zurück zur Übersicht

German OWASP Day 2016

German OWASP DAY 2016 – Eines der Top Themen: Vernetzte AutosAuch dieses Jahr gab es wieder den German OWASP Day (Details zur Veranstaltung hier), die wichtigste Konferenz im Bereich Applikationssicherheit in Deutschland.

Logisch, dass wir wieder dabei waren. Der Themenschwerpunkt lag vor allem auf sicherer Entwicklung und der Sicherheitsprüfung von Anwendungen.

Zwei Vorträge beschäftigten sich auch explizit mit agilen Entwicklungstechniken und den hierfür nutzbaren Sicherungsmaßnahmen.

Keynote zu Security in vernetzten Automobilen

In der heiß ersehnten Keynote wurde über Car IT und Security gesprochen und viele Fragen gestellt. Tobias Millauer von der Daimler AG hat auf konzeptueller Ebene geschildert, wie moderne Fahrzeuge vernetzt sind und welche elektronischen Schnittstellen sie haben. Zur Absicherung muss die IT-Sicherheit zwingend bereits in der Design-Phase betrachtet werden.

Daimler nutzt dazu das in Schweden entwickelte Sicherheitsmodel HEAVENS (Healing Vulnerabilites to Enhance Software Security and Safety), welches in der Automotive-Industrie bereits etabliert ist. Mit dessen Hilfe wird die Bedrohungsanalyse und Risikoanalyse durchgeführt, um entsprechende Security Objectives abzuleiten.

Interessante Themen für Softwareentwickler

Für Entwickler gab es eine Reihe von interessanten Vorträgen. Zum Beispiel hat Christian Schneider von Deserialization Attacks in Java berichtet, zum Glück aber auch die zugehörigen Verteidigungsmethoden genannt. Unabhängig davon, ob die Entwickler Deserialization selbst nutzen, oder einfach nur Frameworks wie RMI oder JMX verwenden: Die Anwendung sollte unbedingt einer statischen und dynamischen Codeanalyse unterzogen werden.

Seine Erfahrung mit Angular2 und Spring Boot in puncto Sicherheit hat Andreas Falk geteilt. Heute werden vermehrt Anwendungen im Rahmen von Continuous-Deployment-Modellen schnell in Produktion gebracht. Hier wurde erklärt, wie sich dieser Prozess inklusive Sicherheitsmaßnahmen auch in der Cloud automatisieren lässt und welche Konzepte bei der Verwendung von Angular2 genutzt werden können (sichere APIs, Secure-By-Default Configuration).

Weitere Vorträge, die primär an Developer gerichtet waren, beschäftigen sich mit agiler Entwicklung. Daniel Kefer und Rene Reuter haben über ihre Herausforderungen im Bereich Secure SDLC gesprochen und den Nutzen eines Security Mentors für jedes Projekt betont. Zur Unterstützung bei der Erstellung von Security Requirements haben sie ein Tool, SecurityRAT, entwickelt. Das Tool lässt sich auch in JIRA integrieren.

In einem kurzen Lightning Talk hat Bastian Braun über Prozesse gesprochen, die zwar „Agile“ heißen aber trotzdem alte Waterfall-Techniken nutzen und deswegen doch nicht flexibel sind. Als Beispiele wurden hierfür ein Pentest für jedes neue Release oder IT-Security als One-Man-Show angeführt. In seiner Erfahrung haben sich Awareness-Seminare und Trainings, automatisches Testen und “Advisor as a Service” bei Bedarf bewiesen.

Ein anderer Vortrag zum Thema agile Softwareentwicklung und Sicherheit kam von Matthias Rohr, der über Teamverantwortlichkeiten, Testautomatisierung  und Testmethoden für sichere Software gesprochen hat. Ich fand hier persönlich den Begriff “Code Firewall” interessant – ein Ansatz, der bereits beim Check-In von Quellcode auf potenzielle Probleme hinweist. Frei nach dem Motto “Early Test Early Fail“ wird so auf eine frühe Fehlerbehebung hingearbeitet.

Fresh Up für Security Specialists & Pentester

Auch Security-Spezialisten und Pentester haben auf dem German OWASP Day viel Wertvolles erfahren.

Thomas Patzke hat mittels Elastic Search und Kibana große Mengen von HTTP-Daten analysiert und erläutert, wie eine Implementierung in der Amazon Cloud mit minimalen Kosten erreicht werden kann. Das Motiv für die Entwicklung seines eigenen Frameworks WASE war, dass aktuelle Analyse-Proxies wie Burp und ZAP keine Möglichkeit haben, spezielle Suchen in den mitgeschnittenen Daten auszuführen. Anschließend hat er interessante Statistiken über Security Header und andere Metadaten präsentiert.

Reverse Engineers hat vor allem der Vortrag von Siegfried Rasthofer über die Analyse von Android Apps begeistert. Das vom Frauenhofer Institut entwickelte Framework CodeInspect ermöglicht es, diese Apps auf statische und dynamische Weise zu analysieren. Die Lösung kann interaktiv mit Breakpoints eingesetzt werden. Der kompilierte Bytecode der App wird in eine für Analysten verständliche Sprache rückübersetzt. Das Tool kann einfach in Eclipse integriert werden.

NoSQLInjection-Techniken wurden von Patrick Spiegel beleuchtet. Diese hat er im Rahmen seiner Diplomarbeit bearbeitet und entwickelt. Im Fokus standen Plattformen wie Mongo, Redis, CouchDB und Memcached. Unabhängig von Programmiersprache und Framework (Javascript, PHP, Python) ist es zum Beispiel mit manipulierten JSON-Inputs möglich, Angriffe wie Login Bypass oder das Löschen von Daten umzusetzen.

CSP (Content Security Policy) gilt als sicheres Hilfsmittel gegen XSS Attacken, vorausgesetzt, dass es richtig implementiert ist. Sebastian Lekies hat 26000 CSP Policies im Internet gesammelt und analysiert. Er kam zu dem Ergebnis, dass 94% unsicher sind, auch wenn diese restriktiv konfiguriert sind. Sein Lösungsvorschlag kommt in der Form von “Cryptographic Nonces und Hashes” was prinzipiell ähnlich zu CSRF Tokens beim Schutz gegen CSRF (Cross-Site-Request-Forgery) ist. Bezeichnet wurde diese Maßnahme mit dem Begriff “strict-dynamic”.

In dem letzten Vortrag hat Sebastian Schinzel über die DROWN-Attacke auf TLS gesprochen. Die Schwachstelle basiert auf dem alten SSLv2 Protokoll. Zu beachten ist, dass in der Problematik oft nur die Web Server betrachtet werden. Dabei sind auch andere Protokolle betroffen, die TLS nutzen. Nutzt ein SMTP-Server mit TLS denselben SSL Private Key wie ein verwundbarer Webserver mit aktiviertem SSLv2, sind beide in Gefahr. Die einzige effektive Lösung ist SSLv2 vollständig zu deaktivieren.

Angenehme Stimmung, reicher Informationsaustausch, gute Organisation und interessierte Teilnehmer machen die OWASP Konferenz zu einer attraktiven Veranstaltung. Wir freuen uns schon auf das nächste Jahr, das sicherlich wieder viele neue Fragen (und hoffentlich auch ein paar Antworten) im Bezug auf Applikationssicherheit bringt.

Schreibe einen Kommentar