Panel:
Met als thema “Public site vulnerability research and disclosure – The XSS elephant, the Tsunami Hacker, the killing of the canaries and the power of legislation” werd aan het einde van dag één een panel discussie gehouden.
De grote vraag, moet het hacken van websites gelegaliseerd worden.
Met “the killing of the canaries”, zo legt Robert Mann uit, wordt verwezen naar de kanaries welke vroeger in de mijnen werden gebruikt om de mijnwerkers voor giftige gassen te waarschuwen. Hiermee wordt gerefereerd naar het steeds weer op het nieuws verschijnen van berichten over hackers, die een veiligheidslek van een internet applicatie bloot leggen, worden aan gehouden. Dit terwijl bedrijven door exploiteren van onveilige websites vertrouwelijke informatie van klanten ‘op straat gooien’.
De tenor van de discussie was dan ook de vraag of het bekendmaken van onveilige websites en de veiligheids lekken strafbar kan worden gemaakt. Het werd opgemerkt dat dit impliciet door de verschillende privacy wetgevingen als werkelijkheid is.
Het grote probleem is dat men niet ongevraagd een website kan testen. Een aanpak zoals in de automarkt, waar men een auto kan aanschaffen en deze dan aan een serie van tests kan uitvoeren. Helaas is dit bij internet applicaties gewoonweg niet mogelijk.
Vervolgens kwam de vergelijking op: Als ik in het huis van mijn buren inbreek, zonder hun toestemming, om aan te tonen dat het niet veilig is. Dan ben ik nog steeds aan het inbreken.
Zo werd er gezamenlijk ingestemd dat de grote massa, die zich niet bewust van de gevaren is, eigenlijk het grote probleem is. Hieraan zou gewerkt moeten worden, iets wat hackers proberen om duidelijk te maken. Een initiatief op National of beter op internationale basis, zoals in Nederland voor klokkenluiders bestaat, zou verbetering brengen.
Hoe is het mogelijk om de gezelschap zover te krijgen dat niet het hacken, maar het exporterend van onveilige websites strafbar is. Deze vraag bleef aan het einde van de discussie staan.
Na de pauze op de eerste dag werd het tijd voor een demonstratie van de laatste versies van WebGoat (2.0) en WebScarab (NG).
Terwijl 95% van de conferentie geboeid naar de verhalen over Advanced Web Hacking zat te luisteren, heeft Dave Wichers de nieuwste features van WebGoat en WebScarab gedemonsteerd.
Naast nieuwe features bevat WebGoat ook nieuwe lessons voor bijvoorbeeld webServices.
WebScarab krijgt een nieuwe gebruikers interface, maar op dit moment zijn nog niet alle features daarheen geport. De ontwikkelaar heeft pas een kindje gekregen en is daarom de komende tijd niet volledig met WebScarab bezig. We zullen dus nog even moeten wachten op de nieuwe interface!
Dave Wichers, OWASP conferences chair, hield een verhaal over hoe het bedrijf SANS, gespecialiseerd in netwerk security, een secure-programmeer-certificering wil ontwikkelen om hun eigen expertises uit te breiden (en geld te verdienen).
SANS is een groot bedrijf met heel veel klanten en het wil zich gaan bewegen op het vlak van applicatie security. Omdat ze zoveel klanten hebben, hebben ze ook een goede marktingang voor andere security aspecten, waaronder applicatie security. SANS wil mede daarom graag certificeringsmogelijkheden gaan bieden aan programmeurs. Deze bestaan immers nu nog niet.
Volgens SANS wil de markt graag exact weten hoe goed een programmeur secure kan programmeren, daarom zijn ze zelf een Secure Programming Skills Assessment aan het ontwikkelen.
Omdat er echter nog niet veel expertise op dat gebied aanwezig is binnen dit bedrijf, heeft men OWASP gevraagd om te assisteren.
Dit assisteren kan in principe door opgaven te ‘doneren’ voor deze Secure Programming Skills Assessment, wat elk OWASP lid individueel kan doen.
Ook heeft SANS voor dit project samenwerking gezocht (en gevonden) met universiteiten, dus er zijn al veel mensen bezig met het maken van opgaven.
Als eerste wil men een security certificering voor C en voor Java ontwikkelen en daarna voor andere talen.
Pas wanneer er 5000+ opgaven in de database staan, wordt er certificeringsexamens afgelegd.
Persoonlijk vond ik het een gemiste kans voor SANS dat ze zelf niet de conferentie aanwezig waren om dit project te promoten. Dave Wichers heeft het verhaal nu (op uitstekende manier) verteld, maar hij vertelde erbij dat SANS geld aan wil verdienen aan dit project. Dat ze van dat geld niets aan de opgave-contributeurs afstaan, zal voor veel mensen een reden zijn om niet deel te nemen aan dit OWASP project.
Pantera is een een mix van een penetratietest proxy, een applicatie scanner en intelligent analyse framework. Het doel van Pantera is om het analyseren een geautomatiseerd proces te maken.
Doordat Pantera een proxy en webserver in een is, kun je zonder de browser te verlaten analyses doen, zoals dat bij Webscarab het geval is. Onderwater draait de spikeproxy en wordt alle data in een mySQL database gestopt. Dit is echter een bottlenek voor de performance (vanwege de vele triggers) wanneer er grote hoeveelheden data tegelijk moeten worden verwerkt. De maker zelf, Simon Roses Femerling, (security technologist bij Microsoft) vertelde dat hij graag een database als Oracle zou willen ondersteunen. Marinus en Patrick hebben dan ook aangeboden om het project hierbij te ondersteunen.
Binnen de track 1 werd stond het CLASP (Comprehensive, Lightweight Application Security Process) als laatste punt voor de lunch op de agenda. Het CLASP project heeft recentelijk zijn naam van “Comprehensive, Lightweight Application Security Project” naar “Playbook” gewijzigd, zodat de naam beter bij de doelen van het project aansluit.
CLASP ziet zich niet als vervanging van of concurrent van de bestaande processen met betrekking tot het ontwikkelen van veilige software. CLASP verstaat zich als aanvulling voor het goed implementeren van deze.
Zoals de naam doet vermoeden, een draaiboek creëren voor het ontwikkelen van veilige applicaties. Dit wil het CLASP project bereiken door het aanleveren van checklijsten met betrekking tot applicatie security binnen het ontwikkelproces.
De producten van CLASP zijn in 7 aspecten opgedeeld:
- Concept View: Waarin de overige Views, Uses-Cases en de CLASP resources worden uitgelegd
- Role-Based View: Beschrijft de verschillende rollen binnen een software development proces en hun verantwoordelijkheden
- Activity-Assement View: Is de mapping tussen de verschillende, door CLASP geïdentificeerde (security) activiteiten en de door CLASP gedefinieerde rollen.
- Activity-Implementation View: Beschrijft verschillende, door CLASP gedefinieerde “Activities”. Hun doelen en resultaten.
- Vulnerabilities View: Beschrijft verschillende vulnerabilities. Hierbij worden de ernstigheid, waarschijnlijkheid van exploitatie, hoe te voorkomen en voorbeleden genoemd.
- Vulnerabilities Use-Cases: Beschrijft in een gemakkelijk te begrijpen manier, met specifieke voorbeelden, de samenhang tussen design zonder oogmerk op veiligheid, de sourcecode en de hieruit mogelijk resulterende kwetsbaarheid van de applicatie.
- CLASP Resources: Geeft een inzicht in de meest belangrijke concepten welke als basis van CLASP te gronde liggen.
Een van de ‘evangelisten’, Dinis Cruz kwam ons vertellen over toekomstplannen van OWASP. Dit deed hij op zo’n energieke en snelle manier dat het meteen duidelijk werd waar zijn titel “Evangelist” vandaan komt.
Een van de taken die op dit moment opgepakt wordt is een security certificering. Dit wil men op vier gebieden gaan ontplooien:
- Black box testing
- White box testing
- Code review
- Engineering
Naarmate de tijd vordert en het niveau van de kandidaten hoger wordt, zal de zwaarte van het examen aangepast worden. Dit om de lat steeds hoger te leggen en verbetering te blijven krijgen in de kwaliteit van software in het algemeen.
Net zoals de Autumn of Code is OWASP ook dit seizoen de ‘Spring of Code’ gestart met een legio aan projecten. Dit keer wordt het niet van het ‘overschot’ gefinancierd, maar is de hele Spring of Code in het budget van OWASP opgenomen.
Verder wordt er nog een boek uitgegeven, The guide to application security testing, waardoor mensen makkelijker geld kunnen doneren door dit boek te kopen. Dan krijg je, in tegenstelling tot een donatie, ook nog iets fysieks voor je geld.
Tot nu toe werd het merk OWASP nog niet heel erg scherp gecontroleerd. Vanaf nu gaat men beter kijken naar hoe de naam OWASP wordt gebruikt en wíe de naam gebruikt. Op deze manier wordt het duidelijker wie wat heeft gedaan in welke OWASP projecten. Daarnaast wil OWASP op deze manier ook beter grip krijgen op goed gebruik van hun naam.
Ook wil men het meer stimuleren dat lokale chapters bij elkaar op bezoek gaan om kennis uit te wisselen. Dit vergroot de kwaliteit van applicaties en het niveau van de mensen die bij de ontwikkeling ervan zijn betrokken.
Bijna aan het eind van de presentatie werd de nieuwe OWASP top 10 (2007) gelanceerd en werd er meegedeeld dat er plannen zijn voor een OWASP top 10 for managers en een OWASP top 10 best practices.
Als laatste wordt er nog gebruik gemaakt van de gelegenheid om het “lid worden” aan te prijzen. Leden kunnen projecten ondersteunen als ook sturen.
Windows Vista is gebouwd volgens het SDL pricipe.
Het bouwen en compileren van Vista werd vergeleken met dat van XP. Ook werd besproken hoe problemen in de source code werden opgespoord en aangepakt. De teamleider van het Vista penetration test team in Engeland, Alex Lucas, wist ons te vertellen dat, vergeleken met eerdere Windows versies, het compileren van Vista “a walk in the park” was. Dit kwam doordat men gebruik maakte van allerlei ‘code opschoon’-technieken waaronder SDL.
Bewust maken, opleiden, afdwingen van gebruik, testen.
verder veel tips over zaken zoals annotations.
Dave Wichers, de voorzitter en organisator van deze conferentie, hield een algemeen verhaal over de gang van zaken tijdens het afgelopen jaar. Er zijn steeds meer bedrijven en universiteiten die OWASP ondersteunen door middel van een lidmaatschap en/of een projectsponsoring, een goede ontwikkeling ons inziens.
Verder verantwoordde Dave wat OWASP, als non-profit organisatie, heeft gedaan met het ‘overschot’ aan geld dat het afgelopen jaar was binnengekomen. Vergelijkbaar met het initiatief van Google (the Summer of Code), heeft OWASP een Autumn of Code initiatief gerealiseerd. Diverse projecten werden gesponsord door OWASP zelf in de vorm van een financiele waardering.
