Wahrscheinlich haben einige unserer Kollegen mitbekommen, dass Jörg und Thomas am German OWASP Day 2015 teilgenommen haben. Und wahrscheinlich fragt sich der eine oder andere, was das überhaupt ist und warum die beiden dort waren. Am besten kann das Thomas selbst erklären:
„OWASP steht für „Open WebApplication Security Project“. Es handelt sich um die Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Diensten im World Wide Web zu verbessern.
OK, also „irgendwas mit Security“. Aber was habt Ihr davon?
Nun im Endeffekt dienen solche Tagungen dazu Informationen über Methoden, wie man die Security im Web-Bereich verbessern kann, auszutauschen, Ideen für sichere Programmierung zu sammeln und auch umzusetzen.
Jörg in seiner Eigenschaft als Vice President Security, CISO (Chief Information Security Officer) und die Java-Devoloper und Admins versuchen unsere Billing-Anwendung so sicher wie möglich zu machen, damit wir die wichtigen PCI-Audits, die uns erlauben Kreditkarten-Buchungen für die Produkte und externe Kunden durchzuführen, bestehen.
Das Audit ist natürlich nur eine Seite, schließlich wollen wir nicht, dass in unserem Code Sicherheitslücken existieren, die dazu führen könnten, dass Angreifer Daten von uns stehlen. Gerade im Billing-Bereich wäre das verherrend.
Somit schützen wir damit einen der Kerngeschäftsbereiche der Unternehmensgruppe sowie zukünftig auch euch unterstützend hinsichtlich Applikationen, Serversicherheit und Awareness.
Auf der Konferenz gab es interessante Einblicke in die Welt von Google (Christoph Kern – Senior Information Security Lead at Google – stellte einige Ansätze vor, wie man Programmierern die Entwicklung von sicherem Code erleichtern kann), Tools zur Analyse von Sicherheitslücken bei Webservices (WS-Attacker), Infos zu Schwachstellen bei Single-Sign-On-Lösungen (die jeder in seinem Smart-Phone, -TV, -Fridge) nutzt.
Außerdem gab es eine äußerst interessante, wenn auch nicht jedem sofort eingängige Einführung in Angriffe auf TLS-ECDH (Eliptische Kurven) und spannende Hinweise zu Schwachstellen im sog. Internet Of Things.
Wer sich dafür interessiert, kann sich gerne mal auf den OWASP-Seiten umschauen.
Auf jeden Fall war es eine tolle Veranstaltung, die uns bez. Web-Security auf jeden Fall weitergebracht hat und mit Sicherheit in die DevCon im Januar einfliessen wird – seit dabei – es wird spannend.“