OWASP German Chapter Stammtisch Initiative/München

... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...

A K T U E L L E S :

GEÄNDERTER ORT und TERMIN: Der nächste Stammtisch findet am 31. MAI 2016 statt! (Terminverschiebung wegen Pfingstferien; bitte ggf. längeren Weg einplanen, siehe unten)

Einladung zum (70.) Münchner OWASP-Stammtisch, am Di, 31.05.2016, um 19:00 Uhr.

• AppChecking - warum ist dies gerade im Firmenumfeld wichtig (Michael Spreitzenbarth)
  Der Marktanteil von Smartphones und Tablets wächst signifikant im Gegensatz zu herkömmlichen PCs und hält auch in immer mehr Unternehmen Einzug. Diese Geräte haben einen enormen Funktionsumfang und werden schon lange nicht mehr nur als Gerät zum Telefonieren verwendet. Dies bereitet jedoch nicht nur neue Möglichkeiten für den Einzelnen sowie viele Firmen, sondern birgt auch ein hohes Maß an Gefahren und Risiken.
  Möchte ein Unternehmen Apps für mobile Plattformen wie Android und iOS einsetzen um firmenrelevante Dokumente zu verarbeiten, oder einfach nur die Verwendung dieser Plattformen im Alltag des Mitarbeiters fördern, so haben die Unternehmen bei der Betrachtung und Auswahl der Apps eigentlich nur zwei Möglichkeiten:

1. Den Werbeversprechungen des Herstellers der App vertrauen, oder
2. eigenständiges Überprüfen der versprochenen Leistungen einer App (Pentest)

Im Rahmen der Präsentation werden wir zeigen, wieso die erste Option keine gute Idee ist, wenn das Unternehmen vor hat sensible Daten mit diesen Apps und Geräten zu verarbeiten. Im Nachgang stellen wir ein Modell zur Analyse von Apps vor und zeigen das es nicht immer der manuelle Pentest sein muss.

Dr.-Ing. Michael Spreitzenbarth studierte Wirtschaftsinformatik an der Universität Mannheim mit Schwerpunkt in den Bereichen IT-Security und Digitale Forensik.
Zwischen 2010 und 2013 arbeitete er als Doktorrand an der Universität Erlangen-Nürnberg. Seine Forschungsthemen lagen in den Bereichen der forensischen Analyse von Smartphones (speziell im Bereich Android) sowie im Bereich der Detektion und automatisierten Analyse von mobilem Schadcode (Malware). In dieser Zeit war er zusätzlich als freiberuflicher Consultant in zahlreiche IT-Security Projekte involviert.
Seit April 2013 arbeitet er im Siemens CERT, wo sein Fokus auf der Absicherung mobiler Endgeräte, Incident Handling auf mobilen Plattformen und der Analyse verdächtiger mobiler Applikationen liegt. Ein weiterer Schwerpunkt der täglichen Arbeit liegt im Pentesting mobiler Applikationen welche im Unternehmen eingesetzt werden sollen.
In seiner Freizeit arbeitet Michael Spreitzenbarth im Bereich der Forschung und Entwicklung von Malware-Analyse- und Detektionstechniken sowie digitaler Forensik. Zusätzlich hält er regelmäßig Vorträge und Schulungen zu diesen Themen in der freien Wirtschaft und für öffentliche Auftraggeber.

• Organisatorischer Hinweis: diesmal gibt es keine Möglichkeit Essen zu bestellen, Getränke können zum Selbstkostenpreis erworben werden.
• Geänderter Ort am 31. MAI 2016: mgm security partners gmbh, Frankfurter Ring 105a (Ecke Ingolstädter Straße), 80807 München, Tel +49 89 / 358 680-0

Anreise:

• Mit öffentlichen Verkehrsmitteln (jeweils ~18-25 MVV-Min):

• ab Hauptbahnhof [U2]:
  Mit der U2 (Richtung Feldmoching), nach ca. 10 min. bei Haltestelle 'Frankfurter Ring' in Fahrtrichtung vorne aussteigen.
  Der rechte Aufgang führt auf den Frankfurter Ring: zu Fuß sind es ca. 10 Minuten bis zu mgm. Alle 10 (~19h) bzw. 20 min. fährt auch der Bus 177 (Richtung Studentenstadt). Bei der übernächsten Haltestelle 'Ingolstädter Straße' aussteigen, mgm befindet sich auf der anderen Straßenseite. Für diese Fahrt braucht man eine Fahrkarte der Kategorie 1 oder zwei Streifen der Streifenkarte.
• ab Marienplatz [U3]:
  Mit der U3 (Richtung Olympiazentrum) bis 'Scheidplatz', dort in die (wartende) U2 (Richtung Feldmoching) am selben Bahnsteig umsteigen und bei der Haltestelle 'Frankfurter Ring' in Fahrtrichtung vorne aussteigen. Rest wie 'ab Hauptbahnhof'.
• ab Marienplatz [U6]:
  Mit der U6 (Richtung Kieferngarten/Fröttmaning) bis 'Studentenstadt', dort in der Mitte aussteigen und in den Bus 177 (Richtung Petuelring) umsteigen. Die Busse verkehren alle 10 (~19h) bzw. 20 min. Nach ca. 10 min. bei Haltestelle 'Ingolstädter Straße' aussteigen, die Ampel entgegen der Fahrtrichtung queren und noch etwa 50m bis an die andere Gebäudeseite laufen. Für diese Fahrt braucht man eine Fahrkarte der Kategorie 1 oder zwei Streifen der Streifenkarte.

• Mit dem Auto: vgl Webseite von 'mgm' -> Standort München Link: '→ Auto'

angekommen:
Im Gebäude nimmt man am besten den Aufzug in den 5. Stock (nach ganz oben - sportliche Kollegen können natürlich auch die Treppe laufen)
Nach dem Aussteigen noch ein Stockwerk zu Fuss hochgehen, dann ist man schon auf der Dachterrasse. Unsere Gastgeber werden zur Unterstützung entsprechende Wegweiser im Gebäude aufhängen.

• Um vorhergehende Anmeldung per Mail bei Tom Schoen @ oder Torsten Gigler @ wird gebeten - spontane "Zaungäste" sind aber jederzeit ebenso willkommen.
• Spread the word
  Bitte diese Info an potentiell Interessierte weiterleiten. Unser Thema ist in erster Linie (Web-)Application Security. Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
  

Schönen Gruß,
Orga-Team für den Münchner OWASP Stammtisch (Tom, Christoph und Torsten)

Geplante Stammtisch-Vorträge

• Wir suchen Vorträge für die weiteren Stammtische in 2016!

Möchte jemand einen Vortrag halten? Prima! Sobald wir eine konkrete Zusage haben, werden diese bei der Ankündigung des jeweiligen Termins mit bekannt geben.

Also, wie immer: Ich bitte um kurze Info an mich, ob jemand noch weitere (für uns relevante) Themen parat hat, die er uns näher bringen möchte. Verkaufsveranstalter werden alle 20 Minuten ausgebuht und müssen dann eine (neue) Runde Bier bezahlen.

Allgemeines

Nach mehr als 5 Jahren der Stammtisch-Organisation hat Ralf Reinhardt Ende 2014 das Zepter abgegeben: Aus der Gruppe der Stammtischbesucher hat sich ein kleines Team gebildet um nahtlos die Idee weiter zu tragen. Wer hier unterstützen möchte oder Fragen zum 'neuen' Stammtisch hat, kann sich gerne an Tom Schoen @, Torsten Gigler @ oder Thomas Herzog @ wenden.

Der Münchner Stammtisch findet jeden dritten Dienstag im Monat um 19:00 Uhr statt (außer im August und Dezember).

• In gut erreichbarer Lage mit
• einem vorab angekündigten, dedizierten Thema
• mittels Vortrag, wenn's geht oder ersatzweise
• Lightning-Talk, locker flockige 5 Minuten, keine Präsentation, kein Mikro.
• Ankündigungen erfolgen hier und über die Mailing-Liste des German Chapters
• weitere Informationen zur Stammtisch-Initiative des OWASP German Chapters (Hintergrund, weitere Städte,...)
• weitere Informationen zu OWASP Deutschland und zu unseren Projekten

Die Details der letzten "HowTo-Stammtisch"-Umfrage sind hier zu finden.

Bereits gehaltene Stammtisch-Vorträge

• April 2016: Talk: OWASP Secure Software Contract Annex - auf Deutsch (Ralf Reinhard)
  Talk: Verwundbare Virtual-Machines für Tests und Schulungen [Live-Demo] (Ralf Reinhard)
  Talk: Nachlese zum 7. German OWASP Day 2015 (Torsten Gigler und Thomas Herzog)
• März 2016: Agil, aber sicher? Security im agilen Entwicklungsprozess (Andreas Falk)
• Februar 2016: PDF: 'Mess with the Web' - Features und Bugs von PDF (Alexander Inführ)
• Januar 2016: The unsatisfied Security Requests of the Web (Bastian Braun)
• November 2015: HTTP/2 - was ist das und warum will man das (Mirko Dziadzka), (Folien)
• September 2015 JMX - Java Management Extensions (Hans-Martin Münch), gemeinsamer Stammtisch mit MUC:SEC
• Juli 2015: Highlights der AppSecEU und Hack in the Box (Christoph Kemetmüller, ergänzt durch Eindrücke von Achim Hoffmann auf der AppSecEU)
• Juni 2015: Vortrag: Webseclab - runnable collection of web security tests and demos (Dmitry Savintsev), Wiederholung des Vortrags von der AppSecEU 2015 (Videos: 360p, 720p)
• Mai 2015: An Ontology for Secure Web Applications - Wie hängen Sicherheitseigenschaften, Schwachstellen, Bedrohungen, Tools und Methoden zusammen? (Marianne Busch, Ludwig-Maximilians-Universität München), der Vortrag basierte auf M. Busch and M. Wirsing: An Ontology for Secure Web Applications. In: International Journal of Software and Informatics, 2015 (accepted)
• April 2015: Security Risk Workflows – Konzepte für die organisierte Suche nach der Nadel im Heuhaufen (Prof. Dr. Ruth Breu und Michael Brunner, Universität Innsbruck)
• März 2015: OWASP Top 10 Privacy Risks (Florian Stahl), Wiederholung des Vortrags vom German OWASP Day 2014
• Februar 2015: Hacken und Absichern von iOS Mobilanwendungen (Dr. Bruce Sams), Wiederholung des Vortrags vom German OWASP Day 2014
• Januar 2015: Richtig verschlüsseln mit SSL/TLS (Achim Hoffmann und Torsten Gigler), Wiederholung des Vortrags vom German OWASP Day 2014 mit Live-Vorführung des Tools 'O-Saft'
• November 2014: Ralf Reinhardt: Über Hacker-Typen und Hacker-Angriffe (Folien)
• Oktober 2014: Der Blick über den Tellerrand - Social Engineering Penetrationstests (Sebastian Schucht)
• September 2014: Thomas Schön: XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes (Folien)
• Juli 2014: Dr.-Ing. Juraj Somorovsky: Revisiting SSL/TLS Implementations: New Bleichenbacher Side Channels and Attacks (Folien)
• Juni 2014: Implementation & Improvement of a Secure Software Development Lifecycle Program (Jens Bitter)
• Mai 2014: Klaus Wagner: ISIS12 - ISMS für KMUs basierend auf ISO 27001 und IT-GS (vgl. Wikipedia)
• April 2014: Dr. Gregor Kuznik: How NSA activities affect our daily life (Folien)
• März 2014: Stefan Burgmair, Florian Stahl: OWASP Top 10 Privacy Risks Project
• März 2014: ThreadFix als Beispiel eines Vulnerability Management Systems (Mirko Dziadzka), (Folien)
• Februar 2014: Mind the "s" - sslstrip und HSTS (Sven Schleier), Folien - sslstrip und HSTS
• Januar 2014: Security Project Management, Case-Study: Implementation of Prepaid Billing Solution (Jens Bitter)
• November 2013: Was eine WAF (nicht) kann - Ausgabe 2013 (Mirko Dziadzka), Folien.
• Oktober 2013: Überblick über aktuelle Angriffsmöglichkeiten auf HTTPS / SSL (Achim Hoffmann), Folien - Angriffe auf HTTPS / SSL
• Juni 2013: Advanced XSS (Nicolas Golubovic), Folien - Advanced XSS
• Mai 2013: Top Ten Web Defenses (Jim Manico), Folien - Top Ten Defenses
• März 2013: Burp-Plugin im Eigenbau, oder: Wie ich lernte, die API zu lieben (Bernhard Gröhling), Folien - Burp Plugin
• Februar 2013: Überblick über Content Security Policy (CSP) - ein Verfahren zur Verhinderung von XSS-Angriffen (Christine Koppelt), Folien - Content Security Policy
• Januar 2013: Best-Practice-Diskussion über die "richtige" Umsetzung von Anti-CSRF-Tokens (offene Runde)
• November 2012: Lightning-Talk - Nachklapp zum 5. deutschen OWASP Day am 07.11.2012 (Achim Hoffmann)
• Februar 2012: Für Einsteiger ins Thema: Die OWASP Top 10 - 2010 (Ralf Reinhardt)
• Juni 2011: Rückblick und Würdigung der OWASP AppSec Europe 2011 in Dublin (Andreas von Keviczky)
• Februar 2011: Nachklapp zum OWASP Summit 2011 in Portugal (Achim Hoffmann und Ralf Reinhardt)
• Januar 2011: Offene Diskussion über die Sicherheit von mobilen Endgeräten bei Einsatz im Firmennetz und 'in the wild' (Matthias Trojahn)
• November 2010: Vektorbasierte Anomalien-Erkennung in HTTP-Traffic (Michael Kirchner), Anomalien-Erkennung in HTTP-Daten.
• Juni 2010: Aus der Werkzeug-Schatzkiste des gehobenen Pentesters (Uli Petersen und Achim Hoffmann), u.a. wurde "EnDe" besprochen.
• März 2010: ISO/IEC 27001 (Barbara Schachner und Feiliang Wu)
• November 2009: Was eine WAF (nicht) kann (Mirko Dziadzka), Folien.
• Oktober 2009: Eine Kurzeinführung in Injection-Angriffe (Ralf Reinhardt)

Historisches

Details zur letzten Stammtisch-Umfrage vom September 2012

Als Datenbasis dienen 19 gültig abgeschlossenen Umfragen von 19 Teilnehmern, genutzt wurde als technische Plattform SurveyMonkey.

1. Wie oft sollte der Münchner OWASP Stammtisch im Jahr stattfinden?

73,7 % "Einmal im Monat"

15,8 % "Alle zwei Monate"

5,3 % jeweils für "Einmal im Quartal" und "Alle vier Monate"

2. An welchen Wochentagen würdest Du zum Stammtisch kommen wollen?

83,3 % "Di."

77,8 % "Mi."

44,4 % "Do."

33,3 % "Mo."

11,1 % "Sa."

5,6 % jeweils für "Fr." und "So."

3. An welcher Woche würde es Dir am besten passen, zum Stammtisch zu kommen?

88,9 % "3. Woche des Monats"

66,7 % "2. Woche des Monats"

55,6 % "1. Woche des Monats"

33,3 % "4. Woche des Monats"

4. Was wäre die perfekte Uhrzeit für den Stammtisch?

57,9 % "19:00"

15,8 % "20:00"

10,5 % jeweils für "18:00" und "19:30"

5,3 % "17:00"

5. In welchem Stadtbezirk sollte der Stammtisch stattfinden?

Es wurde ein Bewertungsschema zugrunde gelegt. Pluspunkte brachten (absteigend) "Perfekt" (4), "Sehr gut" (3), "Gut" (2) und "Auch OK" (1). Neutral wurde "Meinetwegen" (0) gewertet; für "Eher nicht" gab es Punktabzug (-1), und für "No-Go Area!" doppelten Punktabzug (-2):

3,56 jeweils für "Au-Haidhausen" und "Ludwigsvorstadt-Isarvorstadt"

3,38 "Maxvorstadt"

3,33 "Altstadt-Lehel"

3,00 "Sendling"

2,33 "Schwanthalerhöhe"

2,00 "Schwabing-West"

[..]

0,25 "Hadern"

0,13 "Bogenhausen"

0,00 "Milbertshofen-Am Hart"

-0,10 "Feldmoching-Hasenbergl"

6. Konkrete Vorschläge zu Locations in diesen Stadtbezirken:

"Wirtshaus zum Wendlinger"

"SAX"

"Kleine Schmausefalle"

"Altes Kreuz"

"Nockherberg"

7. Was ich am Stammtisch ändern würde:

"Thema vorgeben / vorbereiten, wenn schon kein Vortrag statt findet" wurde 3 x genannt

"Mehr Workshops / Vorträge" wurde 2 x genannt

"Location" / "ÖPNV" (war damals "Cafe Waldfrieden")

"Einladung 1,0 bis 1,5 Wochen vorher raus, nicht knapper"

"Mehr Schwerpunkte"

"ggf. Split in 'Technischen Stammtisch' und 'Sozialisierungs-Stammtisch'"

8. Was ich am Stammtisch unbedingt behalten möchte:

"Gemütliches Beisammensein / Zeit zum Ratschen unter Gleichgesinnten / Lockere Gespräche"

"Kontakte / Community / Zusammenstellung der Menschen"

"Fachvorträge"

"Feilen an OWASP-Projekten"

"(Weiß-)Bier" wurde 2 x genannt

9. Zum Abschluss wollte ich schon immer mal loswerden:

"Lob für die Organisation" wurde 4 x genannt