My vote is for topics B &C.<div><br></div><div>Thanks Tim!<br><br><div class="gmail_quote">On Thu, Dec 22, 2011 at 3:47 PM, Timothy D. Morgan <span dir="ltr"><<a href="mailto:tmorgan-owasp@vsecurity.com">tmorgan-owasp@vsecurity.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi everyone,<br>
<br>
In my quest for speakers, I asked Joe Basirico from Security Innovation<br>
if he'd like to come down and present for us. †He and his colleagues<br>
speak on a number of topics and they sound interested in lending us some<br>
of their insight.<br>
<br>
Here are some of the topics Joe offered to present, in no particular<br>
order. †If you don't mind, could you all take a moment to read through<br>
these and let us know which 2 topics would most interest you?<br>
<br>
Thanks!<br>
tim<br>
<br>
<br>
<br>
A) Business in the Cloud: Mitigating Risk<br>
=========================================<br>
The cloud is a fundamental paradigm shift from our current or past<br>
thinking about scalable architecture and security. Itís a cost-effective<br>
way to provide maximum mobility and accessibility for your customers,<br>
but there are security tradeoffs: less control of data, new<br>
vulnerability classes, and compliance challenges. However, if managed<br>
properly, these risks can be mitigated. †This presentation will discuss<br>
the challenges of cloud computing, demonstrate how to build a secure and<br>
redundant system, and touch upon real-world examples of cloud computing<br>
gone bad. Topics include:<br>
<br>
* Pros and cons of cloud computing<br>
* Trust - is it there when you need it to be? Amazon case study<br>
* Security controls<br>
* Securing applications in the cloud<br>
* Redundancy - yes, we still need to think about it. Netflix case study<br>
* The murky waters of compliance: PCI, GLBA, SAS 70, HIPAA, etc<br>
<br>
<br>
B) Attacker Techniques: Uncut & Uncensored<br>
==========================================<br>
The security decisions made in each phase software development have a<br>
cascading effect (both positive and negative) in subsequent phases. And<br>
those decisions can make it a lot easier or harder for an attacker to<br>
penetrate security measure. †This interactive session, hosted by a<br>
software security expert, will shed light on todayís most pervasive<br>
security flaws like injection and overflows - and the ease with which<br>
they can be exploited, as seen in the recent attacks against Sony<br>
PlayStation Network.<br>
<br>
Using automated tools, manual techniques, and software applications<br>
custom-built for this demonstration, the host will show how an attacker<br>
views an application, looks for clues and vulnerabilities, and<br>
ultimately exploits these weaknesses For each attack scenario, he will<br>
discuss the underlying flaw, exploit, vulnerability and consequence, and<br>
encourage attendee participation.<br>
<br>
<br>
C) Security Debate: Source Code Scanning or Web Application Scanning?<br>
=====================================================================<br>
Source code reviews are helpful in finding many known dangerous<br>
functions and structures in code. Web scanning provides insight into<br>
as-deployed Web applications. Individually, each technique provides a<br>
unique and targeted window into true security, but combining the two can<br>
yield amazing results. This presentation will describe the process of<br>
synergistically using tools like source code scanners along with web<br>
application scanners to dramatically reduce costs and harden your web<br>
applications<br>
<br>
Topics covered:<br>
* When should testing be done: during development or post-deployment?<br>
* Automated vs. manual efforts Ė each has its time and place, but what<br>
is the optimal mix?<br>
* Debate: the pros and cons of black box vs. white box testing<br>
* Best practices for source code scanning and web application scanning<br>
<br>
<br>
D) Fragile Relics: Securing Legacy Applications<br>
===============================================<br>
Legacy applications are often like Wonders of the Ancient World - nobody<br>
can quite explain how exactly they came to be ... and surely nobody<br>
knows how to secure them properly. And a lot of legacy applications are<br>
rewritten or re-wrapped in new code in attempts to improve<br>
interoperability and functionality. New platforms like Service-Oriented<br>
Architectures (SOA) and development techniques like AJAX presents a<br>
great opportunity to give a fresh look to the application development<br>
and management process of legacy applications and introduce<br>
security-specific principles early in the process. This talk will guide<br>
you through best practices in making mission-critical legacy<br>
applications secure using today's latest techniques and technologies.<br>
<br>
This talk will walk through several business cases of companies who<br>
built service-oriented architectures using the latest tools and methods<br>
with a specific mind toward securing their mission-critical legacy<br>
applications in the process. We will discuss their decision processes<br>
and analyze their choices of SOA, encryption, outsourcing,<br>
authentication, threat modeling, and SDLC best practices.<br>
<br>
<br>
E) Finding your Inner Evildoer for Successful Security Testing<br>
==============================================================<br>
Typically, a seasoned tester that can hunt down functional bugs in the<br>
oddest of places does not make the transition to security testing very<br>
easily. This presentation will discuss the three tenants of a great<br>
security tester: Hearing Evil, Seeing Evil, and Doing Evil:<br>
<br>
* Hearing Evil - the ability to absorb a massive amount of security<br>
knowledge and immediately and effectively apply it to their daily<br>
testing lives. Testers with this ability can draw upon years of<br>
experience and testing history to detect when things are out of place or<br>
where the deep interesting security bugs reside.<br>
<br>
* Seeing evil - visualizing the system in the mindís eye. Any great<br>
security tester can use his or her imagination to visualize what is<br>
occurring in the various components of a system that we do not have<br>
access to. This imagination leads to deep understanding of how the<br>
system is structured and allows the tester to visualize opportunities<br>
for exploitation well below the surface.<br>
<br>
* Doing evil - the ability for a security tester to figure out ways to<br>
replicate an attackerís master plan and execute on it themselves.<br>
Thinking like an attacker isnít enough - fully securing a system or<br>
application requires surgical execution of a master attack plan.<br>
<br>
<br>
F) I'm the Optimist<br>
===================<br>
Despite nearly every metric by which we can measure the overall security<br>
as an industry we're getting worse. How can we continue to feel good<br>
about software in general. Talk about CAs, SSL, DNSSEC, etc., security<br>
bug trends, disclosure, large scales software and small scale software,<br>
and privacy. For each of these things talk about how developers need to<br>
step up, but it's not an insurmountable problem.<br>
<br>
_______________________________________________<br>
Owasp-portland mailing list<br>
<a href="mailto:Owasp-portland@lists.owasp.org">Owasp-portland@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-portland" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-portland</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Matthew Lapworth<br><a href="http://www.bit-shift.net">http://www.bit-shift.net</a><br><br>We are what we repeatedly do. Excellence then is not an act, but a habit.<br>

† - Aristotle<br>
</div>