessment of the E-valg system - Combitech
 +
 
 +
19:05 Bensträckare
 +
 
 +
19:15 Cross domain communication and browser security features - Erlend Oftedal (presentation och slides är på engelska)
 +
 
 +
20:10 Mingel, en öl eller två och lite snacks
 +
 
 +
Ca 21:00 Eventet avslutas
 +
 
 +
'''Abstracts:'''
 +
 
 +
''Security assessment of the E-valg system''
 +
 
 +
Norge har under hösten 2011 genomfört elektroniska val med ett nyframtaget system som kallas för E-valg. Säkerheten i ett sådant system är naturligtvis mycket viktig för att kunna genomföra fria val med lika rösträtt och där man kan hålla hemligt vad man röstar på. Ett viktigt krav är att man ska kunna avge sin röst utan att rösten kan kopplas till väljaren, man ska vara säker på att rösten har blivit registrerad på rätt kandidat och parti och endast en röst per person ska räknas. Ett annat krav är att ingen ska kunna forcera systemets säkerhet för att påverka valresultatet (integritet) eller ta reda på vad någon har röstat på (sekretess).
 +
Säkerhetsarbetet har varit en viktig del i framtagningen av E-valg och varit del av alla faser (iterationer) av projektet. Combitech har haft rollen som oberoende säkerhetsgranskare och utfört granskning av design, kodgranskning och penetrationstester på det färdiga systemet. I princip all information om systemet är dessutom öppen för att göra det möjligt för alla som vill att granska säkerheten.
 +
Presentationen kommer att beskriva principerna i säkerhetslösningen och hur säkerhetsgranskning och penetrationstest har utförts.
 +
 
 +
''Cross domain communication and browser security features''
 +
 
 +
Developers frequently see the need to be able to request data from several sources on different domains.
 +
Traditionally this has been solved in many ways, some of them not very secure. We will take a look at
 +
some of these approaches, why they are flawed, and why the new approaches are better. We will also
 +
look at common mistakes made when setting up cross domain communication.
 +
We will also take a look at some of the new browser security features, and how these support cross
 +
domain communication and can help mitigate other security problems.
 +
 
 +
 
 +
'''2012-03-03 - Jim "@manicode" Manico till Sverige'''
 +
 
 +
Jim Manico är på nordisk turné för att bland annat berätta om hur man skyddar sig mot Cross-site scripting. Den 22e mars landar Jim i Göteborg för att 18:00 hålla en presentation i Chalmers kårhus. Det kommer finnas mackor, öl, snacks och dricka. Mer info kommer allt eftersom den blir tillgänglig. Håll också ögonen öppna för Eventbrite-länk.
 +
 
 +
''Uppdatering 2012-03-12''
 +
 
 +
Här kommer nu Jims abstract och länken till anmälan via [http://owaspgbg-manico.eventbrite.com/ Eventbrite].
 +
 
 +
Jim Manico is a profile in the OWASP community, working with the OWASP podcasts and ESAPI amongst other things. During March he is doing a Nordic tour and will be visiting the chapters in Finland, Sweden, Norway and Denmark and we have the pleasure of welcoming him to Gothenburg on March 22.
 +
 
 +
Chalmers University of Technology is sponsoring the venue and will also provide some light snacks, coffee beer as well as non-alcoholic drinks. Jim's visit is made possible thanks to F5.
 +
 
 +
Please note that the event will be held in '''English'''.
 +
 
 +
Abstract: Web Application Access Control Design Excellence
 +
Access Control is a necessary security control at almost every layer within a web application. This talk will discuss several of the key access control anti-patterns commonly found during website security audits. These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms.
 +
 
 +
In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.
 +
 
 +
'''2012-02-27 - Snabbt påkommen säkpub'''
 +
 
 +
Vi tänkte att vi skulle avrunda februari med en tämligen snabbt påkommen säkpub. Åtminstone någon av oss i boardet kommer finnas på [http://olrepubliken.se Ölrepubliken] under denna veckas torsdagskväll (29e februari, alltså) om någon vill titta in en stund. Tilläggas kan att det ryktas om att ett öl kallat Ctrl Alt Delete (jodå, ni läste rätt) skall finnas i lokalen under sagda torsdagskväll. Väl mött!
  
== Lokala nyheter  ==
 
  
 
  '''2012-02-25 - Missa inte dev:mobile'''
 
  '''2012-02-25 - Missa inte dev:mobile'''
Line 217: Line 438:
  
 
Finally, OWASP Gothenburg has been formed, bringing application security closer to developers and security professionals on the west coast of Sweden. Ulf, Mattias and Jonas, the local chapter leaders, welcome members!  
 
Finally, OWASP Gothenburg has been formed, bringing application security closer to developers and security professionals on the west coast of Sweden. Ulf, Mattias and Jonas, the local chapter leaders, welcome members!  
 +
 +
== Deltagande  ==
 +
 +
OWASP Foundation is a professional association of global members and is and open to anyone interested in learning more about application security. Local chapters are run independently and governed by the following [[Chapter Leader Handbook]]. As a [http://www.owasp.org/index.php/About_OWASP 501(c)(3)] non-profit professional association your support and sponsorship of a meeting venue and/or refreshments is tax-deductible. Financial contributions should be made online using the online chapter donation button. To be a '''SPEAKER''' at ANY OWASP Chapter in the world simply review the [http://www.owasp.org/index.php/Speaker_Agreement speaker agreement] and then contact the local chapter leader with details of what [http://www.owasp.org/index.php/Category:OWASP_Project OWASP PROJECT], independent research or related software security topic you would like to present on.
 +
 +
 +
 +
<paypal>Gothenburg</paypal>
 +
 +
 +
'''<center>[http://lists.owasp.org/mailman/listinfo/owasp-sweden Klicka här för att gå med i din lokalavdelnings mailinglista]</center>'''
 +
 +
<!--
 +
Stop remove here
 +
-->
 +
 +
Anmäl Er gärna till vår mailinglista. '''Notera''' dock att när du anmäler dig kommer du att anmäla dig till OWASP ''Sweden''-listan och inte ''Gothenburg''-listan. Detta beror på att Göteborgs och Sverige-kapitlen tillsammans har bestämt oss för att endast använda en lista.
 +
 +
Vem som helst är välkommen till våra möten (det enda som krävs för deltagande är att du har gått med i OWASP Sweden-mailinglistan). Är du intresserad av att hjälpa till eller har förslag på spännande och intressanta föredrag och/eller talare är du välkommen att kontakta oss.
 +
 +
== OWASP Sverige-bloggen  ==
 +
 +
För längre nyhetsinlägg och rapporter från konferenser och annat hänvisar vi till [http://owaspsweden.blogspot.com/ OWASP Sverige-bloggen].
 +
 +
== OWASP Göteborgs vision  ==
 +
 +
OWASP Göteborgs vision är att väcka intresse för och sprida kunskap om hur man bygger säkra mjukvarusystem. Den är att tillhandahålla en balanserad mix av de senaste rönen inom akademisk säkerhetsforskning (spets och framkant), etablerade säkerhetstekniker och designprinciper för direkt tillämpning (bredd och mogenhet). De viktigaste elementen i konstruktionen av säkra applikationer är design och utvecklingsmetodik. OWASP Göteborg skall därför bidra till att öka säkerhetstänkandet hos programvaruutvecklare.
 +
 +
OWASP Göteborg når ut till utvecklare, projektledare och säkerhetspersoner genom att erbjuda intressanta föredrag och demonstrationer kring säkerhet - både i stort och i smått. Communityhack-dagar, mingel, inhemska och utländska talare profilerar oss som en seriös aktör som erbjuder intresserade en mötesplats där de kan träffa likasinnade, utbyta idéer samt diskutera de senaste inom området.
 +
  
 
[[Category:OWASP_Chapter]] [[Category:Sweden]] [[Category:Gothenburg]]
 
[[Category:OWASP_Chapter]] [[Category:Sweden]] [[Category:Gothenburg]]

Revision as of 15:22, 6 February 2013

Ad Space Available for 2011

Contents

OWASP Göteborgs lokalavdelning

Välkommen till OWASP Göteborgs hemsida. Göteborgskapitlets ledare är Ulf Larson, Mattias Jidhage och Jonas Magazinius.


Lokala nyheter

2013-01-31 - OWASP Göteborg - IT-forensik, 28e februari

OWASP Göteborg drar igång våren med en spännande presentationskväll om IT-forensik i samarbete med ISACA. Vi har tre talare på schemat och vi lovar att det kommer bli en blandning ni inte kan motstå!

Länk till eventbrite

Vi tackar varmt vår sponsor Omegapoint för käk och för att vi får använda lokalen!

Eventet kommer hållas på engelska

Prelimiär agenda:

17:30 Eventet öppnar. Mackor och dricka. Ett par ord från vår sponsor Omegapoint

18:00 Community update

18:10 [Morten Schiønning/TeliaSonera] - Incidents and Forensics

18:50 Bensträckare

18:55 [Rikard Bodforss/Omegapoint] - Don't touch that system!

19:35 Bensträckare #2

19:50 [Mattias Weckstén/Halmstad University] - Entry level it-forensic training from an academic point of view

20:30 Mingel, en öl eller två och lite snacks

Ca 21:00 Eventet avslutas


Abstract och talarbio

Morten Schiønning

As with most things in life, dealing with security incidents is something you need to prepare and train for. Once a security incident has been declared you will need to do a number of things simultaneously, an essential part of which is the gathering of evidence to the facts. There are lots of considerations to be made and usually a lot of people to lead and/or coordinate. Understanding the risks and the pit-falls, working disciplined, knowing the dos and don’ts and keeping a cool head may very well save the day. Even of you as an incident handler do not do the actual forensics, you need to know what happens, when and how, in order to make the best of the possibilities you have - as you are always at a disadvantage of the perpetrator.

I am a Senior Security Investigator at TeliaSonera CERT Coordination Centre, I have my offices in Copenhagen, but TS-CERT serve the entire TeliaSonera Group and fully owned companies in 17 countries. I have more than 25 years of experience in working with IT and 12 of those have been spent as a security professional. I have been half of that at DK*CERT, UNI-C, the CERT for the Danish education- and research network as well as the general public and the rest in various functions at TeliaSonera. I have also worked independently, doing forensics, for the Danish Police, several news media and as a specialist for the Danish Judicial system. I am a GIAC certified Forensics analyst and Incident Handler and do most of the ‘hands-on’ disciplines within IT and Mobile Forensics as well as penetration testing, security auditing and most, if not all other aspects of IT security and physical security. I am not and do not wish to be a public figure.


Rikard Bodforss

Understanding of how different acquisition methods affect the system is important when examining the collected evidence and can be critical if the case ends up in a court of law. Rikard will give a hands-on demonstration of forensic artifacts from different routine tasks. The demonstration will give a basic understanding of how delicate the system is and why some acquisition methods leave a bigger footprint than others.

Rikard Bodforss is a security advisor at Omegapoint in Gothenburg, Sweden. He has over twenty years of experience from the IT industry and most of that working with information- and IT-security. He has held positions as Global Perimeter Protection Manager and Head of Forensics within Volvo Group. Now he is working with clients from many different industries like; critical public utilities (SCADA security), banking, automotive, retail and trade. His area of expertise ranges from very technical security, like forensics, to information security governance. Rikard holds a CISSP and a CISA certification, and was awarded the ISACA Thomas Fitzgerald Award in 2009 for acheiving the highest score in the world on the CISA exam. He is a very popular speaker at national and international conferences and promises to deliver a talk you do not want to miss! You can follow him on Twitter @rbodforss and listen to him (in Swedish) at sakerhetspodcastem.se where he is a co-host.


'Mattias Weckstén

A short talk about the IT-forensic program at Halmstad university, our view of the IT-forensic investigator, courses and skills taught and the future of the trade. The talk will be concluded with an overview of a selection of previous and current thesis projects.

Mattias is adjunct in computer engineering with a specialization in it-forensics at Halmstad University. Teaching a multitude of technical aspects of the trade of manual digital forensics. Promoting it-forensic awareness through popular science in modern media.

2012-10-29 - OWASP Göteborg - Pentest och Malware, 22e november

Uppdatering 2012-12-05

Slides finns nu tillgängliga, de finns under varje talares bio nedan.

Den 22e november kör vi vårt novemberevent. Kvällens tema är pentestning och malware, vi har tre talare på detta event och det är garanterat nåt ni inte vill missa. Så boka er plats redan nu på eventbrite. Denna gång är vår sponsor TeliaSonera och vi kommer hålla eventet i deras lokaler i Gårda. Adressinformation finns i eventbrite-länken.

Prelimiär agenda:

17:30 Eventet öppnar. Mackor och dricka. Ett par ord från vår sponsor TeliaSonera

18:00 Community update

18:10 [Michael Boman/2Secure] - Malwareanalys som en hobby

18:50 Bensträckare

18:55 [Robin Blokker/FRA] - Penetrationstestning

19:35 Bensträckare #2

19:50 [Fredrik Sjöstrand/FRA] - Malware

20:30 Mingel, en öl eller två och lite snacks

Ca 21:00 Eventet avslutas

21:30 Eventet avslutas en gång till. Nu på allvar.


Abstract och talarbio

Michael Boman

Som pappa till fem barn så har man varken tid eller pengar, men ändå ville jag inte lägga ner min hobby som malware-forskare. Lösningen heter automatisering, och jag tänkte förklara hur det fungerar. För tillfället så analyserar jag drygt 1 misstänkt virus/minuten, men det kan skalas upp i takt med hårdvara (så gott som linjär skalning

Michael Boman arbetar som säkerhetskonsult för 2Secure och analyserar skadlig kod som hobby. Michael har över 10 års erfarenhet av säkerhetstestning av applikationer och infrastruktur. Michael är passionerad om data-säkerhet och gör sitt bästa för att fler skall göra rätt från början. Michael driver webbsidan michaelboman.org där delar där med sig sina kunskaper och erfarenheter när han kan.

Michaels slides: Malware analysis as a hobby

Robin Blokker

All penetrationstestning utförs enligt "Best effort" principen med begränsade resurser. Vad är en rimlig spelplan för ett test? Vilka metoder är effektiva och vad letar man efter? Vilka gränser måste respekteras och vilka bör man som sakkunnig expert utforska eller ignorera? Hur ser man till att arbetet får maximal avkastning och att resultaten genererar verklig säkerhet i slutändan?

Robin Blokker är säkerhetsspecialist vid FRA:s enhet för nätverkssäkerhet var han arbetar med granskningar och penetrationstester av svenska myndigheters system. Robins tekniska hemmaplan är webbsäkerhet och klient-attacker. Han betraktar sig själv som en välintegrerad hemvandrare och en aktiv del av den offentliga säkerhetsgemenskapen var han övar sig i psykologisk krigsföring och frisbeegolf.

Robins slides: Penetrationstestning

Fredrik Sjöstrand

Malware har gått ifrån att vara ett simpelt busstreck till att tömma ditt bankkonto, ta alla dina inloggningsuppgifter och aktivt försvåra analys med anti-debug, anti-vm och obfuskering. Hur kan det se ut? Vad händer? Framtid?

Fredrik Sjöström arbetar som reverse engineer vid FRAs informationssäkerhetsavdelning där han arbetar med att köra kod baklänges. Fokus ligger på malware analys och att hitta metoder för detektering. De lediga stunder som inte tillbringas i en debugger tillägnas Premier League och Chelsea FC.

Fredriks slides: Malware

2012-10-08 - OWASP Göteborg - Introduction to Hardware Hacking part 1, 25:e Oktober, 2012

Uppdatering 2012-10-29

Nu finns slides tillgängliga OWASP Hardware Hacking Part 1. Dessutom finns en video från spektaklet. Den hittar ni här.

Ursprungspost 2010-10-08

Torsdag 25e oktober slår OWASP Göteborg och Omegapoint upp sina portar för en helkväll med hårdvarusnickeri! Till vårt stora nöje blev eventet fullbokat i princip så fort biljetterna släpptes. Ni som är intresserade men som inte fick plats kan anmäla ert intresse till Mattias Jidhage. Om tillräckligt många är intresserade finns det inget som hindrar att vi kör fler omgångar.

Under kvällen så kommer vi kika lite på ytmontering generellt och mer specifikt på GoodFET (som är kvällens mål). Om man nu vill bygga något elektroniskt, hur gör man då? Och det här med ytmontering - kan man verkligen göra det hemma? Och varför? Vad skall man egentligen ha en GoodFET till? Vad finns det mer för intressanta säkerhetsrelaterade hårdvaruprojekt man kan pilla med? Din GoodFET får du ta med dig hem.

2012-09-13 - Slides från OWASP Göteborg 2012-09-06 finns nu tillgängliga

Nu finns slides från vårt september-event tillgängliga. Varsågoda!

Mikko Saario - 3 från 1 - hybrid environments and agile

Ulf Larson - Securing Mobile Applications


2012-07-04 - Nästa event spikat till torsdag den 6e september - tema mobile security

Torsdagen den 6e april slår vi upp portarna till OWASP Göteborgs första event på år två! Denna gång kommer temat vara mobilsäkerhet och vi har övertalat Mikko Saario, Senior Security Manager vid Nokia att komma och köra en 3-från-1 om mobilsäkerhet och agil säkerhet. Dessutom kommer Ulf Larson att berätta kortfattat om vad OWASP kan erbjuda mobilutvecklare. Sponsor för detta event är Adecco IT Konsult. Tusen tack till Adecco IT Konsult för detta!

Denna gång kommer eventet att hållas hos Adecco IT Konsult, Maskingatan 5, 417 64 Göteborg Eventbrite.

Mikko kommer hålla sina presentationer på engelska och det är troligt att Ulf också gör så. Denna gång blir också demointensiv och förhoppningsvis håller sig demodjävulen på behörigt avstånd...

Preliminär agenda:

17:30 Eventet öppnar. Mackor och dricka. Ett par ord från vår sponsor Adecco IT Konsult

18:00 Community update

18:10 Securing mobile applications. What can OWASP offer, + a quick look at iGoat

18:40 Bensträckare

18:45 3-från-1 presentation från Mikko Saario (hybrid environments and security + agile development)

20:10 Mingel, en öl eller två och lite snacks

Ca 21:00 Eventet avslutas

Abstracts

Securing Mobile applications. What can OWASP offer ...

In this talk, we look at some common security pitfalls in mobile application development. We also take a peek inside the iGoat training application, an OWASP project aimed at educating mobile developers in secure programming. Finally, we look briefly on how to you can assess the security of your backend by using burp proxy to intercept and modify your mobile phone’s traffic in transit.

3-from-1 Mikko Saario

In the first part of the talk, Mikko will take a quick look at various hybrid environments available for ‘mobile’ app developers – showing how the ‘desktop web’ and ‘mobile web’ are converging and what kind of fundamental security mechanisms do or do not exist in them to protect the user. The second part will take a look at recent developments in the web standards bridging these two worlds even closer to each other than ever before – perhaps even making native apps … redundant at some point? Finally, switching to something completely different, Mikko will share his experiences working with an agile team and helping them build more secure products. The talks are accompanied with small demos and use cases to show some of the discussed topics in real life.


2012-06-01 - Slides från OWASP Göteborg 2012-04-26 nu tillgängliga

Nu finns slides från vårt april-event tillgängliga. Nu vet ni alltså vad ni skall göra under semestern. Varsågoda!

Erlend Oftedal - Cross domain communication and browser security features

Combitech - Security assessment of the E-valg system


2012-03-25 - Jim Manico's slides tillgängliga

Här kommer nu länken till Jim Manico's slides från föredraget den 22e. Håll till godo! JManico - Developer Top Ten

2012-03-03 - Nästa officiella event spikat till torsdag den 26e april

Torsdagen den 26e april slår vi upp portarna OWASP Göteborgs sista event före sommaren. Efter detta går vi in i sommardimman och space:ar ut ett par månader innan vi återigen tar nya tag inför hösten. Sponsor för detta event är Combitech. Tusen tack till Combitech för detta!

Temat för aprileventet är Norge! Vi får besök av Erlend Oftedal (@webtonull) som skall berätta om Cross domain communication and browser security features. Rekommenderad lyssning för er som använder webbläsare. Vi har också ett team från Combitech som skall berätta om säkerhetsarbetet bakom framtagningen av E-valg, elektroniska val i Norge. Garanterat spännande lyssning det med!

Denna gång kommer eventet att hållas på Utbildningscenter för kollektivtrafik, Bror Nilssons gata 16, 417 55 Göteborg Håll ögonen öppna för Eventbrite-länk.

Preliminär agenda:

17:30 Eventet öppnar. Mackor och dricka. Ett par ord från vår sponsor Combitech

18:00 Community update

18:10 Security assessment of the E-valg system - Combitech

19:05 Bensträckare

19:15 Cross domain communication and browser security features - Erlend Oftedal (presentation och slides är på engelska)

20:10 Mingel, en öl eller två och lite snacks

Ca 21:00 Eventet avslutas

Abstracts:

Security assessment of the E-valg system

Norge har under hösten 2011 genomfört elektroniska val med ett nyframtaget system som kallas för E-valg. Säkerheten i ett sådant system är naturligtvis mycket viktig för att kunna genomföra fria val med lika rösträtt och där man kan hålla hemligt vad man röstar på. Ett viktigt krav är att man ska kunna avge sin röst utan att rösten kan kopplas till väljaren, man ska vara säker på att rösten har blivit registrerad på rätt kandidat och parti och endast en röst per person ska räknas. Ett annat krav är att ingen ska kunna forcera systemets säkerhet för att påverka valresultatet (integritet) eller ta reda på vad någon har röstat på (sekretess). Säkerhetsarbetet har varit en viktig del i framtagningen av E-valg och varit del av alla faser (iterationer) av projektet. Combitech har haft rollen som oberoende säkerhetsgranskare och utfört granskning av design, kodgranskning och penetrationstester på det färdiga systemet. I princip all information om systemet är dessutom öppen för att göra det möjligt för alla som vill att granska säkerheten. Presentationen kommer att beskriva principerna i säkerhetslösningen och hur säkerhetsgranskning och penetrationstest har utförts.

Cross domain communication and browser security features

Developers frequently see the need to be able to request data from several sources on different domains. Traditionally this has been solved in many ways, some of them not very secure. We will take a look at some of these approaches, why they are flawed, and why the new approaches are better. We will also look at common mistakes made when setting up cross domain communication. We will also take a look at some of the new browser security features, and how these support cross domain communication and can help mitigate other security problems.


2012-03-03 - Jim "@manicode" Manico till Sverige

Jim Manico är på nordisk turné för att bland annat berätta om hur man skyddar sig mot Cross-site scripting. Den 22e mars landar Jim i Göteborg för att 18:00 hålla en presentation i Chalmers kårhus. Det kommer finnas mackor, öl, snacks och dricka. Mer info kommer allt eftersom den blir tillgänglig. Håll också ögonen öppna för Eventbrite-länk.

Uppdatering 2012-03-12

Här kommer nu Jims abstract och länken till anmälan via Eventbrite.

Jim Manico is a profile in the OWASP community, working with the OWASP podcasts and ESAPI amongst other things. During March he is doing a Nordic tour and will be visiting the chapters in Finland, Sweden, Norway and Denmark and we have the pleasure of welcoming him to Gothenburg on March 22.

Chalmers University of Technology is sponsoring the venue and will also provide some light snacks, coffee beer as well as non-alcoholic drinks. Jim's visit is made possible thanks to F5.

Please note that the event will be held in English.

Abstract: Web Application Access Control Design Excellence Access Control is a necessary security control at almost every layer within a web application. This talk will discuss several of the key access control anti-patterns commonly found during website security audits. These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms.

In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.

2012-02-27 - Snabbt påkommen säkpub

Vi tänkte att vi skulle avrunda februari med en tämligen snabbt påkommen säkpub. Åtminstone någon av oss i boardet kommer finnas på Ölrepubliken under denna veckas torsdagskväll (29e februari, alltså) om någon vill titta in en stund. Tilläggas kan att det ryktas om att ett öl kallat Ctrl Alt Delete (jodå, ni läste rätt) skall finnas i lokalen under sagda torsdagskväll. Väl mött!


2012-02-25 - Missa inte dev:mobile

En utvecklarkonferens för mobilutveckling (dev:mobile) kommer att gå av stapeln i Göteborg den 12e juni. Säkerligen har några av er börjat fundera kring säkerhetsproblem för mobila applikationer och har ni något intressant och/eller spännande att dela med er av skulle jag rekommendera att ni skickar in ert abstract till info@devmobile.se före 16 mars. Som inspiration kan ni titta på OWASP Mobile Security Project och dess relaterade sidor.


2012-02-06 - Öppningsceremoni för Software Center

Den förträfflige säkerhetsforskaren Andrei Sabelfeld bad mig att meddela den intresserade communitymedlemmen (japp, det är Du) att Software Center officiellt öppnar på tisdagen den 14e februari. Arrangören har dessutom haft den goda smaken att välja Kuggen på Lindholmen för ceremonin. Dessutom utlovas både tal och poster presentationer av intressant och aktuell forskning. Kort sagt, det finns ingen anledning att inte gå dit. Här kommer länken. Vi ses där!

2012-01-17 - Communityhack

Nu går det bra att anmäla sig till OWASP Göteborgs communityhack som går av stapeln 18e februari på Chalmers. Mer info hittar ni på Eventbrite, där ni även kan anmäla er. Vi ses där!

Uppdatering 2012-02-12

Adressen är Rännvägen 4. Följ denna länk för att hitta dit.

Det kommer finnas en person på plats för att släppa in er från ca 08:45.

Uppdatering 2012-01-30

Det är nu klart att det serveras frukost på communityhacket.

Uppdatering 2012-01-27

Tusen tack Omegapoint logo.png som står för pizza och dricka. Vill ditt företag också synas på denna sida så kontakta någon av oss. Epostadresserna finns ovan.

Vill du skylta med ditt kommande projekt inför communityhacket redan nu? Gå in på Projektwikisidan och lägg in era förslag. Ett par förslag har redan ramlat in!


2012-01-17 - Så där ja!

Då har vi bokat Erlend Oftedal (@webtonull) till vårt april-event. Sök på Erlend så ser ni själva vilken kanonbokning vi gjort!

I skuggan av detta har vi dessutom bekräftat lokal till vårt communityhack. Lunchrummet på 7e våningen i D&IT-huset på Chalmers. Tack Chalmers och D&IT!

2012-01-16 - Vårens aktiviteter

Väl mött!

Vi har, julen till trots, inte riktigt bara legat på sofflocket och slöat. Vi har flera aktiviteter på gång. Bland annat kommer Jim Manico(!) på Norden-turné och OWASP Göteborg kommer att arrangera en presentationskväll med Jim längre fram i mars! Inte nog med det. Ett communityhack kommer att gå av stapeln i mitten på februari. Hacket kommer hållas på Chalmers, mycket sannolikt i D&ITs förträffliga lunchrum på 7e våningen. Inte fy skam alls!

Till allt detta kommer en ordinare presentationskväll i april och som om inte allt detta är nog går ryktet att en mycket känd och otroligt spännande säkerhetsforskare kommer befinna sig i Sverige längre fram i vår. Givetvis kommer OWASP att göra sitt yttersta för att blanda sig i detta besök och kanalisera det ut till Er!

Stay tuned!

2011-11-04 - Ett par små uppdateringar

Riktigt kul igår! Har man grymma talare, intressanta diskussioner och 55 personer i lokalen. Då är det rätt svårt att misslyckas...

Slides från gårdagens träff kommer att publiceras här så fort de blir tillgängliga.

Nästa träff är ett community hack, preliminärt schemalagt till 18-19 februari. Community-hacket skiljer sig från de presentations-orienterade kvällsträffarna. Här dyker du upp med din laptop, penna, papper och möjligen en påse ideer som du funderat över. Sen hackar vi loss så mycket vi orkar och ser vart det slutar! Tänk på att det finns inget som säger att du måste koda php, linuxmoduler eller regexpar för att få utbyte. Har du nån kul ide om ett alternativt sätt att genomföra en hotmodellering eller vill testa hur ZAP fungerar är det fritt fram.

För att genomföra denna träff skull vi behöva Er hjälp. Vi behöver en samarrangör och en eller flera sponsorer. Känner du att just ditt företag skulle vara intresserad av att ställa upp, kontakta oss. Tillförordnad general för detta event är Erik (erik.brannstrom@gmail.com).


2011-10-18 - Meeting outline for November 3rd

17:00 - 17:30 Startup mingle with food and some drinks

17:30 - 17:45 Community update

17:45 - 18:30 OWASP Hatkit (presented in English)

18:30 - 18:45 Short break

18:45 - 19:45 DOMinator (presented in English)

[19:45 - 20:30 After event mingle]

Lets have a beer or two and talk security!


Mötet kommer denna gång att sponsras av Adecco IT & Engineering och hållas på Götgatan 11, 41105 Göteborg (mitt i Nordstan). Mötet startar 17:00 och slutar runt 19:30, följt av öl och mingel. För att anmäla dig till mötet ber vi dig besöka/To sign up for the event, please visit Eventbrite.


Talarinformation/Presenter information

Martin Holst Swende

Martin Holst Swende is a security consultant at the Swedish company 2Secure, where he primarily is involved with application security testing, but also does network penetration testing, IT forensics and source code auditing. Martin has a background as an Ms.C in Computer Science and Engineering from Linköping University and worked as a software developer for among others Yahoo before entering the field of security. Martin is the project leader for the Owasp Hatkit and the Owasp Hatkit Datafiddler projects.

Presentation abstract

The Hatkit Project was created to provide a framework for web application security testing. It consists of two parts; the Hatkit Proxy and the Hatkit Datafiddler. The proxy is a minimalist intercepting proxy which records data to a MongoDB database, while the Datafiddler is a tool to view, sort, filter, aggregate, replay and analyse data through a lot of different mechanisms, with the aim of providing a highly customizable framework which can be used to analyse modern complex web applications. The tools became Owasp projects in 2011.

Martin's slides: OWASP Hatkit


Stefano Di Paola

Stefano Di Paola is the CTO and a cofounder of Minded Security, where he is responsible for the Research and Development Lab. Prior to founding Minded Security, Stefano was a freelance security consultant, working for several private and public companies. He also worked in collaboration with University of Florence at the Faculty of Computer Engineering. Stefano is recognized as one of the top application security researchers. In past years he released several cutting edge security advisories and researches presented at several international events (Flash application security testing, Subverting Ajax). He is the Research & Development Director of OWASP Italian Chapter and contributor to several chapters of the OWASP testing guide.

Presentation abstract

Cross Site Scripting is one of the most difficult issues to fix since it involves several contexts on different platforms. And it is well known. With the advent of complex web application with heavy client side programming, DOM based Cross Site Scripting is becoming more and more interesting in the application security field. The difference between vanilla Xss and the latter is how hard is to find issues among thousands of JavaScript lines of code, and how contexts and attacks move from classical HTML format and client side execution to programming logic and paradigms. This talk will try to fill the emptiness of awareness about DOM Xss by showing new attacks and a new analysis technique whose implementation is a tool named "DOMinator". DOMinator is a Firefox based application that can ease the pain of finding DOM based Cross Site Scripting issues by using runtime tainting analysis at JavaScript level.

Stefano's slides: DOMinator

2011-10-14 - OWASP Göteborg den 3e november - uppdatering

Nu är sponsor fixad och vi har någonstans att vara och mat att äta! Nu finns det alltså INGA hinder för att anmäla er. Kom ihåg, först till kvarn gäller även denna gång! Mötet kommer denna gång att hållas helt på engelska/the meeting will be held in its entirety in English och innehåller presentationer av Stefano Di Paola och Martin Holst Swende.

Mötet kommer denna gång att sponsras av Adecco IT & Engineering och hållas på Götgatan 11, 41105 Göteborg (mitt i Nordstan). Mötet startar 17:00 och slutar runt 20:00, följt av öl och mingel. För att anmäla dig till mötet ber vi dig besöka/To sign up for the event, please visit Eventbrite.


2011-09-17 - OWASP Göteborg den 3e november

Vi har spikat datum för nästa träff till den tredje november. Denna träff kommer innehålla presentationer av Stefano Di Paola och Martin Holst Swende. Vi jagar för närvarande sponsorer och har därför ingen plats bestämd än. Är Ditt företag intresserat av att sponsra en denna träff är ni välkomna att höra av er till Ulf eller Mattias!

Att vi inte har någon plats än skall dock inte få förhindra någon att anmäla sig, så det är bara att sätta igång. Anmälningsformuläret finns här.

2011-09-17 - Ännu ett wow!

Vi har det stora nöjet att presentera vår andra spikade talare för vår nästa träff! Denna person är ingen mindre än Martin Holst Swende. Martin har utvecklat verktyget OWASP Hatkit och även presenterat detta på DEFCON 19 i år. Martin har utlovat en demobaserad presentation som garanterat kommer att bli både spännande och lärorik! Därav ännu ett wow!

Nästa träff + wow!

Det ser ut som om vi har spikat första talaren till nästa träff (tack Jonas!). Denna person är ingen mindre än Stefano Di Paola, a.k.a WisecWisec, a.k.a mannen bakom DOMinator. Därav wow!

Det lutar också åt att nästa träff kommer att hållas den tredje november. Mer information kommer allt eftersom. Stay tuned och prelboka upp tredje november för OWASP-träff redan nu!

Presentationsmaterial

Presentationsmaterial kommer att länkas till från denna sida i anslutning till våra träffar.

OWASP Gothenburg web site goes Swedish + surprise!

OWASP Göteborgs webbsida (den här alltså) kommer från idag att i huvudsak vara på svenska. Vi vänder oss till största del till svensktalande och har därför valt att använda svenska som språk. Det innehåll som redan fanns på sidan (före 11 augusti 2011) kommer att fortsätta vara på engelska. Viss generell information kommer att översättas.

Överraskning! OWASP Göteborg kommer att göra en kort videoinspelning där vi skickar "en hälsning från Göteborgskapitlet". Denna hälsning, tillsammans med hälsningar från andra kapitel kommer att visas upp på OWASP AppSecUSA senare i höst. Själva överraskningen består i att vi har tänkt att spela in videosnutten under vårt möte den 25e augusti. Detta innebär också att alla som deltar på mötet också får vara med och medverka i hälsningsvideon. De ni ;-)

OWASP Gothenburg Meeting, August 25 2011, Welcome to Owasp Gothenburg + Owasp top ten w/ demo + Webappsec from a programming language perspective

Meeting agenda

17:00 - 17:30, Welcome and sandwiches

17:30 - 17:45, OWASP Gothenburg Local Chapter - who are we, what do we do?

Introduction to the Gothenburg chapter, co-Leaders and Board-members, and the vision for making Gothenburg to a more interesting place for people interested in security.


17:45 - 18:45, OWASP Top 10 - DEMO

Per Josefsson and Ulf Larson walks through the latest version of the top list and demonstrates a few of the attacks.

OWASP Top 10 is a list of the ten most dangerous threats with respect to application security. The latest version is from 2010 and the next version is expected during 2013.

Pers slides: OWASP Top Ten

18:45 - 19:00, Short break

19:00 - 19:30, Web application security from a programming language perspective

15 years ago the concept of "Same-Origin Policy" (SOP) was introduced. SOP controls the interaction between web browser components. Current web applications differ radically in how they interact and they also use certain "hacks" to bypass the outdated policy. Jonas Magazinius introduces ongoing research at Chalmers University regarding programming language security and how a fine granular policy can replace SOP by allowing more interaction without compromising security.

Jonas slides: A Language-based Perspective on Web Application Security

19:30 - 20:30, Beer

Omegapoint are sponsors and there will be lighter food and beers. Omegapoint is located at Rosenlundsgatan 3, Göteborg. The event will start at 5 pm and end around 8 pm. To sign up for the event, please visit this site.


July 4th, 2011 - OWASP-Gothenburg opens!

Finally, OWASP Gothenburg has been formed, bringing application security closer to developers and security professionals on the west coast of Sweden. Ulf, Mattias and Jonas, the local chapter leaders, welcome members!

Deltagande

OWASP Foundation is a professional association of global members and is and open to anyone interested in learning more about application security. Local chapters are run independently and governed by the following Chapter Leader Handbook. As a 501(c)(3) non-profit professional association your support and sponsorship of a meeting venue and/or refreshments is tax-deductible. Financial contributions should be made online using the online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the speaker agreement and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.


funds to OWASP earmarked for Gothenburg.


Klicka här för att gå med i din lokalavdelnings mailinglista


Anmäl Er gärna till vår mailinglista. Notera dock att när du anmäler dig kommer du att anmäla dig till OWASP Sweden-listan och inte Gothenburg-listan. Detta beror på att Göteborgs och Sverige-kapitlen tillsammans har bestämt oss för att endast använda en lista.

Vem som helst är välkommen till våra möten (det enda som krävs för deltagande är att du har gått med i OWASP Sweden-mailinglistan). Är du intresserad av att hjälpa till eller har förslag på spännande och intressanta föredrag och/eller talare är du välkommen att kontakta oss.

OWASP Sverige-bloggen

För längre nyhetsinlägg och rapporter från konferenser och annat hänvisar vi till OWASP Sverige-bloggen.

OWASP Göteborgs vision

OWASP Göteborgs vision är att väcka intresse för och sprida kunskap om hur man bygger säkra mjukvarusystem. Den är att tillhandahålla en balanserad mix av de senaste rönen inom akademisk säkerhetsforskning (spets och framkant), etablerade säkerhetstekniker och designprinciper för direkt tillämpning (bredd och mogenhet). De viktigaste elementen i konstruktionen av säkra applikationer är design och utvecklingsmetodik. OWASP Göteborg skall därför bidra till att öka säkerhetstänkandet hos programvaruutvecklare.

OWASP Göteborg når ut till utvecklare, projektledare och säkerhetspersoner genom att erbjuda intressanta föredrag och demonstrationer kring säkerhet - både i stort och i smått. Communityhack-dagar, mingel, inhemska och utländska talare profilerar oss som en seriös aktör som erbjuder intresserade en mötesplats där de kan träffa likasinnade, utbyta idéer samt diskutera de senaste inom området.