Difference between revisions of "Spain/Chapter Meeting"

From OWASP
Jump to: navigation, search
Line 8: Line 8:
 
Si desea conocer las opciones de patrocinio disponibles, contacte con [mailto:vicente.aguilera@owasp.org Vicente Aguilera].
 
Si desea conocer las opciones de patrocinio disponibles, contacte con [mailto:vicente.aguilera@owasp.org Vicente Aguilera].
 
  '''Patrocinador PLATINO'''
 
  '''Patrocinador PLATINO'''
 
+
<table widht=100%>
 
+
<tr>
 
+
<td width=20% align=center>
 +
[[Image:Logo_ISEC.png|link=http://www.isecauditors.com]]
 +
</td>
 +
<td width=20% align=center>
 +
</td>
 +
<td width=60%>
 +
</td>
 +
</table>
 
  '''Patrocinador ORO'''
 
  '''Patrocinador ORO'''
  

Revision as of 01:29, 25 March 2014

VIII OWASP Spain Chapter Meeting - Barcelona, 13 de junio de 2014

Estas conferencias, abiertas y gratuitas, reúnen desde 2006 a los profesionales del sector de la seguridad de nuestro país y se han consolidado como un evento de referencia.

Buttoncreate.png

Si desea conocer las opciones de patrocinio disponibles, contacte con Vicente Aguilera.

Patrocinador PLATINO

Logo ISEC.png

Patrocinador ORO


Patrocinador PLATA


Colabora

Logo laSalle URL institucional positiu CAT.png

ATI.png



[edit]

Barcelona, 12 de junio de 2015
AGENDA de la jornada:

09:00h - 09:55h Registro de asistentes
Jabella-80.jpg 10:00h - 10:05h Bienvenida
Jaume Abella Fuentes. - Twitter: @JaumeAbella.
Coordinador del Máster de Ciberseguridad. La Salle Campus Barcelona.
Vadpic.png 10:05h - 10:15h Introducción a la jornada
Vicente Aguilera Díaz. vicenteaguileradiaz.com - Twitter: @VAguileraDiaz.
OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.
Ashar-80.jpg 10:15h - 11:15h Cat-and-Mouse Game with Sucuri's Web Application Firewall
Ashar Javed. - Twitter: @soaj1664ashar.
Pentester. Hyundai AutoEver Europe GmbH.

In this talk, I will share a story of my encounter with Sucuri's Web Application Firewall (WAF) i.e., CloudProxy. CloudProxy is a cloud-based protection system against common web attacks like XSS, SQLi and RFI etc and at the time of writing, 8K+ websites are using it.

In this talk, I will show how I was able to bypass their XSS protection 35 times and made 8K+ websites vulnerable. All bypasses were responsibly reported to the vendor and were fixed immediately.

Mmuntana-80.jpg 11:15h - 11:45h Estableciendo las tres líneas de defensa en proyectos web
Marc Muntañá Vergés.
Responsable de Seguridad. Mutua Universal.

De forma habitual, la seguridad en el desarrollo web se delega en la pericia o conocimientos de seguridad del desarrollador, obviando la identificación de requisitos de seguridad y la ejecución de pruebas de seguridad sobre la globalidad del proyecto. Por otro lado, la figura del desarrollador a menudo no ha recibido la adecuada formación en materia de seguridad para implantarla de forma efectiva en su codificación.

La ponencia traslada la estrategia de las tres líneas de defensa, muy habitual en términos de auditoría y gestión de riesgos corporativos, a una propuesta metodológica de cómo abordar los proyectos y aplicaciones web implicando todos los stakeholders implicados en su securización y validación de esta.

Fabio-cerullo-small.jpg 11:45h - 12:45h Desarrollo Rápido y Seguro de Aplicaciones. ¿Es posible tener las dos cosas?
Fabio Cerullo. - Twitter: @fcerullo.
CEO y Fundador de Cycubix.

Los ciclos de desarrollo cada vez mas rápidos y la falta de evaluaciones integrales de seguridad están exponiendo a las organizaciones a potenciales filtraciones de datos a través de sus propias aplicaciones. Fabio Cerullo, Director de Cycubix, nos mostrará cuales son las herramientas y procesos que ayudan a las organizaciones a construir aplicaciones seguras cumpliendo con normativas vigentes y alineándose a los requerimientos de negocio.


Stephen-80.png 14:45h - 15:45h Pruebas de seguridad contínuas para DevOps
Stephen De Vries. - Twitter: @stephendv.
Chief Technology Officer. Continuum Security.

Las prácticas de despliegue contínuo (CD) y DevOps están revolucionando el proceso de desarrollo y de negocio. Las prácticas de seguridad y, sobre todo, las pruebas de seguridad, tendrán que adaptarse a este nuevo mundo. Durante este charla se proponen unos métodos para automatizar las pruebas de seguridad para que encajan en un proceso de despliegue contínu sin interrumpir el proceso. La presentación incluirá los siguientes aspectos:

  • Introducción breve a DevOps y Despliegue Contínuo
  • Los retos para automatizar pruebas de seguridad
  • El marco de pruebas BDD-Security en tres pasos
  • Integración con Jenkins
  • Límites de automatización
MiguelHernandez-80.png 15:45 - 16:45h Abuse Cases – from scratch to the hack
Miguel Ángel Hernández Ruíz. - Twitter: @miguelangelher
Security Specialist. Sopra Group.

Firstly this talk offers the motivations on why it is necessary a mechanism to detect possible business logic flaws.

After that, the next slides present a short story about a developer and a hacker and how the last one is able to find out vulnerabilities even when all security bugs have apparently been fixed.

Using the lessons learnt from the previous story, a summary on what we are exactly looking for is performed, introducing the abuse case concept and performing a comparison between use cases and abuse cases.

In fourth place the main point of the conference is introduced. A methodological approach to an abuse cases solution is presented as the way to properly drive the business logic vulnerabilities detection.

The subsequent slides present how to apply the explained approach to a real scenario regarding the application involved in the hackers’ story previously mentioned. A live approach to the application is performed in the first part of this section and a live hack of the business logic is shown at the end.

Finally, the most important challenges to face and the most relevant benefits of using abuse cases as a testing tool are offered.

Marc.png 16:45h - 17:45h APT, Ataque y defensa en entorno hostil
Marc Rivero López. - Twitter: @Seifreed
Senior eCrime. Deloitte.

La conferencia explicará los útimos ataques APT que han salido a la luz. Se mostrarán los detalles más significativos y las lecciones aprendidas en cada uno de ellos. Se mostrarán también patrones en común usados por los diferentes actores de los APT’s. Por último, se mostrará un ecosistema para la defensa de estos tipos de ataques a grandes corporaciones.

17:45h - 18:15h Mesa redonda (ponentes e invitados)
.


Si desea participar como ponente, consulte la sección Call for Papers.

Twitter: @OWASPSpain
Hashtag de la jornada: #OWASPSpain9
Twitter-logo-icon.jpeg

LOCALIZACIÓN de la sala de conferencias:

Auditori Edifici Arquitectura - La Salle Campus Barcelona
C. Sant Joan de La Salle, 42
Barcelona

Ver ubicación en Google Maps.

Salle-auditori-1.gif

Salle-auditori-3.gif

PONENTES

Ashar Javed
Ashar-200.jpg

Ashar Javed is a web security researcher and pentester. He is working on his PhD thesis from Ruhr University Bochum, Germany. Currently he is working for Hyundai AutoEver Europe GmbH (Frankfurt, Germany) as a pentester. He has been listed 11 Times in Google Security Hall of Fame, Twitter/Microsoft/Ebay/Adobe/Etsy/AT&T/Barracuda Security Pages & Facebook White Hat. He spoke in the main security venues like Black Hat, Hack in the Box, OWASP Spain, RSA Europe (OWASP Seminar), SAP Product Security Conference, ISACA Ireland and DeepSec.


Stephen De Vries
Stephen-200.png

Stephen de Vries es el CTO de Continuum Security, una empresa Española dedicada a crear herramientas para asegurar el proceso de desarrollo, y creador de la herramienta BDD-Security (open source). Tiene mas de 17 años de experiencia en el ámbito de seguridad informática y los últimos años está especializado en la seguridad de aplicaciones y ayudando a empresas para que sus procesos de desarrollo incluyan seguridad.


Miguel Ángel Hernández Ruíz
MiguelHernandez-200.jpg

Miguel Ángel, MBA, MTITA and IT Engineer, has been working on the security field since 2006. He published three international articles, one best paper award and one Journal during 2007 and the first half of 2008 when he was working for the University of Murcia (Spain) as security researcher.

At the end of 2008, he obtained the widely recognized certifications; CISA, CISM and IRCA Lead Auditor ISO/IEC 27001. As a part of his continuous professional education related with security, international standards and good practices, he obtained later the ITIL Foundations, ISTQB Foundations and recently the Certified in Ethical Hacking certificates.

Between 2009 and the beginning of 2013, he was in charge of the Security Information Management System of the biggest IT management organization in Murcia. Besides, he was a member of the Computer Security Incident Response Team of the Region of Murcia.

In 2011 he was proposed as one of the National Institute of Communication Technologies (INTECO) collaborators.

Nowadays, he is working as Security Specialist for Sopra Group being involved in international clients as Security Reference like the European Commission Office for Harmonization in the Internal Market (OHIM), AXA MedLa Region or GDF-Suez.


Fabio Cerullo
Cerullof.jpg

Fabio Cerullo (CISSP, CSSLP) es un instructor oficial certificado por (ISC)2, el líder mundial en educación y certificación para profesionales de seguridad de la información. Con más de 15 años de experiencia en diversas áreas de seguridad informática, posee una sólida comprensión de las necesidades del negocio y de los desafíos de la industria, aportando a sus formaciones un valioso conocimiento obtenido en diferentes sectores, desde instituciones financieras y gubernamentales hasta empresas de software y startups.

Fabio es Director de Cycubix, empresa que provee servicios globales de consultoría en seguridad informática, brindando a sus clientes las herramientas para desarrollar y gestionar aplicaciones seguras. Cycubix también se especializa en brindar formación en esta temática a desarrolladores, auditores, ejecutivos y profesionales de la seguridad.

Como parte del Board Global de la Fundación OWASP, Fabio contribuye a la promoción de la seguridad en aplicaciones. Asimismo, es ponente habitual en eventos organizados por OWASP, ISACA y (ISC)2, entre otros; y proporciona comentarios y artículos escritos para medios especializados de la industria.

Posee un título en Ingeniería Informática otorgado por la Universidad Católica Argentina.


Marc Rivero López
Mrivero-200.jpg

Formado en un equipo de lucha contra el fraude, Marc ha desarrollado su experiencia profesional implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacional. Su trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de sus tareas diarias. Marc es ponente en eventos nacionales (No cON Name, OWASP, Navaja Negra) e internacionales (DragonJAR CON - Colombia). Es profesor asociado en La Salle, impartiendo el curso MPWAR (Master in High Performance Web Programming) y participando en el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity). Es miembro de asociaciones y grupos de research como la HoneyNet Project, OWASP, SySsec etc. Marc es el organizador de las conferencias Hack&Beers en Barcelona.


Marc Muntañá Vergés
Mmuntana-200.jpg

Marc, Ingeniero Informático y Licenciado en Administración y Dirección de Empresas, ha desarrollado su carrera profesional en el ámbito de los riesgos tecnológicos desde el año 2006. En la primera parte de su carrera en empresas de servicios como Deloitte y BDO y, desde finales de 2010, en Mutua Universal, primero como auditor interno de sistemas y a continuación como Responsable de Seguridad Informática. Además, imparte docencia en el ámbito de la Ingeniería Informática a nivel universitario. Marc cuenta con las certificaciones CISA, CISM, ISO 27001 Lead Auditor, PMP, Prince2 e ITIL Foundation, ha participado en diferentes comisiones técnicas de auditoría y seguridad y ha publicado artículos relacionados en revistas del sector relacionados con estrategias de seguridad informática.



PATROCINADORES

Esta sección ofrece detalles sobre cada uno de los patrocinadores del VIII OWASP Spain Chapter Meeting. OWASP Spain agradece a todos ellos el esfuerzo realizado para dar soporte a nuestro evento.

Si desea conocer las opciones de patrocinio disponibles, contacte con Vicente Aguilera Diaz.

Nivel PLATINO
Internet Security Auditors

Internet Security Auditors nace el año 2001 con el objetivo de ser un proveedor de seguridad independiente y que actualmente ofrece servicios globales de Seguridad TIC desde sus oficinas de Barcelona y Madrid. La empresa es un referente en áreas como el Hacking Ético y las Auditorías de Seguridad, de Código Fuente y, en general, de la integración de la Seguridad en el Ciclo de Vida del Desarrollo de Software.

Internet Security Auditors fue la primera empresa en homologarse como QSA, PA-QSA y ASV por el PCI SSC para poder llevar a cabo Auditoría de Certificación del cumplimiento de PCI DSS y PCI PA-DSS, siendo además la primera empresa española en operar con estas certificaciones en Europa, EEUU y toda Iberoamérica.

Internet Security Auditors desarrolla proyectos en áreas tecnológicas punteras como son NFC para el pago móvil, aplicaciones móviles en las diferentes plataformas del mercado, ciberseguridad en entornos industriales, etc. y cuenta entre sus clientes algunas de las mayores empresas de todos los sectores de banca y seguros, industria, retail, e-commerce, etc., entre las que se encuentran un tercio de empresas del IBEX35, desarrollando proyectos en Europa y América.

Bajo su marca Sersecure, Internet Security Auditors, ofrece servicios de seguridad en SaaS en la nube como es el Sersecure AntiMalware Service y está desarrollando otras iniciativas que cubrirán necesidades que el mercado demanda.


Nivel ORO


Nivel PLATA


CALL FOR PAPERS

Periodo de presentación de propuestas
  • Inicio: 3 de marzo de 2015
  • Fin: 20 de abril de 2015


Formato de ponencias
  • Seleccione entre 30 minutos y 60 minutos.


Envío de propuestas
  • El plazo de presentación de propuestas finaliza el 20 de abril de 2015.
  • Información a facilitar sobre su propuesta de ponencia:
    • Información del ponente
    • Información sobre la ponencia
    • Biografía del ponente
    • Recursos de soporte
  • Descargue aquí la plantilla a utilizar para comunicar su propuesta.
  • Las propuestas deberán ser enviadas a Vicente Aguilera Diaz.


Características
  • Una vez cerrado el plazo de presentación de propuestas, se actualizará la agenda con los ponentes aceptados.
  • OWASP Spain cubrirá los gastos de desplazamiento (avión / tren) de los ponentes aceptados.


Información adicional
  • Síganos en Twitter (@OWASPSpain) para conocer las novedades del evento (#OWASPSpain9).
  • Puede consultar nuestros eventos anteriores aquí.
  • Para cualquier consulta sobre el CFP o este evento, puede contactar con nosotros.





Buttoncreate.png