<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div style="-webkit-text-size-adjust: auto; "><span></span></div><div><meta http-equiv="content-type" content="text/html; charset=utf-8"><div style="-webkit-text-size-adjust: auto; "><span></span></div><div style="-webkit-text-size-adjust: auto; "><span style="-webkit-text-size-adjust: auto;"></span>Dear All</div><div style="-webkit-text-size-adjust: auto; "><br></div><div style="-webkit-text-size-adjust: auto; ">We are proposing our next OWASP Cambridge Roadshow on the 16th April, initial speaker biography and details below.  Additional speakers, room details and times to follow.</div><div style="-webkit-text-size-adjust: auto; "><br></div><div style="-webkit-text-size-adjust: auto; ">Another heads up for a proposed event on the 13/14 May when the OWASP EU Roadshow is hopefully coming to town for two days of speakers and training activities.  Please put the dates in your diary.</div><div style="-webkit-text-size-adjust: auto; "><br></div><div style="-webkit-text-size-adjust: auto; ">More details to follow.</div><div style="-webkit-text-size-adjust: auto; "><br></div><div style="-webkit-text-size-adjust: auto; ">Many thanks</div><div style="-webkit-text-size-adjust: auto; "><br></div><div style="-webkit-text-size-adjust: auto; ">Adrian</div><div style="-webkit-text-size-adjust: auto; "><br></div><div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Adrian Winckles MSc BEng CEng CITP MBCS<br></span></div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Senior Lecturer in Information Security and Forensic Computing<br></span></div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">(OWASP Cambridge Chapter Leader)</span></div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Anglia Ruskin University<br></span></div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">East Road <br></span></div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Cambridge</span></div></div><div style="-webkit-text-size-adjust: auto; "><br><span style="-webkit-text-size-adjust: auto;"></span><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Topic: "Everything we know is Wrong" Cambridge OWASP Chapter Meeting 16th April</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Eoin has recently devliered this at RSA (Feb 2013) in San Fransisco and Semafor (March 2013) in Poland to great effect.</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">The premise behind this talk is to challenge both the technical controls we recommend to developers and also out actual approach to testing. This talk is sure to challenge the status quo of web security today.<br><br>"Insanity is doing the same thing over and over and expecting different results." - Albert Einstein<br><br>We continue to rely on a “pentest” to secure our applications.</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Why do we think it is acceptable to perform a time-limited test of an application to help ensure security when a determined attacker may spend 10-100 times longer attempting to find a suitable vulnerability?</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Our testing methodologies are non-consistent and rely on the individual and the tools they use.</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Some carpenters use glue and some use nails when building a wooden house. Which is best and why do we accept poor inconsistent quality.</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Fire and forget scanners won’t solve security issues. Attackers take time and skill but our industry accepts the output of a software programme to help ensure security?</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">How can we expect developers to listen to security consultants when the consultant has never written a line of code? Why don’t we ask ‘How much code development have you done, seen as you are assessing my code for security bugs?"</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Currently we treat vulnerabilities like XSS and SQLI as different issues but the root causes it the same. – it’s all code injection theory!! Why do we do this and make security bugs over complex?</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br>Why are we still happy with “Testing security out” rather than the more superior “building security in”?</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Biography</span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Eoin is international board member and vice chair of OWASP, The Open Web Application Security Project (<a href="http://owasp.org/" target="_blank">owasp.org</a>). During his time in OWASP he has lead the OWASP Testing and Security Code Review Guides and also contributed to OWASP SAMM, and the OWASP Cheat Sheet Series.<br><br>Eoin Keary is the CTO and founder of BCC Risk Advisory Ltd. (<a href="http://www.bccriskadvisory.com/" target="_blank">www.bccriskadvisory.com</a>) an Irish company who specialise in secure application development, advisory, penetration testing, Mobile & Cloud security and training.<br></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></font></div><div><font color="#000000"><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Eoin has led global security engagements for some of the world’s largest financial services and consumer products companies. He is a well-known technical leader in industry in the area of software security and penetration testing. </span></font></div><span style="-webkit-text-size-adjust: auto; ">Sent from my iPad</span><br></div></div></body></html>