OWASP Poznań #1

API Security Scan as a service – Radosław Stankiewicz

A gdyby tak dać możliwość robienia testów bezpieczeństwa developerom? Lessons Learnt z budowania startupu w Londynie oferującego przyjazne skanowanie API Restowego. Podczas prezentacji opowiem o drodze jaką przeszliśmy, ile to kosztowało, co się udało, gdzie popełniliśmy błędy i dokąd dotarliśmy.

Don’t roll your own crypto – Marcin Mergo, Michał Kowalski

Wbrew powszechnym opiniom kryptografia jest trudna, a rozwiązaniom znalezionym na Stack Overflow nie zawsze można ufać. Jak żyć w świecie, w którym algorytmy przestają być bezpieczne z dnia na dzień, a wielkie korporacje z budżetem większym niż cała Polska zaliczają kolejne wpadki? Podczas prezentacji będziemy chcieli Was przekonać, że do stworzenia bezpiecznego rozwiązania opertego o kryptografię nie potrzeba dedykowanego zespołu wysoko wykwalifikowanych bezpieczników. Pokażemy też wybrane narzędzia, które pozwolą Wam to osiągnąć.

Cloud PKI – Bartosz Witkowski

Dyrektywa unijna eIDAS otwiera możliwość stosowania nowych technologii w kontekście rozwiązań opartych o infrastrukturę klucza publicznego. Jedną z nowości umożliwionych dzięki temu jest podpis serwerowy czasami nazywany Cloud PKI, który daje możliwość wykonania zdalnego, bezpiecznego lub nawet kwalifikowanego podpisu elektronicznego. Elastyczność i wygoda takiego rozwiązania wydaje się być niezaprzeczalna jednak jak zapewnić bezpieczeństwo takiemu rozwiązaniu gdy klucz prywatny użytkownika nie jest przechowywany na jego prywatnej karcie. Jak zaoferować odpowiednie bezpieczeństwo przy wykorzystaniu centralnych systemów i HSM? Jak zapewnić że klucze w HSM będą pod wyłączną kontrolą użytkownika tak by wypełnić wytyczne dyrektywy ale i przekonać użytkowników do bezpieczeństwa zdalnego systemu? Podczas naszej sesji postaramy się odpowiedzieć na te pytania oraz zaprezentować jak można implementować własną logikę biznesową wewnątrz bezpiecznego środowiska jakiem jest HSM wdrażając własne moduły firmware.