Το OWASP Training Day είναι μία υψηλού επιπέδου ημερίδα εκπαίδευσης που στοχεύει στην παρουσίαση ώριμων projects του OWASP (http://www.owasp.org), τα οποία χρησιμοποιούνται ήδη από οργανισμούς σε παγκόσμιο επίπεδο. Η εκπαίδευση, η οποία θα περιλαμβάνει παρουσιάσεις εργαλείων και μεθοδολογιών που σχετίζονται με την ασφαλή ανάπτυξη λογισμικού, απευθύνεται σε προγραμματιστές, designers, architects, project managers αλλά και ειδικούς ασφάλειας. Πέρα από τις παρουσιάσεις, θα πραγματοποιηθούν και πρακτικά παραδείγματα χρήσης των εργαλείων, ενώ στόχος μας είναι η ενθάρρυνση συζητήσεων και ανταλλαγής απόψεων, όχι μόνο γύρω από τη χρήση των έργων του OWASP, αλλά και γενικά για την ασφάλεια εφαρμογών στην Ελλάδα.

Δηλώστε συμμετοχή στο OWASP Training Day:

http://www.regonline.com/Register/Checkin.aspx?EventID=967109

Η συμμετοχή στο OWASP Training Day είναι δωρεάν για τα μέλη του OWASP.

Το κόστος της ετήσιας συνδρομής στο OWASP ανέρχεται στα $50 (35 €).

 Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ ή στη σελίδα: https://www.owasp.org/index.php/Greece/Training/OWASP_projects_and_resources_you_can_use_TODAY

Η Ελληνική Ομάδα Εργασίας του OWASP συμμετέχει και φέτος δυναμικά στο Athens Digital Week!

Ήδη έχουμε ανακοινώσει την ομιλία του Samy Kamkar, την ερχόμενη Πέμπτη, 7/10 στης 19:00.

Ο Samy φέρνει για το OWASP την παρουσίαση που έκανε στο φετινό DefCon με τίτλο “How I met your girlfriend”. Ο Samy Kamkar είναι ο άνθρωπος που πρώτος έδειξε με το πιο παραστατικό τρόπο τα προβλήματα ασφάλειας που εμφανίζουν τα site κοινωνικής δικτύωσης. Ένας ιός που ανέπτυξε μόλυνε το προφίλ εκατοντάδων χιλιάδων χρηστών του MySpace προσθέτοντας τον Samy στους φίλους τους και εμφανίζοντας το μήνυμα “Samy is my Hero!”. Έκτοτε ο Samy Kamkar ασχολείται με λιγότερο ύποπτες δραστηριότητες (π.χ. pwnat, phpwn, evercookie, κλπ) τις οποίες θα συζητήσει μας.

Μετά την παρουσίαση του Samy, γύρω στις 20:00, θα συζητήσουμε τις σύγχρονες απειλές σε mobile περιβάλλοντα με επαγγελματίες του χώρου.

Την επόμενη μέρα, Παρασκευή 8/10, στις 20:00 διεξάγεται μία εξίσου ενδιαφέρουσα συζήτηση με θέμα “Από το OpenGov στο SecGov: Η ασφάλεια των κρίσιμων πληροφοριακών συστημάτων της ηλεκτρονικής διακυβέρνησης”. Τη συζήτηση αυτή συντονίζει ο Δρ Βασίλης Βλάχος, μέλος της ομάδας συντονισμού του OWASP.gr και συμμετέχουν οι:

• Κώστας Γκρίτσης, Senior Security Consultant, Microsoft Hellas
• Κώστας Δρόγγος, OpenGov
• Γιάννης Κοροβέσης, καθ. ΕΚΕΘΕ Δημόκριτος, ΕΛΛΑΚ
• Κωνσταντίνος Παπαπαναγιώτου, συντονιστής του OWASP.gr

Τέλος, το Σάββατο, 9/10 στη 1 το μεσημέρι, ο Κωνσταντίνος Παπαπαναγιώτου, συντονιστής του OWASP.gr,  μαζί με το Μάνο Κελλίνη, ιδρυτικό μέλος του OWASP.gr, θα παρουσιάσουν ένα ενδιαφέρον workshop που απευθύνεται σε developpers αλλά και σε όποιον θέλει να γνωριστεί καλύτερα με το OWASP, τα εργαλεία και τις μεθοδολογίες που διαθέτει. Ο τίτλος του workshop είναι “Διασφαλίστε τις web εφαρμογές σας με εργαλεία open source από το OWASP” και θα παρουσιαστούν οι σημαντικότεροι κίνδυνοι και προβλήματα ασφάλειας των διαδικτυακών εφαρμογών σύμφωνα με το OWASP Top10 2010 ενώ στη συνέχεια θα προταθούν τρόποι αντιμετώπισής τους με εργαλεία και μεθοδολογίες του OWASP.

Όλα τα παραπάνω θα λάβουν χώρα στην αίθουσα Δ12 της Τεχνόπολις του Δήμου Αθηναίων στο Γκάζι.

Ελπίζουμε να σας δούμε όλους εκεί!

Ειδικότερα, ο Κωνσταντίνος Παπαπαναγιώτου, συντονιστής της Ελληνικής Ομάδας Εργασίας, θα παρουσιάσει το OWASP Top 10 2010 καθώς και τους τρόπους αξιοποίησής του, σε συνδυασμό με άλλα ενδιαφέροντα έργα του OWASP, για την υιοθέτηση ενός Ασφαλούς Κύκλου Ζωής Ανάπτυξης Λογισμικού.

Η συμμετοχή της Ελληνικής Ομάδας Εργασίας του OWASP στο AthCon δεν περιορίζεται όμως σε μια παρουσίαση, καθώς μέλη μας συγκρότησαν την Επιτροπή του συνεδρίου που έκρινε τα papers τα οποία θα παρουσιαστούν.Με την ευκαιρία αυτή θα θέλαμε να ευχαριστήσουμε θερμά τα μέλη μας, τα οποία βοήθησαν σημαντικά στη δύσκολη διαδικασία επιλογής των papers.

Το AthCon είναι ένα ετήσιο, ευρωπαϊκό συνέδριο ασφαλείας με θέματα που καλύπτουν όλο το φάσμα της ασφάλειας πληροφοριών. Στόχος του συνεδρίου είναι να συγκεντρώσει έμπειρους στο χώρο επαγγελματίες και ερευνητές για να παρουσιάσουν και να μεταδώσουν πληροφορίες, νέες τεχνικές αλλά και να μοιραστούν τις εμπειρίες τους πάνω σε κρίσιμα θέματα Ασφαλείας, δίνοντας μια πιο ρεαλιστική άποψη της Ασφάλειας. Σκοπός να φέρει και να καθιερώσει στην Ελλάδα ένα ανωτέρου τύπου συνέδριο Ασφαλείας, αντίστοιχο αυτών του εξωτερικού (Blackhat, defcon κλπ.).

Το πρόγραμμα του AthCon παρουσιάζει μεγάλο ενδιαφέρον, με πολλές αξιόλογες ομιλίες και παρουσιάσεις. Οι διεθνούς κύρους ομιλητές και τα θέματα που θα καλύψουν καθιστούν το AthCon ένα πρωτοποριακό security event για τα Ελληνικά δεδομένα.

Οι εγγραφές κλείνουν σήμερα, συνεπώς όσοι θέλετε να το παρακολουθήσετε βιαστείτε.

Η Ελληνική Ομάδα Εργασίας του OWASP συμμετέχει στο Συνέδριο ΕΛΛΑΚ 2010: Επειχηρηματικότητα, Δημόσιος Τομέας Εκπαίδευση και Έρευνα που θα πραγματοποιηθεί στις 14 και 15 Μαΐου στην Αίθουσα Τελετών του Εθνικού Μετσόβειου Πολυτεχνείου στη Πολυτεχνειούπολη Ζωγράφου.

Συγκεκριμένα, ο Κωνσταντίνος Παπαπαναγιώτου, συντονιστής της Ελληνικής Ομάδας Εργασίας, θα παρουσιάσει για πρώτη φορά σε Ελληνικό έδαφος το νέο OWASP Top 10 2010, το Σάββατο 15 Μαΐου στις 14:30.

Η συμμετοχή στο συνέδριο είναι ελεύθερη (καλό είναι όμως να δηλώσετε συμμετοχή εδώ), ενώ το πρόγραμμά του παρουσιάζει ιδιαίτερο ενδιαφέρον. Ελπίζουμε να σας δούμε εκεί.

Από το 2003 ερευνητές και ειδικοί της ασφάλειας λογισμικού εφαρμογών από όλο τον κόσμο παρακολουθούν προσεκτικά μέσα από το Open Web Application Security Project (OWASP) την κατάσταση της ασφάλειας των διαδικτυακών εφαρμογών και δημοσιεύουν ένα κείμενο ευαισθητοποίησης που αποτελεί πλέον πρότυπο στο οποίο βασίζονται διεθνείς οργανισμοί όπως οι PCI, DOD, FTC, και πολλοί ακόμα.

Σήμερα, το OWASP δημοσιεύει μια ενημερωμένη έκθεση που αποτυπώνει τους δέκα σημαντικότερους κινδύνους που σχετίζονται με τη χρήση διαδικτυακών εφαρμογών σε έναν οργανισμό. Η έκθεση αυτή είναι γεμάτη με παραδείγματα και αναλύσεις που εξηγούν τους κινδύνους αυτούς σε όσους αναπτύσσουν λογισμικό, σε επικεφαλείς ομάδων ανάπτυξης και οργανισμών και γενικότερα, σε όσους ενδιαφέρονται για το μέλλον της ασφάλειας στο διαδίκτυο. Ότι παράγεται από το OWASP είναι δωρεάν και ανοικτό σε οποιονδήποτε. Έτσι, μπορείτε να κατεβάσετε το τελευταίο OWASP Top 10 δωρεάν από το:

http://www.owasp.org/index.php/Top_10

Ο Dave Wichers, μέλος του διοικητικού συμβουλίου του OWASP και COO της Aspect Security, είναι υπεύθυνος του συγκεκριμένου έργου από τη στιγμή της σύλληψής του. «Φέτος έχουμε ανανεώσει το Top 10 ώστε να είναι ξεκάθαρο ότι μιλάμε για κινδύνους και όχι απλά ευπάθειες. Δεν έχει νόημα να κατηγοριοποιούμε ως προς τη σημασία τους τις ευπάθειες χωρίς να γνωρίζουμε το γενικότερο περιβάλλον. Δεν μπορούμε να λάβουμε σωστές επιχειρηματικές αποφάσεις αν δεν κατανοούμε τους κινδύνους και τις επιπτώσεις στην επιχείρησή μας.» Αυτή η νέα στόχευση στους κινδύνους αποσκοπεί στο να κατευθύνει τους οργανισμούς σε μια πιο ώριμη θεώρηση και διαχείριση της ασφάλειας εφαρμογών.

Έχει έρθει η στιγμή να ευαισθητοποιήσουμε ως προς την ασφάλεια εφαρμογών όχι μόνο όσους ασχολούνται με την ασφάλεια αλλά απευθείας όσους έχουν μεγαλύτερη ανάγκη να γνωρίζουν για αυτή. Φέτος, στόχος μας είναι η ενημέρωση κάθε προγραμματιστή στον κόσμο για το OWASP Top 10. Αλλά χρειαζόμαστε τη βοήθειά σας. Όσοι διαβάζετε το κείμενο αυτό, είστε διατεθειμένοι να κάνετε ένα απλό πράγμα για να βοηθήσετε στην προστασία του Internet; Αν γνωρίζετε ανθρώπους που γράφουν κώδικα, προωθήστε τους το OWASP Top 10 και ρωτήστε τους…

—————————————————

Γνωρίζετε όλους τους κινδύνους που περιγράφονται στο OWASP Top 10;

Δεσμεύεστε σήμερα να προστατεύσετε τον κώδικά σας απέναντι στους κινδύνους του OWASP Top 10;

—————————————————

Για πολύ καιρό οι οργανισμοί βασίζονται αποκλειστικά σε περιστασιακούς ελέγχους ή δοκιμές παρείσδυσης για τη διασφάλιση των εσωτερικών και εξωτερικών εφαρμογών διαδικτύου που χρησιμοποιούν. Η προσέγγιση αυτή έχει υψηλό κόστος και δεν παρέχει πολλές πληροφορίες σχετικά με την αντιμετώπιση των κινδύνων. Όπως και για άλλους τομείς της ασφάλειας, έτσι και για την ασφάλεια λογισμικού εφαρμογών απαιτείται ένα πρόγραμμα διαχείρισης επικινδυνότητα που παρέχει πληροφορίες για όλο το πορτφόλιο εφαρμογών και τα στρατηγικά μέτρα ελέγχου που στοχεύουν στη βελτίωση της ασφάλειας. Αν ο οργανισμός σας είναι έτοιμος να αντιμετώπιση την ασφάλεια εφαρμογών υπάρχουν δεκάδες δωρεάν βιβλία, εργαλεία, έργα, φόρουμ, λίστες ηλεκτρονικού ταχυδρομείου κ.α. στο OWASP. Μπορείτε επίσης να συμμετάσχετε σε μια από τις 180 τοπικές ομάδες εργασίες ή να παρακολουθήσετε ένα από τα υψηλού επιπέδου αλλά χαμηλού κόστους συνέδρια AppSec.

Το OWASP Top 10 για το 2010 είναι:

A1: Έγχυση (Injection)
A2: Cross-Site Scripting (XSS)
A3: Broken Authentication and Session Management
A4: Ανασφαλής Απευθείας Αναφορά σε Αντικείμενα (Insecure Direct Object References)
A5: Πλαστογράφηση αίτησης μεταξύ θέσεων (Cross-Site Request Forgery - CSRF)
A6: Λανθασμένες Ρυθμίσεις Ασφάλειας (Security Misconfiguration)
A7: Ανασφαλής Κρυπτογραφική Αποθήκευση (Insecure Cryptographic Storage)
A8: Αποτυχία Περιορισμού της Πρόσβασης URL (Failure to Restrict URL Access)
A9: Ανεπαρκής Προστασία Επιπέδου Μεταφοράς (Insufficient Transport Layer Protection)
A10: Μη Επαληθευμένες Αναδρομολογήσεις και Προωθήσεις (Unvalidated Redirects and Forwards)

Η ενημερωμένη έκδοση του 2010 βασίζεται σε περισσότερες πηγές πληροφόρησης για ευπάθειες διαδικτυακών εφαρμογών σε σχέση με την προηγούμενη. Επιπλέον παρουσιάζει τις πληροφορίες με πιο συνοπτικό και συναρπαστικό τρόπο, ώστε να μπορούν εύκολα να τεθούν σε εφαρμογή αφού περιλαμβάνουν πολλές αναφορές σε νέο, πλούσιο υλικό που μπορεί να χρησιμοποιηθεί για να αντιμετωπίσει το κάθε θέμα, όπως το νέο Enterprise Security API (ESAPI) του OWASP και το Πρότυπο Ελέγχου Ασφάλειας Εφαρμογών (Application Security Verification Standard – ASVS).

Kalispera se olous,

Tha thelame na sas proskalesoume sto 0×375 0×02 meeting pou tha
pragmatopiithei stin Politexniki sxoli tou Aristoteliou Panepistimiou
Thessalonikis to apogeyma tis epomenis Paraskevis 19/03/2010. H
akrivis ora kai aithousa tha anakinothi se epomeno mail mesa stin
epomeni evdomada. Sto 0×375 0×02 tha ginoun oi parakato parousiasis:

- Eisagwgi ektelesimou kwdika se diergasies – by fotisl
- Bypassing noexec restrictions: Python fairy tales pt.2 – by huku
- Eleytheri kouventa etc

Elpizoume na sas doume eki.

Plirofories gia to 0×375 0×01 mporeite na vrite edo:
https://www.grhack.net/news.aspx?i=208&v=14&x=8&l=187
Stin idia selida iparxoun kai sindesmoi gia na katevasete to iliko pou
parousiastike.

Tha thelame na sas enimerosoume oti perimenoume submissions apo esas
gia ta epomena meetings. An thelete na kanete mia parousiasi texnikou
periexomenou (oxi aparetitos sxetiko me security) stilte mas ena mail
sto info@grhack.net kai afiste ta ipolipa se emas!

Me ektimisi
The GR Hack staff

Τα νέα στοιχεία που δίνουν είναι πιο εντυπωσιακά όσον αφορά το περιεχόμενο καθώς περιέχουν προσωπικά, απόρρητα τραπεζικά στοιχεία πελατών της Τράπεζας και τα οποία πλέον μπορεί κανείς σχετικά εύκολα να βρει και να κατεβάσει από το internet. Βέβαια ακόμα δεν είναι σαφής ο τρόπος με τον οποίο αποκτήθηκε πρόσβαση στα στοιχεία αυτά, ενισχύοντας την άποψη όσων θέλουν τα στοιχεία αυτά να προέρχονται από διαρροή και όχι παραβίαση.

Επιπλέον, με το κείμενο αλλά και τα αρχεία που δίνουν οι Hack 4 Fame, “απαντούν” στο δελτίο τύπου της Τράπεζας δίνοντας μεταξύ άλλων πιο πρόσφατα στοιχεία (του 2009). Ταυτόχρονα αναφέρονται και στις διωκτικές αρχές, τις οποίες και προτρέπουν να ασχοληθούν με τη συγκεκριμένη επίθεση, παρά με διώξεις “bloggers”, όπως χαρακτηριστικά γράφουν.

Όποιος και αν βρίσκεται από πίσω, είτε πρόκειται για παρβίαση είτε για διαρροή εκ των έσω, είτε είναι ερασιτέχνες είτε “ειδικοί” και όποιες και αν είναι οι υπόλοιπες λεπτομέρειες που δε γνωρίζουμε, το σίγουρο είναι ότι αρκετός κόσμος -επαγγελματίες της ασφάλειας και μη- πλέον ανησυχεί (ο καθένας για τους δικούς του λόγους) ενώ οι πλέον αρμόδιοι, δηλαδή οι επίσημες διωκτικές αρχές (βλ. ΣΔΗΕ) αποφεύγουν να λάβουν επίσημα θέση, εν αναμονεί ίσως και της πολυπόθητης στελέχωσης-αναβάθμισης του τμήματος.

Χθες η ομάδα αυτή ξαναχτύπησε, δημοσιεύοντας και πάλι ευαίσθητα δεδομένα που αυτή τη φορά αφορούσαν κυρίως φωτoγραφίες μοντέλων αλλά και υλικό από μεγάλη Ελληνική τράπεζα. Για μια ακόμα φορά οι τεχνικές λεπτομέρειες δεν είναι απόλυτα σαφείς και μάλιστα δεν είναι γνωστό το πού έγινε η πρώτη δημοσιοποίηση των στοιχείων καθώς όλες οι πηγές καταλήγουν στην ανακοίνωση και το screenshot που αναρτήθηκε στο troktiko. Όπως και στις προηγούμενες επιθέσεις, θα μπορούσε κανείς να πει ότι πρόκειται για δουλειά “εκ των έσω”. Βέβαια αυτό είναι κάτι που μπορεί να γνωρίζουν μόνο οι άνθρωποι της τράπεζας.

Μέχρι στιγμής η είδηση έχει διαδοθεί μόνο από τα διαδικτυακά μέσα, ενώ η τράπεζα δεν έχει προβεί σε επίσημη ανακοίνωση. Σίγουρα η επίθεση είναι αρκετά σημαντική, διαφορετικού όμως χαρακτήρα από π.χ. τις επιθέσεις XSS που είχαν δημοσιευθεί παλαιότερα.

Το σίγουρο είναι ότι με τον έναν ή τον άλλο τρόπο βγήκαν κάποια εμπιστευτικά δεδομένα προς τα έξω και ότι η συγκεκριμένη ομάδα μας κρατάει απασχολημένους σε τακτά χρονικά διαστήματα αφού προφανώς έχουν τουλάχιστον κάποιες “ειδικές γνώσεις”, αντίθετα με ότι πιστεύει η αστυνομία.

Η ειρωνία είναι όχι μόνο ότι η επίθεση πραγματοποιήθηκε λίγες μόνο μέρες μετά την έναρξη λειτουργίας του site αλλά και ότι έγινε σε ένα ιστότοπο ο οποίος σύμφωνα με το δελτίο τύπου είναι “απόλυτα ασφαλής και ελεγχόμενος μιας και ένας σεβαστός αριθμός ακαδημαϊκών και εθελοντών θα επαγρυπνεί πίσω από αυτόν και θα διαφυλάττει την ηλεκτρονική ακεραιότητα των παιδιών μας.”

Φαίνεται ότι οι ακαδημαϊκοί (;) και οι εθελοντές δεν πιάσαν δουλειά από την πρωτη μέρα λειτουργίας του site. Τίθενται βέβαια και άλλα ερωτήματα, ως προς το πόσο κατάλληλοι είναι για τη “διαφύλαξη της ηλεκτρονικής ακεραιότητας των παιδιών μας” αφού ακόμα δεν έχουν καταφέρει να θέσουν τουλάχιστον εκτός λειτουργίας το site. Τέλος, το γεγονός ότι “εξετάζουν το ενδεχόμενο” να ενημερώσουν το ΣΔΗΕ σημαίνει άραγε ότι έχουν νιώθουν πολύ σίγουροι ότι μπορούν να αντιμετωπίσουν το θέμα μόνοι τους ή ότι έχουν αμφιβολίες για την αποτελεσματικότητα του ΣΔΗΕ σε αυτές τις περιπτώσεις;