zurück zur Übersicht

iT-CUBE auf dem German OWASP Day 2015

wasp-538471_mAm 01. Dezember 2015 hat der siebte German OWASP Day stattgefunden. Die unabhängige und nicht-kommerzielle IT-Security Konferenz fand dieses Jahr in Frankfurt am Main statt. Auch wir haben uns dieses Ereignis nicht entgehen lassen und waren bei der IT-Security Konferenz mit dem Schwerpunkt auf Webapplikationssicherheit dabei.

Die Veranstaltung startete nach einer kurzen Begrüßung mit einer Keynote von Christian Rhino, dem Bereichsvorstand Banking Operations der Commerzbank. Die Fragestellung von Herrn Rhino „Muss das alles so kompliziert sein?“ zog sich durch die ganze Veranstaltung. Ob beim Online-Banking, Web-Anwendungen oder aber auch bei Smart TVs stellt sich die Frage, wie „sicher“ sind die Anwendungen oder Apps für die Kunden? Der Kunde wünscht sich eine komfortable einfache und schnelle Methode zur Authentifizierung, möchte aber nicht, dass seine sensitiven Daten in fremde Hände gelangen.

Bereits im ersten Vortrag zum Thema SmartTV wurde deutlich, dass die Waage zwischen sicher und einfach, häufig nicht gut umgesetzt wird. Herr Niemietz erläuterte in seinem Vortrag einige grundlegende Schwächen von SmartTVs. Mit besonders einfachen Mitteln wie HTTP Traffic Sniffing können bereits sensitive Daten ausspioniert werden. Aber auch im nächsten Beitrag von Sebastian Lekies und Ben Stock wurde deutlich, wie einfach es sein kann, durch Cross-Site Script Inclusion (XSSI) Angriffe an sensitive Daten zu gelangen. Durch das Verwenden von sensitiven Daten in dynamisch erzeugten Java Scripts können Angreifer sensitive Daten des Nutzers ausspionieren, solange dieser zur gleichen Zeit die böswillige Webseite des Angreifers besucht.

Nach einer kurzen Pause ging es weiter mit Themen wie Mobile App Testing und der DIN 66398/ Leitlinie Löschkonzept, gefolgt von einer zweiten Keynote von Christoph Kern von Google Inc. In seiner Keynote zeigte er, wie Google mit API-spezifischen Sicherheitsschwachstellen umgeht und wie die Verantwortung auf die Implementierung der APIs gelegt werden kann. Im darauf folgenden Beitrag wurde es kryptisch. Juraj Somorovsky zeigte wie das Extrahieren von privaten Keys von Servern, die Elliptic-Curve-Diffie-Hellman verwenden, möglich sein kann. Danach folgten erstmals bei der German OWASP Day Konferenz vier Lightning Talks zum Thema Webapplikationssicherheit.

Nach einer weiteren kurzen Pause, stellten Christian Dresen und Sebastian Schinzel in Ihrem Vortrag zum Thema „Webschwachstellen im Internet of Things“ ein neues Werkzeug vor, welches automatisiert Sicherheitsschwachstellen in Firmware-Images aufdecken kann. Die Ergebnisse zeigten, dass hier unter völliger Missachtung jeglicher Best-Practices der OWASP-Richtlinien unter anderem auch Webschnittstellen entwickelt wurden. Einige der entdeckten Sicherheitsschwachstellen waren sogar kritisch einzuordnen. Die Veranstaltung wurde mit den rechtlichen Aspekten der IT-Security abgerundet. Im vorletzten Beitrag von Alexios Fakos wurden das IT-Sicherheitsgesetz und die möglichen Effekte für die Software-Industrie erläutert. Darauf folgend erläuterte Amir Alsbih in seinem Vortrag seine Erfahrungen und Erkenntnisse aus Sicherheitsabnahmen, Audits und Projekten der letzten 365 Tage. Vor allem die Tatsache, dass eine Kluft zwischen dem IT-Security Soll- und Ist-Ziel, beim Outsourcing von Projekten entsteht, zeigt wie wichtig es ist, eine vertragliche Absicherung des Unternehmens im Bereich IT-Security vorzunehmen.

Alles in Allem war die diesjährige German OWASP Day eine sehr informative Veranstaltung mit gut gewählten Beiträgen aus Forschung und Praxis. Wenn Sie sich für die Inhalte der German OWASP Day Konferenz im Detail interessieren, empfehlen wir Ihnen einen Besuch auf der Veranstaltungsseite. Dort finden Sie fast alle Foliensätze zu den Vorträgen:

https://www.owasp.org/index.php/German_OWASP_Day_2015

Sichere Webanwendungen stehen auch in unserem Fokus. iT-CUBE bietet ein breites Spektrum an Produkten und Dienstleistungen für verschiedenen Phasen des Software-Development-Lebenszyklus (SDLC): Von der Entwicklung bis zum Betrieb. Wir helfen Ihnen dabei, den Überblick über Ihre Webanwendungslandschaft zu behalten und unterstützen Sie bei der Sicherheitsüberprüfung Ihrer Anwendungen durch hochwertige Ursachenanalysen. Weitere Informationen finden Sie unter:

Application/Code Security