Einladung zum 102. Münchner OWASP-Stammtisch, am Dienstag, 24.09.2019 um 19:00 Uhr (Hackerhaus)
Torsten Gigler
ich hoffe, Ihr hattet
einen schönen Urlaub.
Nächsten Dienstag
findet wieder der OWASP-Stammtisch
in München, am Dienstag,
24.09.2019, um 19:00
Uhr statt.
* Vortrag: Stack Overflow Considered Helpful! Deep Learning Security Nudges Towards Stronger Cryptography (Felix Fischer, PhD student, Technische Universität München)
Stack Overflow is the most popular discussion platform for software developers. Recent research found a large amount of insecure encryption code in production systems that has been inspired by examples given on Stack Overflow. By copying and pasting functional code, developers introduced exploitable software vulnerabilities into security-sensitive high-profile applications installed by millions of users every day. This happens although for over 99% of insecure code examples on Stack Overflow, similar alternatives are available that provide strong cryptography.
The presentation shows the results of our researches about this issue and how to mitigate it using the example of strong cryptography. We focus on supporting software developers in making better decisions by applying nudges, a concept borrowed from behavioral science. Our system design is based on several nudges that are controlled by a deep neural network. With a user study we demonstrate that nudge-based security advice significantly helps tackling the most popular and error-prone cryptographic use cases in Android.
Felix Fischer is a Research Associate and PhD student at the Chair of Cyber Trust at the Department of Informatics at the Technical University of Munich. He studies the interaction of people with information security and privacy technologies. This means analyzing their application, usability and acceptance in the wild. His most recent publications focus on software engineers struggling with getting cryptography right and explore machine learning as a tool for usable security and privacy. This respects the attestation of private and fair models, as well as lineage and accountability of their decisions.
(voraussichtlich im Klavierzimmer - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen).
Allgemeines:
Spread the word:
Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht.
Schönen Gruß,
Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)
Torsten Gigler (OWASP)
Torsten Gigler (OWASP)
Morgen findet wieder der OWASP-Stammtisch in München, am Dienstag, 22.10.2019, um 19:00 Uhr statt.
(voraussichtlich im Klavierzimmer - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen).
Torsten Gigler
- Strategische Geschäftsanforderungen an Sicherheit
- Modellierung von Lösungsszenarien mit Abwägung Do / Buy (z.B. GRC, SOC)
- Offene Diskussion bzgl. eigener Erfahrungen der Teilnehmer
Torsten Gigler (OWASP)
Nächsten Dienstag findet wieder der OWASP-Stammtisch in München, am 19.11.2019, um 19:00 Uhr statt. Wir freuen uns auf Euer Kommen.
(voraussichtlich im Klavierzimmer - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen).
Jens
Bye Jens
--
sent by mobile
Torsten Gigler (OWASP)
Torsten Gigler
Eine Woche später als sonst, findet der OWASP-Stammtisch in München, am Dienstag , den 28.01.2020, um 19:00 Uhr statt. Wir freuen uns auf Euer Kommen.
- Rückblick & Hintergrund
- Aktuelle Version der OWASP Top 10 Privacy Risks (2014)
- Update 2019/2020
~ Review Methodik
~ Diskussion & Update der “Risk Candidates”
~ Risikobewertung (Schaden & Eintrittswahrscheinlichkeit)
~ Offene Punkte
- Fazit
(voraussichtlich im Klavierzimmer - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen).
Torsten Gigler (OWASP)
Am 20. Januar 2020 21:34:02 schrieb Torsten Gigler <torsten...@owasp.org>:
Hallo zusammen,Eine Woche später als sonst, findet der OWASP-Stammtisch in München, am Dienstag , den 28.01.2020, um 19:00 Uhr statt. Wir freuen uns auf Euer Kommen.
Agenda:
* Vortrag: Update der OWASP Top 10 Privacy Risks (Florian Stahl)
- Rückblick & Hintergrund
- Aktuelle Version der OWASP Top 10 Privacy Risks (2014)
- Update 2019/2020
~ Review Methodik
~ Diskussion & Update der “Risk Candidates”
~ Risikobewertung (Schaden & Eintrittswahrscheinlichkeit)
~ Offene Punkte
- Fazit
* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die kommenden Stammtische ab Februar!
Ort:
Hackerhaus, Sendlinger Straße 14, 80331 München (http://www.hackerhaus.de/)
(voraussichtlich im Klavierzimmer - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen).
Zeit:
Dienstag, 28.01.2020 um 19:00 Uhr
Torsten Gigler (OWASP)
Torsten Gigler (OWASP)
- Rückblick & Hintergrund
- Aktuelle Version der OWASP Top 10 Privacy Risks (2014)
- Update 2019/2020
~ Review Methodik
~ Diskussion & Update der “Risk Candidates”
~ Risikobewertung (Schaden & Eintrittswahrscheinlichkeit)
~ Offene Punkte
- Fazit
(voraussichtlich im Klavierzimmer - im Zweifelsfall bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen).
Allgemeines:
Torsten Gigler
Einladung zum (107.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 17.03.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal ONLINE!
... Ungewöhnliche Zeiten brauchen innovative Lösungen ...
<<<
>>> Als Vorsorge-Maßnahme im Rahmen der aktuellen
COVID-19-Epidemie, findet der Stammtisch online statt.
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht per
'antworten' auf diese Mail, das geht an die ganze Liste.
<<<
Agenda:
- Vortrag: Beyond passwords? – Fido2 and WebAuthn in
der Praxis (Clemens Hübner, Wiederholung
des Vortrags vom German OWASP Day 2019)
Während die begrenzte Sicherheit von passwortgestützten Verfahren schon lange belegt ist, konnten sich bislang keine Alternativen durchsetzen. Mit der Web Authentication API (Webauthn) wurde im März letzten Jahres ein neuer Standard veröffentlicht, der nicht zuletzt wegen seiner Beteiligung vieler großer Firmen (u.a. Microsoft, Google, Samsung) als aussichtsreicher Kandidat für eine echte Alternative zu Passwörtern gilt.
Anna Sinitsyna und Clemens Hübner haben die Sicherheit und Usability von WebAuthn evaluiert und einen Proof-of-Concept der Authentifizierungsmethode in einer Webanwendung geschaffen. Der Vortrag teilt außerdem unsere Erkenntnisse und Eindrücke des jungen Standards sowie der existierenden technischen Umsetzungen.
Clemens Hübner studierte an der FAU Erlangen-Nürnberg Mathematik und Informatik und schloss mit einer Masterarbeit zur Sicherheit in agilen Entwicklungsmodellen ab. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex. Dort begleitet er heute Webentwicklungsprojekte und berät zu Continuous Software Security. - German OWASP Day 2020 in München (Planung Veranstaltungsort)
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Einladung zum (107.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 17.03.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal ONLINE!
... Ungewöhnliche Zeiten brauchen innovative Lösungen ...
<<<
>>> Als Vorsorge-Maßnahme im Rahmen der aktuellen
COVID-19-Epidemie, findet der Stammtisch online statt.
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht per
'antworten' auf diese Mail, das geht an die ganze Liste.
<<<
Agenda:
- Vortrag: Beyond passwords? – Fido2 and WebAuthn in
der Praxis (Clemens Hübner, Wiederholung des Vortrags vom
German OWASP Day 2019)
Während die begrenzte Sicherheit von passwortgestützten Verfahren schon lange belegt ist, konnten sich bislang keine Alternativen durchsetzen. Mit der Web Authentication API (Webauthn) wurde im März letzten Jahres ein neuer Standard veröffentlicht, der nicht zuletzt wegen seiner Beteiligung vieler großer Firmen (u.a. Microsoft, Google, Samsung) als aussichtsreicher Kandidat für eine echte Alternative zu Passwörtern gilt.
Anna Sinitsyna und Clemens Hübner haben die Sicherheit und Usability von WebAuthn evaluiert und einen Proof-of-Concept der Authentifizierungsmethode in einer Webanwendung geschaffen. Der Vortrag teilt außerdem unsere Erkenntnisse und Eindrücke des jungen Standards sowie der existierenden technischen Umsetzungen.
Clemens Hübner studierte an der FAU Erlangen-Nürnberg Mathematik und Informatik und schloss mit einer Masterarbeit zur Sicherheit in agilen Entwicklungsmodellen ab. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex. Dort begleitet er heute Webentwicklungsprojekte und berät zu Continuous Software Security. - German OWASP Day 2020 in München (Planung Veranstaltungsort)
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Einladung zum (108.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 21.04.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE!
... <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze Liste 'antworten' ... <<<
Agenda:
-
Vortrag: OWASP Single Sign-On - Entwicklung und Status (Nicolas Giese)Sicherheit ist nicht leicht und endet oft bei der ersten Anmeldung eines Benutzers. Noch schwieriger ist es, gute Sicherheit und aktuelle Standards in verschiedene Systeme zu integrieren. Aus den Leiden, gute Authentifizierung in über 200 Geschäftseinheiten in Europa umzusetzen und in die aktuellen Sicherheitsbedürfnisse zu integrieren, entstand die freie Software "OWASP Single Sign-On".Mehr Hintergründe, was bisher passiert ist und wo es hingehen soll, stellt uns Nicolas in seinem Vortrag gerne vor.
Nicolas Giese arbeitet in der internen IT - Sicherheit von Panasonic und hat dort viel mit Incident Response, Softwareentwicklung und Penetration Testing zu tun.
- German OWASP Day 2020 in München (Planung Veranstaltungsort)
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Torsten Gigler
Torsten Gigler
Einladung zum (109.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 26.05.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE!
... <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: Kubernetes Security aus Entwicklersicht (Andreas Falk)Mit der Verbreitung von Kubernetes ist der Java-Entwickler endgültig im Zeitalter von DevSecOps angekommen.Doch durch die Vielzahl komplexer Aufgaben in einem Kubernetes-Cluster wird die notwendige Sicherheit leider oft vernachlässigt. Selbst in gemanagten Clustern bekannter Cloud-Anbieter gibt es viele Angriffspunkte, die nur darauf warten, ausgenutzt zu werden.
Diese Session stellt die sicherheitskritischen Komponenten eines Kubernetes-Clusters aus der Sicht eines Entwicklers vor. Es werden typische Sicherheitsprobleme und entsprechende Maßnahmen zu deren Behandlung bzw. Beseitigung aufgezeigt. Dazu gehören Themen wie Linux Security Basics sowie die Sicherheit auf den verschiedenen Ebenen wie der Anwendung, im Container und dem Kubernetes-Cluster.
Die schrittweise Bereitstellung einer sicheren Anwendung wird dabei in mehreren Live-Demos im Detail aufgezeigt. Wir werden dazu eine Spring Boot Java-Anwendung containerisieren und unter Berücksichtigung empfohlener Sicherheitsmuster in ein Kubernetes-Cluster deployen.
Andreas Falk ist seit mehr als zwanzig Jahren in der IT-Branche unterwegs. Derzeit arbeitet er für die Novatec Consulting mit Sitz in Stuttgart. In verschiedenen Projekten ist er seither als Berater, Architekt, Coach, und Entwickler im Einsatz. Sein Schwerpunkt liegt auf der agilen Entwicklung von Cloud-Nativen Java Unternehmensanwendungen. Als Mitglied des Open Web Application Security Projects (OWASP) und der OpenID Foundation beschäftigt er sich auch gerne mit allen Aspekten der Anwendungssicherheit.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Torsten Gigler
Bitte meldet Euch per Mail an, dann erhaltet Ihr die Zugangsdaten.
Torsten Gigler (OWASP)
Einladung zum (110.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 16.06.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE!
... <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: Vortrag: Angriffe auf KI-Algorithmen [Adversarial attacks on AI] (Nurullah Demir)
Künstliche Intelligenz (KI) findet heute in vielen Bereichen seinen Einsatz: Gesichtserkennung, selbstfahrende Autos, Sprachassistenten, Diagnose von Krankheiten… Sie bringt viele Vorteile mit sich. Allerdings sind diese Systeme, auch wie viele andere IT-Systeme, verwundbar: Entscheidungen von KI-Algorithmen können manipuliert werden.
In diesem Vortrag zeigen wir, wie Angreifer Entscheidungen der KI-Algorithmen durch gegnerische Angriffe manipulieren. Z.B. wie ein Stopp-Schild von KI als Verkehrszeichen “70” erkannt wird, obwohl wir Menschen nichts anormales auf dem Stopp-Schild erkennen. Der Vortrag ist auch für Einsteiger in den Themenbereich KI geeignet.
Nurullah Demir ist seit mehr als 10 Jahre im Bereich Web Security unterwegs. Er hat seinen Master in Internet Sicherheit am Institut für Internet-Sicherheit, if(is), der Westfälischen Hochschule (internet-sicherheit.de) absolviert, wo er gerade Doktorand ist. Er forscht zurzeit über künstliche Intelligenz im Hinblick auf Cyber-Security, robuste Schutzmechanismen für Web und Open-Source-Intelligence (OSINT). Er liebt Web und Sicherheit und ist Fechter.
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Torsten Gigler (OWASP)
Bitte meldet Euch per Mail an, dann erhaltet Ihr die URL für das Online-Meeting.
Torsten Gigler (OWASP)
Torsten Gigler
Einladung zum (111.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 21.07.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE!
... <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: OWASP ModSecurity Core Rule Set (Christian Folini)
This is a basic introduction to the OWASP ModSecurity Core Rule Set (CRS). The talk presents ModSecurity as an open source web application firewall, presents important group of rules and explains the core concepts like anomaly scoring, paranoia levels and strict siblings along the way.
Christian Folini is a security engineer and open source enthusiast. He holds a PhD in medieval history and enjoys defending castles across Europe. Unfortunately, defending medieval castles is not a big business anymore and so, he turned to defending web servers, which he finds equally challenging. He brings more than ten years of experience with ModSecurity configuration in high security environments, DDoS defense and threat modeling.
Christian Folini co-leads the OWASP ModSecurity Core Rule Set project and he is the author of the second edition of the ModSecurity Handbook. Christian helps to edit the Center for Internet Security "Apache Benchmark". He is a frequent speaker at conferences, where he tries to use his background in the humanities to explain hardcore technical topics to audiences of different backgrounds.
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Mirko Dziadzka
--
You received this message because you are subscribed to the Google Groups "Germany chapter" group.
To unsubscribe from this group and stop receiving emails from it, send an email to germany-chapt...@owasp.org.
To view this discussion on the web visit https://groups.google.com/a/owasp.org/d/msgid/germany-chapter/281bd655-bfea-5e8b-35c9-d3112e89dd9f%40owasp.org.
Jens Bitter
bye Jens
Am 21.07.20 um 18:02 schrieb Mirko Dziadzka:
>
> Ich hatte mich gestern per email angemeldet aber bisher leider noch
> keine Antwort bekommen.
>
> Schöne Grüße
>
> Mirko
>
>
>
>> On 20. Jul 2020, at 08:57, Torsten Gigler <torsten...@owasp.org
>> **ONLINE-Version**** am *Di, 21.07.2020*, um 19:00 Uhr.
>>
>> >>> Bitte ****meldet Euch****** vor dem Meeting bei
>> |torsten<Punkt>gigler<ät>owasp<Punkt>org| ****an******, da die Anzahl
>>
>> *Agenda*:
>>
>> *
>> *Vortrag: OWASP ModSecurity Core Rule Set (**Christian Folini)
>> *This is a basic introduction to the OWASP ModSecurity Core Rule
>> application firewall, presents important group of rules and
>> explains the core concepts like anomaly scoring, paranoia levels
>> and strict siblings along the way.
>> Christian Folini is a security engineer and open source
>> enthusiast. He holds a PhD in medieval history and enjoys
>> defending castles across Europe. Unfortunately, defending
>> medieval castles is not a big business anymore and so, he turned
>> to defending web servers, which he finds equally challenging. He
>> brings more than ten years of experience with ModSecurity
>> configuration in high security environments, DDoS defense and
>> threat modeling.
>> Christian Folini co-leads the OWASP ModSecurity Core Rule Set
>> project and he is the author of the second edition of the
>> ModSecurity Handbook. Christian helps to edit the Center for
>> Internet Security "Apache Benchmark". He is a frequent speaker at
>> conferences, where he tries to use his background in the
>> humanities to explain hardcore technical topics to audiences of
>> different backgrounds.
>>
>> *Freie Diskussion*, bringt bitte Themen mit!
>> * *Wir suchen noch Vorträge für die kommenden Stammtische!*
>>
>> *Zeit:*
>>
>> *Spread the word:*
>> Thema ist in erster Linie (Web-)Application-Security.
>> Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender
>>
>> Schönen Gruß,
>> Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und
>> Torsten)
>>
>>
>> --
>> You received this message because you are subscribed to the Google
>> Groups "Germany chapter" group.
>> To unsubscribe from this group and stop receiving emails from it,
>> send an email to germany-chapt...@owasp.org
>> https://groups.google.com/a/owasp.org/d/msgid/germany-chapter/281bd655-bfea-5e8b-35c9-d3112e89dd9f%40owasp.org
> --
> You received this message because you are subscribed to the Google
> Groups "Germany chapter" group.
> To unsubscribe from this group and stop receiving emails from it, send
> an email to germany-chapt...@owasp.org
> <https://groups.google.com/a/owasp.org/d/msgid/germany-chapter/7018A642-115A-49B7-A4D8-9B4D1EA5CB7B%40gmail.com?utm_medium=email&utm_source=footer>.
> --
>
Torsten Gigler (OWASP)
Einladung zum (112.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 15.09.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE!
... Dieses Mal probieren wir, ob es mit Jitsi Meet ohne
Zeitbeschrängung besser geht ;-). <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: OWASP ModSecurity Core Rule Set (Christian Folini)
- This is a basic introduction to the OWASP ModSecurity Core Rule Set (CRS). The talk presents ModSecurity as an open source web application firewall, presents important group of rules and explains the core concepts like anomaly scoring, paranoia levels and strict siblings along the way.
Christian Folini is a security engineer and open source enthusiast. He holds a PhD in medieval history and enjoys defending castles across Europe. Unfortunately, defending medieval castles is not a big business anymore and so, he turned to defending web servers, which he finds equally challenging. He brings more than ten years of experience with ModSecurity configuration in high security environments, DDoS defense and threat modeling.
Christian Folini co-leads the OWASP ModSecurity Core Rule Set project and he is the author of the second edition of the ModSecurity Handbook. Christian helps to edit the Center for Internet Security "Apache Benchmark". He is a frequent speaker at conferences, where he tries to use his background in the humanities to explain hardcore technical topics to audiences of different backgrounds.
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Torsten Gigler (OWASP)
Einladung zum (112.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 15.09.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE!
... Dieses Mal probieren wir, ob es mit Jitsi Meet ohne
Zeitbeschrängung besser geht ;-). <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: OWASP ModSecurity Core Rule Set (Christian Folini)
This is a basic introduction to the OWASP ModSecurity Core Rule Set (CRS). The talk presents ModSecurity as an open source web application firewall, presents important group of rules and explains the core concepts like anomaly scoring, paranoia levels and strict siblings along the way.
Christian Folini is a security engineer and open source enthusiast. He holds a PhD in medieval history and enjoys defending castles across Europe. Unfortunately, defending medieval castles is not a big business anymore and so, he turned to defending web servers, which he finds equally challenging. He brings more than ten years of experience with ModSecurity configuration in high security environments, DDoS defense and threat modeling.
Christian Folini co-leads the OWASP ModSecurity Core Rule Set project and he is the author of the second edition of the ModSecurity Handbook. Christian helps to edit the Center for Internet Security "Apache Benchmark". He is a frequent speaker at conferences, where he tries to use his background in the humanities to explain hardcore technical topics to audiences of different backgrounds.
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Torsten Gigler (OWASP)
Torsten Gigler
Einladung zum (113.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 20.10.2020, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE!
... Dieses Mal probieren wir, ob es mit Jitsi Meet ohne
Zeitbeschrängung besser geht ;-). <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: The Web Cryptography API: Do not Trust Anybody! (Michael Fuchs)
Die zunehmende Verbreitung von Webapps, insbesondere von Single Page Applications, erfordert vermehrt die Implementierung von kryptografischen Funktionen in Javascript zur Ausführung im Browser. Ganz im Sinne von "Don't build your own crypto" hat das W3C mit der Web Crypto API einen Standard für eine Reihe von low-level kryptografischen Operationen veröffentlicht. So können Schlüsselerzeugung, Hashing, Verschlüsselung und Signierung direkt im Browser geschehen.
Der Vortrag stellt die API sowie ihre Funktionen vor und berichtet aus der Praxis von der Implementierung mit ihr.
Michael Fuchs ist Software Developer bei inovex in München.
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Torsten Gigler
Torsten Gigler
Einladung zum (114.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 17.11.2020, um 19:00 Uhr.
>>> ACHTUNG: Dieses Mal auch wieder ONLINE mit Jitsi Meet! <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: Cyber-Angriffe auf KI-Algorithmen [Cyberattacks against AI] (Nurullah Demir)
Künstliche Intelligenz (KI) findet heute in vielen Bereichen seinen Einsatz: Gesichtserkennung, selbstfahrende Autos, Sprachassistenten, Diagnose von Krankheiten… Sie bringt viele Vorteile mit sich. Allerdings sind diese Systeme, auch wie viele andere IT-Systeme, verwundbar: Entscheidungen von KI-Algorithmen können manipuliert werden.
- In diesem Vortrag zeigen wir die Methoden, wie Angreifer Entscheidungen der KI-Algorithmen manipulieren. Z.B. wie ein Stopp-Schild von KI als Verkehrszeichen “70” erkannt wird, obwohl wir Menschen nichts anormales auf dem Stopp-Schild erkennen. Der Vortrag ist auch für Einsteiger in den Themenbereich KI geeignet.
Nurullah Demir ist seit mehr als 10 Jahre im Bereich Web Security unterwegs. Er hat seinen Master in Internet Sicherheit am Institut für Internet-Sicherheit, if(is), der Westfälischen Hochschule (internet-sicherheit.de) absolviert, wo er gerade Doktorand ist. Er forscht zurzeit über künstliche Intelligenz im Hinblick auf Cyber-Security, robuste Schutzmechanismen für Web und Open-Source-Intelligence (OSINT). Er liebt Web und Sicherheit und ist Fechter.
- Infos vom German-Chaper-Meeting am 16.11.2020
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Torsten Gigler
Einladung zum (115.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 19.01.2021, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
mit Jitsi Meet! <<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Hallo und alles Gute für 2021!
Wir sind schon 'mitten im Januar' und es wird wieder Zeit für
den nächsten Münchner Online-OWASP-Stammtisch:
Agenda:
-
Vortrag: Containers make the world go round (Dirk Wetter)
Containerisierungen sind hip, aus gutem Grund -- aus Entwicklersicht zumindest. Es passt besser in agile Softwareentwicklung, der Weg vom Test zum Deployment in der Produktion ist mega-kurz, man kann vieles schön automatisieren und der Sysadmin kann einem nicht mehr im Weg rumstehen, da man ihm kein Deployment über den Zaun mehr werfen muss. Also vielleicht auch deswegen ein cooles Ding für Softwareentwickler.
Der Marketing-Hype ist zwar stiller geworden, aber ab und wann bekommt man immer noch suggeriert, wer nicht DevOps mit Containern und auf den letzten Schiet setzt, hat den Anschluss an unbedingt zu bedienende Trends und an die Welt verloren. Das Ganze geht dann so weit, dass auch in Umgebungen, wo es aus es aus Know-How-Gründen betrieblich gar nicht passt, es trotzdem gemacht wird.
Was kann da schon schiefgehen ??
Einer der Haken ist, dass der durchschnittliche Entwickler halt fern von Dingen ist wie System- und Netzwerk-Security oder -Architektur. Auch wenn heute mehr Mitarbeiter mit Kubernetes-/Rancher-/OKD-/younameit-Know-How zu finden sind, wachsen die a) nicht auf Bäumen b) bleibt das Ganze komplex in puncto Systeme und Netze und kommt nicht immer mit den besten Defaults.
Auch wenn man die Grundlagen halbwegs drauf hat, wird man nicht gleich zum Netz- und Systemsicherheitsarchitekten.
Dirk versucht sich mit Rants zurückzuhalten und in den knappen 45-60 min sich auf die wichtigsten Bedrohungen zu konzentrieren, auf die er bei Containerumgebungen gestoßen ist, in der Hoffnung, dass alles besser wird. Das Ganze ist Teil eines FLOSS-Projekts, den OWASP Docker/Container Top 10.
Bio
~ OWASP (Life time member, Deutsches Board, Hamburger Stammtisch, AppSec 2013, etc. pp.)
~ testssl.sh
~ Selbständiger Security-Berater seit ziemlich genau 11 Jahren
- Infos vom German-Chaper-Meeting am 16.12.2020
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Torsten Gigler
Einladung zum (116.) Münchner OWASP-Stammtisch als ONLINE-Version dieses Mal am 4. Di, 23.02.2021, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: Moderne Starke Authentifizierung - Wie kann ich meine Accounts vor Zugriff schützen? (Peter Trapp)
Wer kennt die Sätze nicht: “Ich habe nur 1 Passwort das ich mir merken kann.” oder “Was soll es bedeuten, dass ich für jeden Service ein neues verwenden soll? Wie soll das gehen?”
Also mal ehrlich: Wer mag denn schon Passwörter? Also weg damit!
Nach einem kurzen anschaulichen Einblick wie unsere Verschlüsselung funktioniert und welche Formen und Ausprägungen verwendet werden, besprechen wir Challenge-Response Verfahren und wie diese in moderner starker Authentifizierung eingesetzt werden. Das Ganze betrachten wir anhand von FIDO2 und verbinden damit die Theorie mit der Praxis anhand echter Beispiele.
Bio:
Prof. Dr. Peter Trapp wurde zum 01.10.2017 auf das Lehrgebiet “Sichere IT-Systeme” an die Hochschule München berufen. Er ist dort für den Masterstudiengang IT-Sicherheit verantwortlich: “Ich freue mich immer über leuchtende Augen wenn das neue Wissen in die Köpfe sinkt (vor allem auch bei mir).”
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Allgemeines:
Spread the word:
Torsten Gigler
Torsten Gigler
Einladung zum (117.) Münchner OWASP-Stammtisch als ONLINE-Version dieses Mal am letzten Di, 30.03.2021, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: Ransom Angriff, was tun? – Im Morgengrauen des „Day after“ (Ralf Reinhardt, Dr. Hermann Gumpp)
Lösegeldforderungen haben sich schon seit langem als eines der lukrativsten Geschäftsmodelle für Cyberkriminelle erwiesen. Doch wer denkt, ein gutes Backup würde vor Ransomware schützen, muss eines Besseren belehrt werden, denn es mehren sich in letzter Zeit sogenannte “double extorsion attacks”, bei denen die Angreifer damit drohen, erbeutete Daten im Internet zu veröffentlichen und Firmen durch weitere Angriffe zu schädigen, wenn den Lösegeldforderungen nicht nachgegangen würde.
Die Vortragenden berichten aus der Praxis über typische Muster und Abläufe von Ransomware-Angriffen und zeigen best Practices zur Schadensbegrenzung, Forensik, Wiederherstellung der betroffenen Daten für die neu aufzusetzenden IT-Systeme und für das Krisenmanagement auf.
Während es im ersten Teil um die technischen Aspekte von Ransonware-Angriffen geht, werden im zweiten Teil Melde- und Dokumentationspflichten nach DSGVO behandelt. Denn oft dringen bei den durch die Ransomware verursachten Datenlecks zahlreiche personenbezogene Daten von Mitarbeitern, Kunden oder Geschäftspartnern nach außen, weshalb datenschutzrechtliche Aspekte, insbesondere die 72-stündige Meldepflicht zu berücksichtigen sind.
Bios:
Ralf Reinhardt ist ein IT-Sicherheitsexperte mit den Schwerpunkten Penetrationstests, Incident Response (“Vorfallsbewältigung”) und IT-Forensik. Er ist seit vielen Jahren Lehrbeauftragter an aktuell drei deutschen Hochschulen u.a. für “Application Security” und “Ethical Hacking”. Ralf ist ein “OWASP-Urgestein”, gründete unseren Münchner OWASP-Stammtisch und war lange Jahre Organisator. Bei Projekten und Übersetzungen des German OWASP Chapters ist Ralf Reinhard seit Jahren aktiv (z.B. Übersetzung der “OWASP Top 10”, OWASP-Review des Entwurfs des “IT-Grundschutzbausteins Webanwendungen” des BSI). Er ist Geschäftsführer und Principal Consultant der CYBEReinhardt GmbH in Gröbenzell bei München.
Dr. Hermann Gumpp ist Special Advisor Cybersecurity & Data Protection beim Deutsch-Japanischen Wirtschaftskreis (DJW) und war viele Jahre Webmaster und Mitglied der Rechnerbetriebsgruppe der Fakultät für Physik der LMU München sowie wissenschaftlicher Mitarbeiter am National Institute for Informatics (NII), Tokyo. Das Physikstudium und die Promotion hat der an der LMU München absolviert. Dr. Hermann Gumpp ist seit jeher Verfechter von freier und quelloffener Software, Mitbegründer der Linux Usergroup Rosenheim und ehemaliger Co-Organisator der OpenSolaris Usergroup München. Er ist seit 2018 Geschäftsführer der Enobyte GmbH in München.
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Torsten Gigler
Einladung zum (118.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 15.06.2021, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag (in Englisch): Discount Phish – Burn Better (Magnus Klaaborg Stubman)
Do you wonder how life is as an attacker seeking to conduct a successful (spear) phishing campaign? "Discount Phish Burn Better" is a talk about how an attacker can improve his odds of successfully phishing a victim by reducing the cost of payload/malware development.
Bio:
Magnus started his career as a software developer and later turned his attention to Cyber Security, specifically attack and penetration testing, both digital and physical. Today Magnus specialize in Red Teaming.
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Torsten Gigler
* Lightning-Talks/Diskussionen:
~ Diskussion: Rückkehr zum Präsenz-Meeting/hybrides Meeting
Torsten Gigler
Einladung zum (119.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 20.07.2021, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag (in Englisch): Discount Phish – Burn Better (Magnus Klaaborg Stubman)
Do you wonder how life is as an attacker seeking to conduct a successful (spear) phishing campaign? "Discount Phish Burn Better" is a talk about how an attacker can improve his odds of successfully phishing a victim by reducing the cost of payload/malware development.
Bio:
Magnus started his career as a software developer and later turned his attention to Cyber Security, specifically attack and penetration testing, both digital and physical. Today Magnus specialize in Red Teaming.
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Torsten Gigler
Einladung zum (120.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 19.10.2021, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag (in Englisch): The making of the OWASP Top 10:2021 and beyond (Brian Glas)
Ever wonder how the bread is made? We'll take you back into the kitchen so you can see how the Top 10:2021 was made. We'll walk through the process of which decisions were made and why. Covering data collection, survey, data analysis, categorization, drafts, reviews, and the released product. This talk is not about what's in the Top 10, this talk is about what went into making the Top 10:2021.
Bio:
Brian Glas: Co-lead OWASP Top 10; Union University, Assistant Professor Of Computer Science
Brian has over 20 years of experience in various roles in IT and over a decade and a half of that in application development and security. His day job is serving as an Assistant Professor teaching a full load of Computer Science and Cybersecurity classes at Union University. He helped build FedEx's AppSec team, worked on the Trustworthy Computing team at Microsoft, consulted on software security for years, and served as a project lead and active contributor for SAMM v1.1-2.0+ and OWASP Top 10:2017 and 2021. Brian is a contributor to the RABET-V Pilot Program. He holds several Cybersecurity and IT certifications and is currently working on his Doctor of Computer Science in Cybersecurity and Information Assurance
-
Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Torsten Gigler
Einladung zum (121.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 16.11.2021, um 19:00 Uhr (morgen).
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag (in Englisch): Lessons from the trenches: Cyber Defense@work (Jens Bitter)
- Aufgaben eines Cyber Defense Centers
- Einbettung in Unternehmensstrukturen
- Incident Response (Phasenmodell)
- Kritische Erfolgsfaktoren (auch anhand von Fallbeispielen)
Bio:
Jens Bitter ist seit > 35 Jahren in der IT-Sicherheit unterwegs. Vom Hacker professionalisiert ins IT-Sicherheits- und Risikomanagement sowie Compliance / Audit. Er unterstützt und berät Unternehmen im Enterprise-Bereich als Interims-Manager in den Rollen CISO, IT- Governance / -Risk / -Compliance / -Security Manager oder Cyber Security Architekt / Advisor.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Hallo zusammen,
Einladung zum (121.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 16.11.2021, um 19:00 Uhr (morgen).
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...
>>> ACHTUNG: Dieses Mal auch wieder ONLINE <<<
>>> Bitte meldet Euch vor dem Meeting beitorsten<Punkt>gigler<ät>owasp<Punkt>organ, da die Anzahl der möglichen Teilnehmer begrenzt ist. <<<
>>> Bitte nicht an die ganze Liste 'antworten' ... ;-) <<<Agenda:
- Aufgaben eines Cyber Defense Centers
- Einbettung in Unternehmensstrukturen
- Incident Response (Phasenmodell)
- Kritische Erfolgsfaktoren (auch anhand von Fallbeispielen)
Bio:
Jens Bitter ist seit > 35 Jahren in der IT-Sicherheit unterwegs. Vom Hacker professionalisiert ins IT-Sicherheits- und Risikomanagement sowie Compliance / Audit. Er unterstützt und berät Unternehmen im Enterprise-Bereich als Interims-Manager in den Rollen CISO, IT- Governance / -Risk / -Compliance / -Security Manager oder Cyber Security Architekt / Advisor.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Hallo zusammen,
Einladung zum (121.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 16.11.2021, um 19:00 Uhr (morgen).
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...
>>> ACHTUNG: Dieses Mal auch wieder ONLINE <<<
>>> Bitte meldet Euch vor dem Meeting beitorsten<Punkt>gigler<ät>owasp<Punkt>organ, da die Anzahl der möglichen Teilnehmer begrenzt ist. <<<
>>> Bitte nicht an die ganze Liste 'antworten' ... ;-) <<<Agenda:
- Aufgaben eines Cyber Defense Centers
- Einbettung in Unternehmensstrukturen
- Incident Response (Phasenmodell)
- Kritische Erfolgsfaktoren (auch anhand von Fallbeispielen)
Bio:
Jens Bitter ist seit > 35 Jahren in der IT-Sicherheit unterwegs. Vom Hacker professionalisiert ins IT-Sicherheits- und Risikomanagement sowie Compliance / Audit. Er unterstützt und berät Unternehmen im Enterprise-Bereich als Interims-Manager in den Rollen CISO, IT- Governance / -Risk / -Compliance / -Security Manager oder Cyber Security Architekt / Advisor.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Einladung zum (122.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 18.01.2022, um 19:00 Uhr (morgen).
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: Cyber Incident-Simulation mit Backdoors & Breaches (Klaus-E. Klingner)
Is your team ready to act, when a hacker attacks? Does everybody know what to do and where the processes are documented? The only way to mak sure everybody is ready for the crisis is training, training, training. But doing Cyber Security Incident Training has its special challenges. Which scenario to choose? how to set the scene? It can be either a chore or it can be a lot of fun!
Practice over the last months has shown that using a gamified approach has the best chances of making such a training session successful for all involved. To facilitate this approach a card game called “Backdoors & Breaches” was developed and created by Blackhills Information Security and adapted to an online version by Klaus (https://bnb.silverday.de). In this talk he would like to introduce the audience to the “game” and show the participants how they can use this free tool in their own environment.
Klaus-E. Klingler stellt uns das Spiel vor und wir reisen mit ihm im Rahmen einer interaktiven Demo in die Simulationswelt …
“Ein Hacker behauptet Zugriff auf sensitive Informationen Deines Unternehmens zu haben und droht diese zu veröffentlichen, falls ihm nicht eine erhebliche Summe in Bitcoins gezahlt wird. Es liegt an Dir und Deinem Team herauszufinden, wie (und ob …) der Hacker in Euer System eingedrungen ist, wie er sich im Netz bewegt, seinen Zugriff persistiert und letztendlich wie er die Daten heruntergeladen hat.” (https://bnb.silverday.de/game/index.php?gamekey=392f15ab-6c67-4688-9e2d-50c2495c936f)
Looking forward to see you in the game!
Bio:
Klaus-E. Klingner arbeitet als Divisional Information Security Officer bei Allianz Technology SE im Bereich Business Applications. Eines seiner Arbeitsgebiete ist Security Awareness für Entwickler und das Training von Cyber Security Professionals.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Torsten Gigler
Hallo zusammen,
Einladung zum (122.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 18.01.2022, um 19:00 Uhr.
Torsten Gigler
Einladung zum (123.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 15.03.2022, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: Dynamic Application Security Testing (DAST) Scanner - Technik, Betrieb und 'Backstage-Informationen' (René Milzarek)
Der Betrieb eines Dynamic Application Security Testing (DAST) Scanners stellt einige Herausforderungen auf der Menschlichen als auch Technologischen Seite. Welche Limitierungen hat ein DAST Scanner beim automatischen Scannen von Webanwendungen? Mit welchen Erwartungshaltungen müssen wir bei unseren Nutzern umgehen? Wie funktioniert ein DAST Scanner im großen Maßstab von technischer Seite? René Milzarek gibt in diesem Vortrag auch einen Blick hinter den "Vorhang" eines DAST Scanner Anbieters.
Short-Bio:
René Milzarek studierte an der Technischen Universität München (TUM) Informatik mit Schwerpunkt auf IT-Sicherheit. Nach seinem Abschluss gründete er 2017 mit Kommilitonen das Startup Crashtest Security welches einen DAST Scanner für moderne Webanwendungen anbietet. Als Gründer verantwortet er die gesamte Technologie des Services und entwickelt auch selbst am JavaScript Crawler.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Torsten Gigler
Einladung zum (124.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 17.05.2022, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: Changed responsibilities in modern software development environments (Martin Knobloch)
Short:
Agile, CI/CD and Dev[Sec]Ops are mentioned more often than not interchangeable but they are not. With the current security initiated shift-left paradigm, what is changed in and around software development with the regards of [application] security responsibilities?
Long:
With the business increased the pressure and demand for flexibility of the development team, the agile movement was pushed to the limits. CI/CD was born to reduce manual steps to reduce human errors and increase speed to go-live! Last not least, with DevOps the teams took application responsibilities, from cradle to grave.
Many security teams still struggling on catching up with the current speed of software development and releases.
Software security knowledges and experience is missing in most full-stack developers' resumes. Application security is kept out of the develoment teams responsibility and regarded as a responsibility of the security department. Pitty, because agile, CI/CD and DevOps are security enabling practices!
Moving security verification towards the development team, via the security satellites of the DevOps team. Having control over the continious security posture of your software assets by security trends rather than by counting vulnerabilities.
This session is explaining Shift-left, early security enablement in the development Lifecycle. As the application development becomes more developer centric, the developer’s toolset must match the new challenges to have responsibilities matching capabilities. Learn from rugged software to supply chain cleanliness.
Learn to avoid the common pitfalls and benefits of modern application development strategies. Hear why security champions programmes tend to fail, compliance driven security training is a waste of time and money. Security teams struggle and fail to integrate security tooling in release pipelines.
Take back the best practices, proven solutions and Shift Left beyond the development. Moving security verification into the developers responsibility. Transforming the security role from tool operator to mentoring and monitoring.
Short-Bio:
Martin Knobloch, Global AppSec Strategist with CyberRes, a Micro Focus line of business, is a long-time security leader with more than 15 years of experience in the field of Cyber security. With a background in software development and architecture, his focus is on software security. Martin is actively involved in OWASP where he is a frequent contributor to various projects and initiatives, as well as a member of the Board of Directors. During his career, Martin has been a recognized teacher, guest lecturer at various universities and invited speaker and trainer at local and international software development, testing and security conferences throughout the world.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Restplätze sind noch zu haben ;-).
Torsten Gigler
Einladung zum (125.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 21.06.2022, um 19:00 Uhr.
>>> ACHTUNG:
Dieses Mal auch wieder ONLINE
<<<
>>> Bitte meldet Euch
vor dem Meeting bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
da die Anzahl der möglichen Teilnehmer begrenzt ist.
<<<
>>> Bitte nicht an die ganze
Liste 'antworten' ... ;-) <<<
Agenda:
-
Vortrag: OWASP MSTG: Curious exploits and how to protect them (André Carvalho and Daniel Schwendner)
OWASP Mobile Application Security Verification Standard (MASVS) and Mobile Security Testing Guide (MSTG) provide guidelines on how to protect mobile applications.
In this presentation we will look at some of the most curious mobile app exploits, the many ways things can go wrong, and also how you can secure your mobile application correctly by applying the guidelines of MASVS and MSTG.
The presentation is given in English.
Short-Bios:
* André Carvalho is a software engineer at Guardsquare.
With a background in the consulting field, he is part of the AppSweep development team and he is currently focusing on OWASP and MAST.
* Daniel Schwendner is a software developer at Guardsquare and master’s student at the TUM.
He is a cyber security enthusiast: with a background in software development and DevOps, his focus is on mobile application security in the AppSweep development team.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
Hallo zusammen,
Einladung zum (125.) Münchner OWASP-Stammtisch als ONLINE-Version am Di, 21.06.2022, um 19:00 Uhr.
... wir freuen uns über neue Teilnehmer und 'Stammgäste' ...
>>> ACHTUNG: Dieses Mal auch wieder ONLINE <<<
>>> Bitte meldet Euch vor dem Meeting beitorsten<Punkt>gigler<ät>owasp<Punkt>organ, da die Anzahl der möglichen Teilnehmer begrenzt ist. <<<
>>> Bitte nicht an die ganze Liste 'antworten' ... ;-) <<<Agenda:
OWASP Mobile Application Security Verification Standard (MASVS) and Mobile Security Testing Guide (MSTG) provide guidelines on how to protect mobile applications.
In this presentation we will look at some of the most curious mobile app exploits, the many ways things can go wrong, and also how you can secure your mobile application correctly by applying the guidelines of MASVS and MSTG.
The presentation is given in English.
Short-Bios:
* André Carvalho is a software engineer at Guardsquare.
With a background in the consulting field, he is part of the AppSweep development team and he is currently focusing on OWASP and MAST.
* Daniel Schwendner is a software developer at Guardsquare and master’s student at the TUM.
He is a cyber security enthusiast: with a background in software development and DevOps, his focus is on mobile application security in the AppSweep development team.
- Freie Diskussion, bringt bitte Themen mit!
- Wir suchen noch Vorträge für die kommenden Stammtische!
Torsten Gigler
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, dann können wir Euch zusenden, wo wir einen
Tisch im Biergarten gefunden haben. <<< Ort: Biergarten 'Augustiner-Keller', Arnulfstr. 52, 80335 München
- Wir suchen noch Vorträge für die kommenden Stammtische (ab September)!
Torsten Gigler (OWASP)
Torsten Gigler (OWASP)
Bitte melde Dich bei Torsten, wenn Du einen interessanten Vortrag über ein Thema der Application- oder IT-Security halten möchtest.
Torsten Gigler
Den nächsten Münchner Stammtisch planen wir für 11. bzw. 18. Oktober. Bitte melde Dich bei uns, wenn Du einen Vortrag halten möchtest.
Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas und Torsten)
Torsten Gigler
Hallo zusammen,
Torsten Gigler
Eine
Woche früher
als sonst,
findet der OWASP-Stammtisch
in München
vor Ort, in unserer Stamm-Gaststätte 'Hackerhaus',
am Dienstag
, den 11.10.2020,
um 19:00 Uhr
statt. Je nach
Anzahl der
Teilnehmer:innen
treffen wir
uns an einem
(großen) Tisch
(im EG) oder
fragen nach
dem
Klavierzimmer
(im Keller).
Wir freuen
uns über neue
Teilnehmer:innen und 'Stammgäste'.
>>>
Bitte meldet
Euch
bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
damit wir
wissen, für
wie viele
Personen wir
reservieren
können..
<<<
(Bitte einfach am Tresen nach dem "OWASP-Stammtisch" fragen).
Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht ;-).
Torsten Gigler
Eine
Woche früher
als sonst,
findet der OWASP-Stammtisch
in München
vor Ort, in unserer Stamm-Gaststätte 'Hackerhaus',
am Dienstag
, den 11.10.2022,
um 19:00 Uhr
statt. Je nach
Anzahl der
Teilnehmer:innen
treffen wir
uns an einem
(großen) Tisch
(im EG) oder
fragen nach
dem
Klavierzimmer
(im Keller).
Wir freuen
uns über neue
Teilnehmer:innen und 'Stammgäste'.
>>>
Bitte meldet
Euch
bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an,
damit wir
wissen, für
wie viele
Personen wir
reservieren
können..
<<<
Torsten Gigler (OWASP)
Torsten Gigler
Hallo Zusammen,
Eine Woche später als sonst, findet der
(128.) OWASP-Stammtisch in München an
einem neuen Ort, dem 'Café am Josephsplatz'
(U2 Josephsplatz) am Dienstag, den 24.01.2023
um 19:00 Uhr statt.
Das Klavierzimmer in unserer bisherigen Stamm-Gaststätte
‘Hackerhaus’ gibt es leider nicht mehr. Wir sind froh,
einen neuen Treffpunkt gefunden zu haben, an dem wir
Vorträge halten dürfen und hoffen, Ihr kommt gut zum
Josephsplatz. Die U2 kreuzt die S-Bahn-Stammstrecke am
Hauptbahnhof und das Café ist direkt südlich der
U-Bahn-Haltestelle ‘Josephsplatz’, Ausgang F.
>>> Wir suchen noch einen Vortrag für
den Stammtisch! Bitte melde Dich bei uns, wenn
Du ein Thema aus dem Bereich IT-Sicherheit oder
Informationssicherheit für uns hast. <<<
>>> Bitte meldet Euch bei torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<<
Ort:
Café am Josephsplatz, Augustenstraße 112, 80798 München
(https://www.cafe-am-josephsplatz.de/)
U2
Josephsplatz, Ausgang F im Süden
Zeit:
Dienstag, 24.01.2023 um 19:00 Uhr
OWASP
Am 06.01.2023 um 15:36 schrieb Torsten Gigler <torsten...@owasp.org>:
--
You received this message because you are subscribed to the Google Groups "Germany chapter" group.
To unsubscribe from this group and stop receiving emails from it, send an email to germany-chapt...@owasp.org.
To view this discussion on the web visit https://groups.google.com/a/owasp.org/d/msgid/germany-chapter/bf14ce64-a741-c060-ac77-073089c70166%40owasp.org.
Torsten Gigler (OWASP)
Hallo zusammen,
Ich hoffe, wir sehen uns heute und oder morgen beim German OWASP Day in Frankfurt.
Save the Date: Der (130.) OWASP-Stammtisch in München findet im Café am Josephsplatz (U2 Josephsplatz) am Dienstag, den 20.06.2023 um 18:xx Uhr statt.
Info und Abstimmung:
18:xx: Da wir für April und Mai den Raum nicht
reservieren konnten und auch keine gute Alternative gefunden haben,
haben wir nochmal mit dem Wirt gesprochen. Ihm würde es sehr entgegen
kommen, wenn wir früher anfangen und bei schlechtem Wetter in Absprache
ab 20:00 Uhr aufhören. Wir haben eine Umfrage erstellt, ob Ihr um 18:00 oder/und um 18:30 Uhr anfangen wollt https://dud-poll.inf.tu-dresden.de/owasp-muc_anfangszeit_ab_202306__2efUYICPZ/. Bitte stimmt bis 2.6. ab. Wir hoffen, das ist für Euch OK.
>>> Bitte meldet Euch an, damit wir wissen, für wie viele Personen wir reservieren können. <<<
Torsten Gigler
- Aus dem Nähkästchen der BSides Munich (Christoph
Kemetmüller)
BSides Munich ist eine unabhängig organisierte Security Veranstaltung im Raum München, die lokale und internationale Experten zusammenbringt.
Bei der BSides Munich steht der Austausch von Ideen und Erfahrungen ebenso wie das Knüpfen von professionellen Kontakten im Mittelpunkt.
Die Veranstaltung ist als Ableger der MUC:SEC Meetup-Gruppe entstanden und für die Teilnehmer kostenlos.
Wir werden folgende Fragen gemeinsam beantworten
- Was ist denn eigentlich BSides, was ist die Idee?
- Was ist die Zielgruppe?
- Wie grenzt sich BSides von anderen Veranstaltungen ab?
- Was steckt denn hinter so einer Veranstaltung
- Wie kann man sich beteiligen
- Gemeinsamer Rückblick auf den German OWASP Day 2023 in
Frankfurt (Torsten Gigler & alle, die dort waren)
Wir wollen gemeinsam den German OWASP Day inkl. Chapter-Meeting Revue passieren lassen, dazu sind alle Teilnehmer:innen eingeladen, Ihre persönlichen Highlights vorzustellen.
Schönen Gruß und bis Dienstag,
Orga-Team für den Münchner OWASP Stammtisch (Christoph, Thomas
und Torsten)
Torsten Gigler
>>> Bitte meldet Euch an, damit wir wissen, für wie viele Personen wir (nach-)reservieren können. <<<
Torsten Gigler
Wir freuen uns über neue
Teilnehmer:innen und 'Stammgäste'.
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele Personen
wir reservieren können.. <<< - Vortrag: Titel: BadUSB - Invasion der
Gummientchen mit Klaus-E. Klingner
Unsere Clients sind mittlerweile mit Antviren-Programmen, EDR und XDR gut abgesichert. Denken wir jedenfalls. Und wenn wir damit Software und Netzwerk meinen mag das auch stimmen.
Sobald aber jemand direkten Zugriff auf unseren Laptop oder PC hat sieht das ganze anders aus. Sie haben die USBports gesperrt? Aber nur für Massenspeicher. Tastaturen, Netzwerk-Karten und Maus sind immer noch erlaubt. Es reichen 20 Sekunen um einen Rechner komplett zu kompromittieren. Und genau das machen sich BadUSB Devices zunutze. In diesem Vortrag stelle ich diverse BadUSB Devices vom original RubberDucky bis zum DoItYourself custom device vor.
- Lightning-Talk: git ist kein Repository - git is terrible! mit Achim Hoffmann
* Freie Diskussion, bringt bitte Themen mit!
- * Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 18.07.2023 um 18:30 Uhr
Torsten Gigler
Hallo zusammen,Nächsten Dienstag, den 18.07.2023, 18:30 Uhr findet der OWASP-Stammtisch in München im Café am Josephsplatz statt.
Wir freuen uns über neue Teilnehmer:innen und 'Stammgäste'.
>>> Bitte meldet Euch bei
torsten<Punkt>gigler<ät>owasp<Punkt>organ, damit wir wissen, für wie viele Personen wir reservieren können.. <<<
Agenda:
- Vortrag: Titel: BadUSB - Invasion der Gummientchen mit Klaus-E. Klingner
Unsere Clients sind mittlerweile mit Antviren-Programmen, EDR und XDR gut abgesichert. Denken wir jedenfalls. Und wenn wir damit Software und Netzwerk meinen mag das auch stimmen.
Sobald aber jemand direkten Zugriff auf unseren Laptop oder PC hat sieht das ganze anders aus. Sie haben die USBports gesperrt? Aber nur für Massenspeicher. Tastaturen, Netzwerk-Karten und Maus sind immer noch erlaubt. Es reichen 20 Sekunen um einen Rechner komplett zu kompromittieren. Und genau das machen sich BadUSB Devices zunutze. In diesem Vortrag stelle ich diverse BadUSB Devices vom original RubberDucky bis zum DoItYourself custom device vor.
- * Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die kommenden Stammtische
Torsten Gigler (OWASP)
Wir freuen uns über neue
Teilnehmer:innen und 'Stammgäste'.
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele Personen
wir reservieren können.. <<< - Vortrag: Threat Modeling DevOps with OWASP Cumulus mit Christoph Niehoff
Abstract: Modern DevOps engineers are responsible for their product's security throughout each and every step of the delivery cycle. Framing this as "DevSecOps" can be intimidating as it introduces security as "yet another player" in the game and leaves the fact aside that every DevOps should be secure. In this talk we will discuss threat modeling as a lightweight approach to integrate security into DevOps processes and introduce OWASP Cumulus as a serious game for threat modeling the clouds (i.e. for threat modeling the "Ops" of DevOps). Der findet je nach Wunsch in Deutsch oder Englisch statt.
- Lightning-Talk: git, warum nicht?!? mit Achim Hoffmann
* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 19.09.2023 um 18:30 Uhr
Torsten Gigler
Torsten Gigler
Wir freuen uns über neue Teilnehmer:innen und
'Stammgäste'.
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können.. <<< Clemens wiederholt für uns seinen Vortrag auf dem German OWASP Day 2023:
Mit der Veröffentlichung der WebAuthn-Spezifikation im März 2019 wurde eine vielversprechende Option für passwortlose Authentifizierung in Webbrowsern vorgestellt. Bis zum letzten Jahr wuchs die Adaption in Websites und Anwendungen jedoch nur langsam. 2022 haben sowohl Google als auch Apple die Integration von Passkeys in ihre Ökosysteme angekündigt, was auf weiteren Fortschritt hoffen lässt. Dieser Vortrag erläutert die Grundlagen von passwortloser Authentifizierung mit WebAuthn und erklärt den Stand der Adaption sowohl auf Client- als auch auf Serverseite. Er wird sich dann auf die neuesten Entwicklungen mit Passkeys konzentrieren: Wohin entwickeln sich die Bemühungen um die Ablösung des Passworts? Welche Neuerungen gibt es für Entwickler:innen und Architekt:innen von Web-Anwendungen? Welche Funktionen erleichtern oder erschweren die Verwendung in Web-Anwendungen?
Während des Talks werden die Teilnehmer die Prinzipien von WebAuthn verstehen. Sie lernen die Möglichkeiten und Anwendungsfälle von Passkeys kennen und erfahren, wie diese Funktionen in neue oder bestehende Anwendungen integriert werden können. Der Vortrag gibt außerdem Impulse zur Diskussion über die Zukunft der Technologie.
Clemens Hübner studierte Mathematik und Informatik und schloss mit einer Masterarbeit zur Sicherheit in agilen Entwicklungsmodellen ab. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex. Dort begleitet er heute Entwicklungsprojekte auf Konzeptions- und Implementierungsebene, schult Kolleg:innen und berät zu DevSecOps.
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 17.10.2023 um 18:30 Uhr
Torsten Gigler
Torsten Gigler
Wir freuen uns über neue Teilnehmer:innen und
'Stammgäste'.
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können.. <<< Sprachmodelle wie z.B ChatGPT spielen eine zunehmende Rolle in unserem Alltag. In dem Vortrag werden Sprachmodelle vorgestellt. Anschließend werden einige Angriffstechniken insbesondere Autopoison und dessen Gegenmaßnahmen diskutiert.
Van Nguyen studiert Informatik und arbeitet im Bereich IT-Sicherheit.
* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 21.11.2023 um 18:30 Uhr
Torsten Gigler
Torsten Gigler
>>> Wir suchen noch einen Vortrag für den Stammtisch! Bitte melde Dich bei uns, wenn Du ein Thema aus dem Bereich IT-Sicherheit oder Informationssicherheit für uns hast. <<<
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< * Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 16.01.2024 um 18:30 Uhr
Torsten Gigler
Wir freuen uns über neue Teilnehmer:innen und 'Stammgäste'.
>>> Bitte meldet Euch bei
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< Erfahrungen beim SOC-Outsourcing und der Dienstleistersteuerung (Retained-Organisation).
Zur Person: Jens Bitter, seit mehr als 20 Jahren selbstständig als Interim-Manager / CISO, CyberSecurity Advisor im Bereich IT Governance, Risk & Security Management.
* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 16.01.2024 um 18:30 Uhr
Torsten Gigler
Torsten Gigler
>>> Wir suchen noch einen Vortrag für den Stammtisch! Bitte melde Dich bei uns, wenn Du ein Thema aus dem Bereich IT-Sicherheit oder Informationssicherheit für uns hast. <<<
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< * Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 27.02.2024 um 18:30 Uhr
Torsten Gigler
bzw. https://github.com/OWASP/www-project-top-10-for-large-language-model-applications/tree/main/1_1_vulns
Torsten Gigler
(Heute ist das Online-Meeting des German Chapters zum Thema German OWASP Day 2024: https://owasp.org/www-chapter-germany/chapter_meetings/)
Wir freuen uns über neue Teilnehmer:innen und 'Stammgäste'.
>>> Bitte meldet Euch bei
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< Natürlich steht ‘OWASP’ nicht wirklich für “OWASP – What a Sensational Project”, sondern für “Open Worldwide Application Security Project”, wobei die erste Langversion des Namens auch gut passen würde.
In diesem Talk stellt Christian die weltweite Non-Profit-Organisation, die sich der Anwendungssicherheit verschrieben hat, vor und geht auf ein paar der ‘Flagship Projekte’ ein und stellt sie kurz vor. Auch wenn der Sitz von OWASP in den USA ist, gibt es in Deutschland durchaus Möglichkeiten mitzuwirken – in Projekten und Stammtischen wie hier – Spoiler: Jetzt sogar in Augsburg! :-).
Christian Kölbl ist IT-Security-Architekt in einer KdöR und trägt dazu bei, dass sich Gesundheitsdaten nicht in fremde Hände verirren. Seine Haupttätigkeiten umfassen hierbei DevSecOps, Supply Chain Risk Minimization, Awareness Schulungen und Beratung zu IT-Security.
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 23.04.2024 um 18:30 Uhr
Torsten Gigler
-------- Weitergeleitete Nachricht --------
| Betreff: | Einladung zum 137. Münchner OWASP-Stammtisch am 23.04.2024, 18:30 Uhr, Café am Josephsplatz (nächste Woche) |
|---|---|
| Datum: | Tue, 16 Apr 2024 08:54:16 +0200 |
| Von: | Torsten Gigler <torsten...@owasp.org> |
| An: | germany...@owasp.org |
Torsten Gigler
Wir freuen uns über neue Teilnehmer:innen und 'Stammgäste'.
>>> Bitte meldet Euch bei
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< Die Verschlüsselung der Übertragung von Daten (Data in Transit) mithilfe von TLS hat sich inzwischen als 'Best Practice' etabliert. Sobald ein Zertifikat erworben oder automatisch eingerichtet wurde, kann die Verschlüsselung inzwischen auch auf Servern meist relativ einfach 'eingeschaltet' werden.
Reicht das? Lohnt es sich nachzuprüfen, was da aktiviert wurde? Wie geht das?
Achim zeigt uns am Beispiel des, von ihm als OWASP-Projekt entwickelten SSL/TLS-Test-Tools 'O-Saft', wie wir diese Tests einfach für verschiedene Protokolle durchführen können. Die Interpretation der Ergebnisse und worauf es dabei ankommt, wird anhand von Beispielen aus der Praxis gezeigt und mit den Teilnehmern des Stammtischs diskutiert.
Achim Hoffmann ist als 'OWASP-Urgestein' ein langjähriger (>25 Jahre), auf Web Application Security spezialisierter Berater, (Pen-)Tester, Trainer und Sprecher; Er ist Board Member von OWASP-Germany und OWASP-Project-Leader u.a. für O-Saft
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 18.06.2024 um 18:30 Uhr
Torsten Gigler (OWASP)
Torsten Gigler
Wir freuen uns über neue Teilnehmer:innen und 'Stammgäste'.
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< Die Verschlüsselung der Übertragung von Daten (Data in Transit) mithilfe von TLS hat sich inzwischen als 'Best Practice' etabliert. Sobald ein Zertifikat erworben oder automatisch eingerichtet wurde, kann die Verschlüsselung inzwischen auch auf Servern meist relativ einfach 'eingeschaltet' werden.
Reicht das? Lohnt es sich nachzuprüfen, was da aktiviert wurde? Wie geht das?
Achim zeigt uns am Beispiel des, von ihm als OWASP-Projekt entwickelten SSL/TLS-Test-Tools 'O-Saft', wie wir diese Tests einfach für verschiedene Protokolle durchführen können. Die Interpretation der Ergebnisse und worauf es dabei ankommt, wird anhand von Beispielen aus der Praxis gezeigt und mit den Teilnehmern des Stammtischs diskutiert.
Achim Hoffmann ist als 'OWASP-Urgestein' ein langjähriger (>25 Jahre), auf Web Application Security spezialisierter Berater, (Pen-)Tester, Trainer und Sprecher; Er ist Board Member von OWASP-Germany und OWASP-Project-Leader u.a. für O-Saft
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 10.09.2024 um 18:30 Uhr
Torsten Gigler
Torsten Gigler
Wir freuen uns über neue Teilnehmer:innen und 'Stammgäste'.
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir Euch in der Gästeliste aufnehmen können
(Name, Vorname). <<< -
Vortrag (Englisch): OWASP and the Evolution of AppSec (Jeff Williams)
Jeff will dive into 25+ years of insights in AppSec, the most exciting time in its history. Not only are apps/APIs more complex, connected, and critical than ever before, we haven’t made much progress against vulnerabilities, the attackers have ramped up their activity dramatically, and the governments of the world are scrambling to figure out what to do. It’s a mess. In this talk, Jeff will share some stories and insights from over 2 decades in appsec. We’ll look at some of the bigger movements in appsec like “build security in”, “devsecops”, “shift left”, “SBOMs”, and “secure by design” and talk about why they have largely failed to change the trajectory of appsec. We’ll also spend some time on the different technologies organizations use to automate appsec in development and operations. Jeff will share his thoughts about the market failures that make improvements in appsec so difficult and what we can do to fix them. This will be a highly interactive session, so bring your questions and ideas.
Jeff is the founder and CTO at Contrast Security, the leader in runtime application security for application security testing (AST) and application detection and response (ADR). Jeff is a veteran application security expert who also founded and led OWASP and Aspect Security. Jeff created several highly successful open-source projects, including jbom, jot, OWASP Top Ten, WebGoat, ESAPI, ASVS, and more. Jeff has a BA from Virginia, an MA from George Mason, and a JD from Georgetown. He’s also a two-time master’s basketball national champion. -
Ort:
iteratec GmbH, St.-Martin-Straße 114, 81669 München
Anfahrt:
- Bus: 'St-Martin-Straße Ost (Linie 54), Anzinger Straße (Linien: 55, 145, 155)
- S-Bahn 'St-Martin-Straße': S3, S7
- U-Bahn: 'Karl-Preis-Platz: U1, U2, U7
- PKW: Parken im Parkhaus 'Neue Balan' (bestimmte Parkplätze, bitte vorher melden)
- Zeit:
Montag, 07.10.2024 um 18:30 Uhr -
Eine Anmeldung ist erforderlich um auf die Gästeliste aufgenommen zu werden (Name, Vorname ->torsten<Punkt>gigler<ät>owasp<Punkt>org).
Torsten Gigler
Bitte meldet Euch bei mir mit Name und Vorname an, damit wir Euch in der Gästeliste aufnehmen können.
Torsten Gigler
Für München: Bitte meldet Euch bei mir mit Name und Vorname an, damit wir Euch in der Gästeliste aufnehmen können.
Alle
Dates & Locations:
- München/Munich: Oct 7, 18:30
-
Stuttgart: Oct 8, 19:00
-
Köln/Cologne: Oct 9, 19:00
- Frankfurt: Oct 10, 18:30
Hallo zusammen,
Torsten Gigler
>>> Wir suchen noch einen Vortrag für den Stammtisch! Bitte melde Dich bei uns, wenn Du ein Thema aus dem Bereich IT-Sicherheit oder Informationssicherheit für uns hast. <<<
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< * Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 07.11.2024 um 18:30 Uhr
Torsten Gigler
>>> Wir suchen noch einen Vortrag für den Stammtisch! Bitte melde Dich bei uns, wenn Du ein Thema aus dem Bereich IT-Sicherheit oder Informationssicherheit für uns hast. <<<
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< * Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Donnerstag, 07.11.2024 um 18:30 Uhr
Torsten Gigler
>>> Bitte meldet Euch bei
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< * Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Donnerstag, 07.11.2024 um 18:30 Uhr
Torsten Gigler
>>> Bitte meldet Euch bei
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< * Security Champions: Die Schlüsselrolle für sichere Softwareentwicklung (Juliane Reimann)
Der Begriff „Security Culture“ gewinnt zunehmend an Bedeutung für Unternehmen, da er direkten Einfluss auf deren Cyber-Resilienz hat. Im Vortrag zeigt Juliane, wie Security Champions dazu beitragen können, Sicherheitskultur in Entwicklungsteams zu stärken. Zusätzlich stellt sie uns das neue OWASP Security Champions Projekt vor – eine praktische Anleitung zum Aufbau eines solchen Programms.
Juliane Reimann ist seit über 6 Jahren als Beraterin im Cyber-Security-Bereich tätig und hat sich auf den Aufbau von sicheren Softwareentwicklungsprozessen (SDLC) sowie Security-Champions-Programmen spezialisiert. Beim German OWASP Day hat sie eine Schulung zum selben Thema gehalten: “Getting started for establishing your Security Champions Program”.
* Freie Diskussion, bringt bitte Themen mit!
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Montag, 02.12.2024 um 18:30 Uhr
Torsten Gigler
Hallo zusammen,am Montag, den 02.12.2024, 18:30 Uhr findet der OWASP-Stammtisch in München im Café am Josephsplatz statt (anderer Tag!).
Torsten Gigler
>>> Bitte meldet Euch bei
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< * Vortrag: Attack Surface von KI-Anwendungen (Clemens Hübner)
Mit zunehmender Adaption von KI in der Praxis kommt der Sicherheit eine besondere Bedeutung zu. Die Komplexität von solchen Systemen, die Konzentration von relevanten Daten und die noch geringen praktischen Erfahrungen sorgen für hohe Anreize für potenzielle Angreifer. Ein sicheres Design bedarf deshalb eines systematischen Vorgehens, um alle Facetten des Themas abzudecken.
In diesem Vortrag beschäftigen wir uns mit der Angriffsoberfläche von KI-Anwendungen: Wir legen den Fokus dabei auf Systeme mit KI-Komponenten und betrachten ihre Besonderheiten und Bedrohungssituation. Natürlich geht es auch um Gegenmaßnahmen und deren Umsetzung im Entwicklungsprojekt. Worauf der Vortrag nicht im Detail eingeht (aber ggf. die Diskussion im Anschluss) sind LLM-Systeme wie Chatbots, RAGs und Agentensysteme.
Clemens beschäftigt sich seit über 15 Jahren mit der Schnittmenge von Softwareentwicklung und Security. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex. Dort begleitet er heute Entwicklungsprojekte auf Konzeptions- und Implementierungsebene, schult Kolleg:innen und Kund:innen und berät zu DevSecOps. Als Speaker wird er auf Techkonferenzen im In- und Ausland zu praktischen Themen der Anwendungssicherheit eingeladen.
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Dienstag, 04.02.2025 um 18:30 Uhr
Spread the word:
Man muss dazu überhaupt nichts von OWASP wissen, ein vorhergehender Blick auf die Website indes schadet sicher nicht ;-).
Schönen Gruß,
Torsten Gigler
Torsten Gigler
>>> Bitte meldet Euch bei
torsten<Punkt>gigler<ät>owasp<Punkt>org
an, damit wir wissen, für wie viele
Personen wir reservieren können. <<< * Vortrag: Threat Modeling Themenabend (Clemens Hübner und Christoph Niehoff)
Threat Modeling ist eine bewährte Methode, um die Sicherheit eines Systems systematisch zu erfassen und zu beurteilen. Dabei wird aus Richtung der Bedrohungen gedacht: Was gilt es zu schützen? Welche Angriffe sind denkbar? Wie können passende Gegenmaßnahmen identifiziert werden?
Dieser OWASP-Stammtisch ist ganz dem Thema Threat Modeling und dem Austausch dazu gewidmet. In zwei Impulsvorträgen wird die grundsätzliche Vorgehensweise erklärt sowie unterschiedliche Methoden vorgestellt. Im anschließenden Austausch kann dann gemeinsam diskutiert und Erfahrungen geteilt werden. Außerdem gibt es die Möglichkeit, verschiedene Threat Modeling Card Games auszuprobieren. Ob Threat-Modeling-Newbie oder alter Hase: Jeder wird von diesem Austausch-Abend profitieren!
Gestaltet wird der Abend von Christoph Niehoff und Clemens Hübner.
Christoph Niehoff entwickelt in seiner Rolle als Senior Consultant bei TNG Technology Consulting tagtäglich Softwareprodukte für seine Kunden. Dabei ist ihm insbesondere die Sicherheit der Produkte eine Herzensangelegenheit. Er ist Project Lead des Threat Modeling Kartenspiels OWASP Cumulus.
Clemens Hübner ist Software Security Engineer bei inovex. Dort begleitet er heute Projekte auf Konzeptions- und Implementierungsebene, schult Kolleg:innen und berät intern und extern zu DevSecOps. Als Speaker teilt er sein Wissen auf nationalen wie internationalen Konferenzen.
* Wir suchen noch Vorträge für die kommenden Stammtische
U2 Josephsplatz, Ausgang F im Süden
Zeit: Montag, 10.03.2025 um 18:30 Uhr
Torsten Gigler
Am 05.03.25 um 09:50 schrieb Torsten Gigler: