пʼятниця, 2 вересня 2016 р.

OWASP Ukraine Meetup 2016 Lviv, 16.09.2016.

16 вересня у Львові пройде OWASP Ukraine Meetup 2016 - зустріч security експертів, дослідників та ентузіастів.


В цьому році члени OWASP Lviv приймають в Місті Лева крутих спеціалістів з Нідерландів, Польщі, Києва, Харкова та інших міст України.
Хедлайнером конференції сміливо можна вважати Мартіна Кноблоха - одного із найвідоміших та найктивніших членів OWASP, організатора та керівника багатьох конференцій та проектів, включаючи AppSec-Eu 2015, AppSec-Eu 2016 та BeNeLux.

Отож, програма:
1. Martin Knobloch (NL) – “Don’t feed the hippos”
The security community is trying to solve insecurity caused by bugs and flaws in software for many years now, but with what success?
We almost never look in successes and failures experiences in other areas, but we could really learn from. This talk is inspired by Ernesto Sirolli’s TED talk “Want to help someone? Shut up and listen!” about failures in the aid program’s around the world. Listening to Ernesto Sirolli, you cannot miss the similarity with the security community trying to tell developers how to write secure code.  This talk points out common failures of the security community when communicating with developers, trying to solve their problems without understanding what their problems really are.
Using the hippo-analogy for security failures, during the talks those ‘(in-)secure hippos’ are identified, advice on how to avoid them are provided, by anecdotes and best practices from the experience of the past 10 years in the security field as a consultant.

2. Pawel Rzepa (PL) - "Application Fuzzing" 
An underrated method of automation for finding unknown and critical bugs in mission critical software.

3. Oleksii Misnik (UA) - "USB HID for physical pentest"
Does dropping usb drives really work? How to use USB drive for pentesting Bank of Software Development company. Why you should never pickup USB stick in front of your office?

4. Andrey Loginov (UA) - "First steps into IOT/hardware hacking"

Список доповідей не повний, йде call for papers.
Якщо у вас є цікава тема і бажання поділитись нею, пишіть на igor(at)beliaiev.com

Офіційна мова концеренції - англійська.
Початок реєстрації учасників - 16.00
Офіційне відкриття - 17.00

Реєстрація - https://2event.com/en/events/718993

Також звертаємо увагу що цього року ми обрали іншу локацію для проведення зустрічі - офіс компанії Symphony Solutions, що на Науковій 2b.


3 коментарі:

  1. продаж квитків 2event призупинений, уже нема вільнмх місць ?

    ВідповістиВидалити
  2. продаж квитків 2event призупинений, уже нема вільнмх місць ?

    ВідповістиВидалити
  3. спочатку з поганого,
    зал і звук.
    В першу чергу звук, жахливий, десь до початку 2ї доповіді звук покращився. Мабуть старання адміна + здатність пристосовуватися доповідачів зробили своє діло, але пропустити пів доповіді через жахливий звук - прикро.

    Екран на якому показували презентацію, до години так 19 його не було видно з лівої половини залу через відблиски сонця. Після того як стано надворі темніше - стало читабельно, але наявість жалюзів - все б вирішила.

    Я розумію що це не повязано з доповідачами та організаторами, який зал надали, в такому проводилося. Проте все ж є прохання і до оргів і до потерційних "хостерів" події - постарайтеся провіряти звук і екрани для перезентації до того, як починається дійство.
    Адже прйишовши послухати доподіть не мати змоги її чути - якось сумно.

    А тепер хороше:)
    Цікаві теми, хороші доповідачі, дружня команда організаторів.
    Коротко для тих хто пропустив:
    - Не слід довіряти невідомим usb пристороям. А то виявиться що проста флешка має "корсину" нагрузку. І притворившись клавіатурою виконає те що хотів той хто її залишив.
    - IoT і хардверні штуки - не економте на інструментах, і ковбасьте побільше проектів, якщо все працює - це круто, якщо взірвалось - це ще крутіше(головне щоб не поранило) - тому вогнегасник + окуляри - маст хев.
    - "Не годуйте бегемотів" - чому і як слід співпрацювати сікюріті тімам і дев тімам. В вдвох словах не описати.
    - Fuzzing - "випадковий" інпут в софт і логування результатів. Від банального все що попало в яксті інпуту, до структурованого вводу, але з врахуванням параметрів і залежностей.

    Такщо хто пропустив - той сам собі злий буратіно.

    Ще з хорошого - афтепаті з неформальним спілкуванням з доповідачами/оргами/гостями.

    Як підсумок:
    - перевірка звуку до початку виступів.
    - якщо б було можливо придбати/виграти вашу кастомну футболку - думаю що гості активніше б реагували на сесії питань.
    - не знаю чи формат заходу дозволяє, але якісь практичні сесії були б значним плюсом. (але схоже на те, що це має бути більш орієнтованим на новачків)
    - також варто задуматися над тим щоб надати можливість безкоштовного відвідування заходу студентами(бо ситуації бувають різні, і для когось сума за вхід може бути відчутною), або якісь завдання в якості алтернативної оплати за вхід (можна навіть зробити цю опцію доступною лише при наявності студ. квитка).
    - і навіть якщо не буде змоги дослухатися до пунктів перелічених вище, продовжуйе робити так, як робите зараз. Це вже дуже хороший рівень заходів, ви молодці.

    ВідповістиВидалити