OWASP Germany > Stammtische > Hannover

Überblick

Alle Treffen

Aktuelle Treffen

9. Stammtisch: Donnerstag, 28.04.2022
  • Netzwerken nach Ostern
  • Lokation: virtuell, Anmeldung via Meetup oder Mail an [email protected]. Einwahldaten werden dann im Vorfeld mitgeteilt.
  • Start: 19:00 Uhr

Nach wieder etwas längerer Pause kommt der OWASP-Stammtisch Hannover nach Ostern im Jahr 2022 an.

Wir starten erst mal etwas langsamer und treffen uns zum lockeren Austausch über AppSec-Themen, bevor es dann danach wieder mit Vorträgen los geht.

Vergangene Treffen

8. Stammtisch: Dienstag, 20.07.2021
  • Diskussionsabend: Organisation von Pentests
  • Lokation: virtuell, Anmeldung via Meetup oder Mail an [email protected]. Einwahldaten werden dann im Vorfeld mitgeteilt.
  • Start: 18:00 Uhr
  • Moderation: Richard Stephanus, Benjamin Liebe

Inhalt: Penetrationstests sind eine verbreitete Maßnahme, um die Sicherheit einer Anwendung zu prüfen. Wir wollen uns über die organisatorischen Aspekte solcher Projekte unterhalten: was ein Pentest ist (und was nicht), wie man ihn vorbereitet, durchführt - und was man mit den Ergebnissen anstellt.

Egal, ob jemand vor der Aufgabe steht, einen solchen Test zu beauftragen und sich einfach orientieren möchte oder, ob jemand schon etliche Tests selbst koordiniert oder durchgeführt hat und die eigene Sicht beitragen möchte - wir wollen an diesem Abend die Plattform für eine interessante Diskusssion zu diesem Thema schaffen.

Die Moderatoren Richard und Benjamin verfügen zusammen über mehrjährige Erfahrung in der Koordination solcher Tests und sind auf eure Fragen, Meinungen und Tipps gespannt!

7. Stammtisch: Donnerstag, 22.04.2021

Folien als PDF

  • Vortrag von Jan Hoff: Angriffsgraphen für Threat Modeling und Adversary Emulation
  • Lokation: virtuell, Anmeldung via Meetup oder Mail an [email protected]. Einwahldaten werden dann im Vorfeld mitgeteilt.
  • Start: 18:00 Uhr

Inhalt: Infrastrukturen und Applikationen werden immer komplexer. Viele Angriffe sind im Nachgang „überraschend“ für Betroffene gewesen. Häufig hätten einzelne Angriffsphasen oder Schwachstellen bereits in der Entwicklung oder während des Betriebs durch ein angemessenes Threat Modeling und Gegenmaßnahmen unterbunden werden können. In der Softwareentwicklung haben STRIDE und ähnliche Ansätze bereits das Threat Modeling formalisieren können. Für die Emulation bzw. Simulation von ganzen Angriffsketten (Cyber Kill Chain) sind derartige Ansätze noch wenig etabliert. Häufig werden Purple oder Red Teams mit bekannten Szenarien oder Verhalten von Angreifergruppen realisiert. Ein „Build your own APT“-Ansatz kann Playbooks bzw. Angriffsketten entwickeln, gegen die Schutzmaßnahmen validiert werden können.

Dieser Vortrag gibt einen Einblick in Threat Modeling, Adversary Emulation, Angriffsgraphen und wie diese dann im Rahmen von Purple Teaming für die Emulation von Angreifern zum Einsatz kommen können. Praktisch werden Angriffsgraphen in industriellen Steuerungssystemen anhand eines Prototyps demonstriert, der aus dem MITRE ATT&CK for ICS Framework entsprechende Tactics, Techniques und Procedures zu Angriffsketten kombiniert.

Referent: Jan Hoff ist seit mehr als 10 Jahren in Kritischen Infrastrukturen im defensiven und offensiven Security-Umfeld aktiv und hat sowohl als Berater wie auch als Forensiker und Red Teamer zahlreiche Organisationen dabei unterstützt Sicherheitsmaßnahmen zu verbessern – sowohl im IT- als auch im OT-Bereich.

Kürzlich hat er sein Studium mit einer Master Thesis über „Attack Graphs for Adversary Emulation, Simulation and Purple Teaming in Industrial Control System (ICS) Environments” abgeschlossen (https://www.pull-the-plug.net/thesis/).

6. Stammtisch: Mittwoch, 17.03.2021
  • Vortrag von Johannes Späth: Serverless - “No servers, everything secure?”
  • Lokation: virtuell, Anmeldung via Meetup oder Mail an [email protected]. Einwahldaten werden dann im Vorfeld mitgeteilt.
  • Start: 18:00 Uhr

Inhalt: Der Trend zur Cloud ist überall spürbar. Immer mehr Unternehmen migrieren Software in die Cloud oder entwickeln neue Software direkt “Cloud-Native”. Moderne Technologien (Infrastructure-as-Code), speziell für Cloud-Anwendung, erleichtern Development, Deployment bis hin zur Wartung der Cloud-Anwendung, Serverless ist eine dieser Technologien. Mit den neuen Cloud-Technologien haben sich allerdings auch die Verantwortlichkeiten für Security verändert.

Dieser Vortrag gibt zunächst einen kurzen Überblick über Serverless-Anwendungen und deren Entwicklungsmethoden. Anschließend wird das Thema Security im Cloud-Kontext näher beleuchtet und mögliche Sicherheitslücken an einer Live-Demo veranschaulicht.

Referent: Johannes Späth hat mehr als 5 Jahre das Thema Security und Programanalyse in Industrie- und Forschungsprojekten an Fraunhofer-Instituten in Darmstadt und Paderborn vorangetrieben, unter anderem durch Vorträge auf Konferenzen (EclipseCon France, 17. deutscher IT-Sicherheitskongress BSI, heise devSec 2019,…) 2019 hat er seine Promotion im Bereich statische Codeanalyse abgeschlossen, die Dissertation wurde mehrfach ausgezeichnet. Seit 2020 ist Johannes Co-Founder des Startups CodeShield.

5. Stammtisch: Mittwoch, 13.01.2021
  • Jahresauftakt 2021
  • Lokation: virtuell, Anmeldung via Meetup oder Mail an [email protected]. Einwahldaten werden dann im Vorfeld mitgeteilt.
  • Start: 19:00 Uhr

Nach ungeplanter Corona-Pause ist der Jahresanfang 2021 ein guter Anlass, um mit einer virtuellen Ausgabe unseres Stammtisches weiter zu machen. Bevor es wieder mit Vorträgen los geht, unterhalten wir uns an diesem Termin darüber, wie ein virtueller Stammtisch aussehen kann - und was uns sonst noch so einfällt.

4. Stammtisch: Mittwoch, 26.02.2020
  • Vortragsabend zum Thema “Sichere Softwareentwicklung mit OWASP”
  • Lokation: E.ON Digital Technology in der Tresckowstraße 3. Wir treffen uns zum Start am Empfang.
  • Start: 18:00 Uhr

Folien als PDF

Benjamin Liebe gibt einen Überblick darüber, wie OWASP-Projekte die sichere Softwareentwicklung unterstützen. Dazu wird anhand der neuen Version von SAMM gezeigt, wo sich ausgewählte OWASP-Projekte in die verschiedenen Aktivitäten einer sicheren Softwareentwicklung einordnen lassen.

3. Stammtisch: Mittwoch, 22.01.2020
  • Netzwerk-Treffen (ohne Vorträge)
  • Lokation: Hannover Innenstadt, Details gibt es im Vorfeld hier und in Meetup.
  • Start: 18:00 Uhr
2. Stammtisch: Donnerstag, 24.10.2019
  • Vortragsabend
  • Lokation: Informationsverarbeitung für Versicherungen GmbH, Schiffgraben 4, 30159 Hannover
  • Start: 18:00 Uhr
Thema 1: Software Composition Analysis

Folien als PDF

Die Gefahren bei der Nutzung von Fremdkomponenten mit bekannten Schwachstellen haben bereits seit längerem ihren Platz in den OWASP Top

  1. Richard Stephanus macht uns mit Beispielen aus der Praxis auf das Thema aufmerksam, stellt Schlüsselprobleme dar und zeigt Möglichkeiten, wie man in Fremdkomponenten verborgene Schwachstellen in den Griff bekommt und dadurch die Sicherheit der selbst entwickelten Anwendungen erhöht.
Thema 2: Rückblick OWASP Global AppSec 2019

Folien als PDF

Benjamin Liebe berichtet von seinem Besuch der OWASP Global AppSec 2019 in Amsterdam. Wer die OWASP Foundation noch nicht kennt, bekommt einen kurzen Überblick über ihre Aktivitäten.

1. Stammtisch: Mittwoch, 21.08.2019
  • Netzwerktreffen
  • Lokation: Meiers Lebenslust (Osterstraße 64)
  • Start: 18:30 Uhr
Watch Star