lördag 20 december 2008

Årskrönika 2008

Ett år är snart till ända. Ett storartat år för OWASP Sweden. Studentlivet i Linköping lärde mig att man alltid skulle skriva en verksamhetsberättelse från året som varit. Det får bli en årskrönika i bloggen ...

Över 200 medlemmar
När vi startade i oktober förra året var vi bara en handfull medlemmar. Jag tjatade in ett antal kollegor men det fanns en oro för att vi inte skulle nå ut. Vi har nu 216 medlemmar! Siffrorna på OWASP-kartan uppdateras lite oregelbundet men vi bör nu vara fjärde största chaptret i Europa, tätt efter Turkiet, Belgien och London.

Computer Sweden skriver
Under rubriken Ett Mecka för säker programmering skrev Computer Sweden om vårt nystartade chapter i december 2007. Det var en milstolpe som vi ville nå innan vi drog igång seminariekvällar. Vi måste ge folk en chans att veta att vi finns. Mycket riktigt fick medlemstalet en skjuts framåt.

Kick-off första april
Första seminariekvällen. Folk får inte bli besvikna. Vad ska vi ha för presentationer? Var ska vi vara? Jag är turligt nog begåvad med chefer som också ville att OWASP Sweden skulle lyfta så de betalade för att hyra World Trade Center med mat, vin och öl.

Jag hörde av mig till två kollegor från forskningstiden som jag vet är bra - Andrei Sabelfeld och Per Mellstrand - och så tipsade en kollega om Michael Anderberg. Alla tre tacka ja och vi hade fått ihop ett mixat program med akademisk forskning, industriforskning och en av de stora mjukvarudrakarna.

Under själva kick-offen noterade jag något jag inte räknat med. Medlemmarna gillar att mingla :). Det var svårt att samla alla deltagarna igen efter pauserna. Det diskuterades koncentrerat och många kände varann sedan tidigare. Vi fick liksom en community-känsla på köpet.

Temakvällar
Med kick-offen var vi igång. Jag och Mattias Bergling samlade en ledningsgrupp med Robert Malmgren, Predrag Mitrovic, och Robert Carlsson för att få input och bredda nätverket. Tillsammans kom vi fram till att vi borde ordna träffar kring avgränsade teman.

Den 27:e maj sponsrade Inspect it en kväll med tema kärnverksamhet. SQL-injektion och OWASP-verktyg. Patrik Karlson och Johannes Gumbel stod på scenen. Framme i oktober ville Robert Malmgren hålla en kväll om säkerhet i open source-processen. Simon Josefsson och Daniel Stenberg berättade om sina erfarenheter från utveckling av säkerhetskritiska, fria program. Anders Karlsson berättade om MySQL ur ett säkerhetsperspektiv.

Och årets sista seminariekväll handlade om säkra kortbetalningar på nätet och standarden PCI DSS som ju refererar direkt till OWASP topp tio. Mats Henriksson, Pål Göran Stensson och Bengt Berg belyste ämnet ur olika perspektiv. Intresset var så stort att vi fick ha väntelista och tyvärr tacka nej till folk som ville komma.

Seminariekvällarna är alltid något jag ser fram emot. Vid det här laget börjar man känna igen folk och vi lyckas alltid locka riktigt duktiga talare.

Konferensen i New York
Utöver vårt egna OWASP Sweden så var vi ett litet gäng som åkte till konferensen OWASP AppSec New York i september - världens största inom applikationssäkerhet. Under fyra dagar fick vi en hel del intressanta föredrag och diskussioner till livs. Det blev också premiären för OWASP Sweden-bloggen (läs under september 2008).

Mitt intryck så här tre månader senare är att OWASP är en ganska ung organisation byggd på engagemang och kärlek till tekniken. Det är mer fokus på att träffas och prata än att dra på sig slipsen och putsa på detaljer. OWASP-sfären är fokuserad på att säkra system, inte knäcka dem, vilket skiljer organisationen och konferenserna från en del andra.

Applikationssäkerhet 2008
Så vad har hänt inom applikationssäkerhet under året? Mina reflektioner ...
  • Full disclosure har kommit på skam. Det verkar finnas en uppfattning om att det inte har lett till den höga säkerhet som man ville ha. Jag tror det har skett i samma takt som svarthattarna blivit kommersiella.
  • Applikationslagret allt viktigare. Mycket säkerhetsfokus har tagits från operativsystem och nätverk till applikationer. Standardprodukter har fått högre kvalitet och bättre patchhantering. Därför har systemutvecklare som sitter in-house blivit avgörande för it-säkerheten. Ett patchat OS räddar inte ett egenutvecklat webbgränssnitt fullt av SQL-injektionsproblem.
  • Penetrationstestning fick ett ansikte i Sverige. Agda lön och deras säkerhetsproblem gjorde att svenska pentestare klev in i rampljuset. Alla kan förstå vad ett lönesystem är och att det inte lämpar sig om vem som helst kan ändra lönerna. Money talks.
Seminarier 2009
Vad väntar efter nyår? Vi har planerat att köra 2009 års första seminariekväll kring skiftet januari/februari med tema Cross-site scripting och Cross-site request forgery. Kanske till och med lite Clickjacking. Jag själv är väldigt sugen på en kväll med tema utvecklarverktyg som applikations- och kodanalys. Och sen tidigare har vi pratat om temat monokulturer, dvs där en plattform är väldigt styrd av en leverantör som t ex Apple. Vad händer med säkerheten då?

AppSec Europe 2010 i Stockholm
I Computer Sweden-intervjun från december 2007 sade jag "På ett par års sikt hoppas jag att Sverige och Stockholm kan stå värd för den europeiska Owasp-konferensen". En förhoppning som besannats. Vi i OWASP Sweden kommer stå värdar för världens största konferens om applikationssäkerhet - AppSec Europe 2010 i Stockholm.

För att klara det behövs all hjälp som går att uppbringa. Vi behöver sponsorer, talare och folk som hjälper till med det praktiska. Under våren kommer vi börja arbeta mer konkret. Jag ser framför mig en konferens med .NET-spår, Java-spår, pentestarspår och metodikspår. Med världens bästa talare så klart. Det ska bli grymt kul!

Rent personligt
Så hur har 2008 varit för John själv? Ja, jag kommer minnas det som året då tre av mina favoritmusiker dog - Esbjörn Svensson, Isaac Hayes och Arne Domnérus :(. Det var också året då jag började producera och lägga ut min egen musik på nätet. Jag satte därtill in tandställning, sprang Stockholm halvmarathon och gav min sista(?) Javatenta för IT-studenterna vid Linköpings universitet.

Tack!
Efter ett stort tack till alla våra talare under året:
  • Michael Anderberg, Microsoft Sverige
  • Bengt Berg, Cybercom Sweden East
  • Johannes Gumbel, TrueSec
  • Mats Henriksson, Pan Nordic Card Assoc
  • Simon Josefsson, SJD
  • Patrik Karlson, Inspect it
  • Anders Karlsson, MySQL och Sun Microsystems
  • Per Mellstrand, Sony Ericsson och Blekinge tekniska högskola
  • Andrei Sabelfeld, Chalmers
  • Daniel Stenberg, daniel.haxx.se
  • Pål Göran Stensson, Defensor Sverige
... och till våra sponsorer:
  • Inspect it
  • Omegapoint
  • Romab

Nu ska jag vara ledig i tre veckor och vill önska er alla god jul och gott nytt år. Vi ses 2009!

Mvh, John Wilander, chapter leader