[sage-hamburg] SAGE-/GUUG-Vortrag am 11.6.2009: "Webunsicherheit 2.0"

GUUG Hamburg hamburg at guug.de
Fr Mai 29 17:22:01 CEST 2009


Moin moin Hamburg,

im Juni geht's weiter mit einem SAGE-/GUUG-Event bei und mit der
Lehmanns Fachbuchhandlung, zu dem wir gerne einladen möchten.

Falls Vortrag oder Treffen möglicherweise für Kollegen/Bekannte interessant
sein könnte, leitet/leiten Sie gerne diese E-Mail weiter. Eine GUUG-
Mitgliedschaft ist grundsätzlich nicht erforderlich bei unseren
Treffen.

Ein kurze Rückmeldung hilft, die Interessenlage zu beurteilen und eine
Platzallozierung im Vortragsraum und beim Social Event danach vorzunehmen. Danke!

Mehr zu der Hamburger GUUG-Fraktion, geplanten Events und zur Mailing-Liste
siehe http://www.guug.de/lokal/hamburg/index.html .

Die Eckdaten "in a Nutshell":
===
Datum/Zeit:    11.6.2009, 20 Uhr (Uhrzeit beachten!)
Ort:           Lehmanns Fachbuchhandlung, Kurze Mühren 6
Vortragender:  Dirk Wetter
Vortragstitel: Webunsicherheit 2.0
Danach:        Ausklang des Abends im Max und Konsorten ~22:00h

Abstract:
In den letzten 10 Jahren haben sich die Angriffsziele der Hacker
verschoben: Betriebssysteme und Systemsoftware sicherer geworden, dank
Verteidungsmaßnahmen im Kernel, bei Compilern, sogar in CPUs.  "Das Netz" ist
allgegenwärtiger und verfügbarer geworden, so dass viele Anwendungen heute auf
Webservern und teilweise im Webbrowser laufen. Meistens stehen die Anwendungen
für Welt zugänglich im Netz, mitsamt ihren häufig fürs Geschäft wichtigen
Informationswerten gleich dahinter. Stellenweise lassen sich mit Such-
maschinen gezielt Fehler oder Informationslecks aufspüren. Nicht selten
ist der Code zusammengeschustert, weil das Projektende das Ziel ist,
Code-Sicherheit extra kostet oder weil die Programmierer auch im pro-
fessionellen Umfeld keinen sicherheitstechnischen Hintergrund haben.

Die Sicherheit der meisten Webanwendungen hängt also heutzutage
der klassischen Software dramatisch hinterher.

Der Vortrag erklärt zunächst die wichtigsten potenziellen Gefahren und
Angriffsmöglichkeiten. Die drei Säulen -- WAF, Blackbox-Verwundbarkeits-
Scanning und Statische Code-Analyse -- werden in Hinblick auf ihre
Tauglichkeit zur Feststellung und Beseitigung der Lücken untersucht.
Ferner werden einige Märchen korrigiert, die meistens von Tool-Herstellern
aber leider auch bei Open-Source-Software kursieren.


Über den Vortragenden:
Dirk Wetter ist Chemiker und hat in Festkörperphysik promoviert. Seine
universitären Unix-Ambitionen machte er dann zum Beruf. Er war als
Angestellter in großen Rechenzentren in Hamburg und für gut
zweieinhalb Jahre an der Ostküste der USA beschäftigt. Sicherheitsfragen
in technischer und organisatorischer Hinsicht gehörten immer zu seinem
Verantwortungsbereich. Seit 2003 ist er Berater für internationale Kunden im
Bereich IT-Sicherheit und Open-Source-Technologien. Er hat zahlreiche
Fachbeiträge in verschiedenen Print- und Onlinemedien veröffentlicht, ist
Co-Autor eines Buches, ist im Vorstand des GUUG e.V. und in zahlreiche
OSS-Konferenzen und Events der GUUG bei Organisation, Gestaltung und in
Programmkomitees involviert.
===


Grüße,

     Dirk Wetter, Oliver Gerschewski, Dirk Eckel