Digicomp Hacking Day 2012

Am 14. Juni 2012 fand in Zürich bei der Digicomp der Hacking Day 2012 statt. Mit einem interessanten Angebot an Vorträgen konnten sich IT Security Interessierte über aktuelle Cyber Bedrohungen informieren. Die Keynote machte Thomas Dübendorfer (Google) und danach gings mit Triple Tracks weiter.

Ich habe am Vormittag eine Stunde OWASP TOP 10 Theorie vermittelt und am Nachmittag für  2 Stunden eine Hack&Learn Session gemacht. Das Interesse war sehr gross, ich war von der Anzahl Teilnehmer echt überrascht.Der Zugang mit der LiveCD ins Remote Security Lab hat wunderbar geklappt.

Ich bin überzeugt, dass das Hacking-Lab einen sehr grossen Nutzen stiftet bei der praktischen Ausbildung von IT Security Professionals.

Am 19. Juni 2012 findet bei der Compass eine informelle kostenlose Info-Veranstaltung über das Hacking-Lab statt. Wer sich dafür interessiert, bitte ein Mail an team@csnc.ch schicken.

15.6.2012 by Ivan Bütler

 

ISSS Zürcher Tagung 2012 – Pentesting Erfahrungen

Am 12. Juni 2012 fand in Zürich die ISSS Zürcher Tagung zum Thema Auditing und Penetration Testing statt. Mit zwei technischen und drei juristischen Vorträgen wurde das Thema von vielen Seiten beleuchtet.

Ich wurde angefragt, meine Meinung zum Thema Penetration Testing aus Anbieter Sicht zu formulieren. Nicht als Vendor Pitch, sondern ehrlich gemeinte Fakten. Welche Sorgen und Herausforderungen haben Anbieter? Wo liegen die Stärken und Schwächen? Zudem habe ich noch 3 Problemfälle aufgezeigt, wo etwas schief gelaufen ist.Zudem habe ich die Vision einer Security Community aufgezeigt am Beispiel von Hacking-Lab.

Die Slides zum Vortrag sind sowohl auf der ISSS Seite wie auch bei uns online abrufbar.

15.6.2012 by Ivan Bütler

 

 

nevisProxy Advisory Release

Today, Compass Security published a public advisory regarding nevisProxy, a product from AdNovum, used by several Swiss financial institutions.

nevisProxy is a secure reverse proxy with an integrated web application firewall (WAF). It acts as a central upstream entry point for web traffic to integrated online applications. nevisProxy controls user access and protects sensitive data, applications, services, and systems from internal and external threats. nevisProxy is a component of AdNovum’s security framework Nevis (source).

Instead of focusing this post on the issue itself, I would like to take the opportunity to show how well the vendor AdNovum handled the vulnerability we identified. In less than a few hours after the disclosure, our initial mail was acknowledged and their team was already working towards a resolution. On the following morning, the vendor informed all its customers by releasing a security bulletin and a blog entry (AdNovum Security Bulletin 2012-03 – only accessible via their customer portal), containing a mitigation proposal. A concrete date for a patch release (March 14, 2012) was communicated at this occasion as well. Only two working days later, AdNovum has sent an email reminder about this issue, ensuring all customers were aware of the issue and could take adequate steps to safeguard themselves.

We often hear and read rants about vendors giving bad examples on how to (not) handle security issues. Hopefully this example of AdNovum will show that some vendors know how to manage security issues quickly and professionally, in the best interest of their customers – and their own reputation.

Our advisory can be found on http://www.csnc.ch/misc/files/advisories/CSNC-2012-004_Nevis_XSS_within_302_Redirections_publicVersion.txt

Österreich sucht die besten Hacker!

Die Cyber Security Austria sucht die besten Hacker aus Österreich. Dem Gewinner winkt ein attraktiver Preis und ein Stipendium. Die Compass Security AG stellt die Technik und das Hacking-Lab bereit. In einer Qualifikation von Juli bis November qualifizieren sich die Finalisten für einen Final im November 2012.

Wollen Sie mehr über das Hacking-Lab erfahren? Über die Vision und Ausblick für die nächsten 5-10 Jahre? Besuchen Sie unseren HL Event (kostenlos) am 19. Juni 2012. Anmeldung bitte mit mail an team@csnc.ch.
Verboten aber Gut!
http://www.verbotengut.at/index.html

Kuratorium Österreich
http://www.kuratorium-sicheres-oesterreich.at/

Die Krone
http://www.krone.at/Internet/Verboten_gut_Oesterreich_sucht_den_Super-Hacker-Cyber-Challenge-Story-323095

Gruss Ivan Bütler