The OWASP Foundation http://www.owasp.org OWASP German Chapter Wer wir sind. Was wir machen. Wie wir helfen. Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt ralf.reinhardt@owasp.org ralf.reinhardt@sicsec.de 4.
Was ist OWASP?
Was ist OWASP? Das Open Web Application Security Project will Sicherheit in (Web-)Anwendungen sichtbar machen und Lösungen bereitstellen mit Dokumenten Tools Kongressen
Was ist OWASP? Das Open Web Application Security Project hilft damit Entwicklern Entscheidern QA-Spezialisten Penetrationstestern Ihnen
Was ist OWASP? Werte Offen Innovativ Weltweit vertreten Integer
Was ist OWASP? Prinzipien Frei und Offen Getrieben durch Konsens und funktionierenden Code Ausgerichtet an Werten Non-profit Nicht von kommerziellen Interessen getrieben Risiko basierte Ansätze
Was ist OWASP? Organisationsstruktur Board Chapter Mitglieder
Was ist OWASP? Chapter Lokale Organisationseinheiten Kann jeder überall einrichten (auch in einzelnen Städten/Regionen) Grundlegen im Chapter Handbook
Was ist OWASP? Mitglieder Firmen Einzelpersonen Edukative Einrichtungen
Projekte Projekte haben vier mögliche Stati (Stand November 2011) Aktiv (20) Beta (26) Alpha (über 50) Inaktiv (6)
Projekte Projekte unterteilt in Tools Dokumente Jeweils kategorisiert in Schutz Erkennung Lebenszyklus
Bekannteste Projekte OWASP Top 10 (2004, 2007, 2010) OWASP Development Guide OWASP Code Review Guide OWASP Testing Guide OWASP Zed Attack Proxy (ZAP) OWASP Live CD Project/Broken Web Apps
Das deutsche Chapter Derzeit ein Chapter in Deutschland Aktuell 6 Personen im Board Regelmäßige lokale Stammtische in Düsseldorf Frankfurt Hamburg Karlsruhe Köln München Nürnberg Stuttgart
Das deutsche Projekte Chapter Best Practices: Web Application Firewalls (2008 abgeschlossen) Projektierung der Sicherheitsprüfungen von Webanwendungen (2009 abgeschlossen) Top 10 2010 Übersetzung (2011 abgeschlossen)
Das deutsche Chapter Projekte Review BSI-Grundschutz Baustein Webanwendungen (2012 abgeschlossen) German Language Project (aktiv)
Das deutsche Chapter Konferenz OWASP Day Germany Ehemals AppSec Germany Seit 2008 Größter Event zu Webanwendungssicherheit in Deutschland 06./07. November 2012 Stand auf der it-sa/vortrag hier Ziel: OWASP noch bekannter machen
Die Zukunft Mehr Stammtische Mehr Projekte Höhere Reichweite Weitere Aspekte von Anwendungssicherheit (Mobility) Mehr Mitglieder Firmen Personen Mehr aktive Projektteilnehmer
Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen
Die Projektgruppe Marco Di Filippo (Compass Security) Tobias Glemser (Tele-Consulting security networking training GmbH) Achim Hoffmann (damals SecureNet, heute sic[!]sec) Barbara Schachner (Siemens CERT) Dennis Schröder (TÜV IT) Feilang Wu (Siemens CERT)
Um was geht's?
Um was geht's? Erfahrungswerte von Dienstleistern und Kunden Wie projektiere ich intern? Wie definiere ich meine Anforderungen? Wie finde ich geeignete Dienstleister?
Projektverlauf Diskussion am OWASP Stand auf der IT-SA Oktober 08 Erste Anfrage an OWASP Mailing- Liste: 26.11.08 Erste Antwort: 27.11.08 Grober Projektablaufplan: Januar 09 Erster Draft: Februar 09 Fertigstellung: Oktober 09
Projektverlauf Problem: Keine Kunden Lösung: 04.03. - 2 Kunden Zweiter Draft: April 09 Dritter Draft: Juni 09 (inkl. ein Ausstieg aus beruflichen Gründen) Kick-Off Workshop im August Finalisierungs-WS Mitte September Version 1.01 auf owasp.org: 9. Oktober
Anforderungen: Kundenseite Art der Prüfung VA/Pentest Quellcode-Analyse Architektur-Analyse Prozess- und Dokumentations- Analyse (z. B. auf Basis IT- Grundschutz oder ISO 27001 native )
Anforderungen: Kundenseite Zielformulierung Definition und Beschreibung des Ziels Teilnehmer Definition der Zeiten Freigaben (!) Vertraulichkeitserklärungen Haftung
Anforderungen: Dienstleister Unternehmensgeschichte Projektteam Beschreibung der Vorgehensweise und Methodik Werkzeuge/Tools Inhalt des Berichts Transparenz!
Anforderungen: Dienstleister Referenzen Veröffentlichungen Mitgliedschaften Zertifizierungen Datentransfer Haftpflicht
Fazit FUD Gemeinsame Sprache und gemeinsames Verständnis der Ziele aller Beteiligter oberstes Gebot Wiederholbarkeit der Prüfungen Nachvollziehbarkeit der Ergebnisse Interne Nachbereitung
Kontakt und Informationen http://www.owasp.de/ https://www.owasp.org/ https://lists.owasp.org/mailman/listinf o/ owasp-germany (eintragen!) Tobias Glemser Ralf Reinhardt tobias.glemser@owasp.org tglemser@tele-consulting.com ralf.reinhardt@owasp.org ralf.reinhardt@sicsec.de