OWASP (Open Web Application Security Project) es un proyecto sin fines de lucro dedicado a mejorar la seguridad de los sitios web y aplicaciones. Proporciona recursos gratuitos como publicaciones, software de prueba y capacitación para ayudar a los desarrolladores a crear software más seguro. El capítulo de OWASP en Sevilla ha organizado varios eventos y proyectos para conectar universidades, empresas y la comunidad de desarrollo local.
3. OWASP
• Open Web Application Security Project
– Sin fines de lucro, organización de voluntarios
• Todos los miembros son voluntarios
• Todo el trabajo es donado por los patrocinadores
– Proporcionar recursos gratuitos para la comunidad
• Publicaciones, artículos, normas
• Software de Testeo y Capacitación
• Capítulos locales & Listas de correo
– Soportada a través de patrocinios
• Apoyo financiero a través de empresas o patrocinadores
• Patrocinios personales de los miembros
#HBsevilla @OWASP_Sevilla
4. OWASP
• Open Web Application Security Project
– Promueve el desarrollo de software seguro
– Orientada a la prestación de servicios orientados a la Web y
Mobile
– Se centra principalmente en el "back-end" más que en
cuestiones de diseño
– Un foro abierto para el debate
– Un recurso gratuito para cualquier equipo de desarrollo de
software
#HBsevilla @OWASP_Sevilla
6. OWASP Sevilla
• 1 año, 8 eventos, 24 asistentes de media {8-68}
• Proyectos
o Traducción Guía de Testing de OWASP
o Bolsa de Trabajo
o Punto de encuentro Universidades/IES y Centros de Trabajo
o Incubadora
o HackerSpace
o Participación en Comunidades de Desarrollo de Sevilla
#HBsevilla @OWASP_Sevilla
11. Problema actual de la Seguridad en IOT
REDES • Servicios, Encriptación, Firewall, …
#HBsevilla @OWASP_Sevilla
12. Problema actual de la Seguridad en IOT
REDES • Servicios, Encriptación, Firewall, …
APLICACIONES • authN, authZ, validación inputs, …
#HBsevilla @OWASP_Sevilla
13. Problema actual de la Seguridad en IOT
REDES • Servicios, Encriptación, Firewall, …
APLICACIONES • authN, authZ, validación inputs, …
MÓVIL • APIs inseguras, capa cifrado, …
#HBsevilla @OWASP_Sevilla
14. Problema actual de la Seguridad en IOT
REDES • Servicios, Encriptación, Firewall, …
APLICACIONES • authN, authZ, validación inputs, …
MÓVIL • APIs inseguras, capa cifrado, …
CLOUD • AuthSessionAccess, …
#HBsevilla @OWASP_Sevilla
15. Problema actual de la Seguridad en IOT
REDES • Servicios, Encriptación, Firewall, …
APLICACIONES • authN, authZ, validación inputs, …
MÓVIL • APIs inseguras, capa cifrado, …
CLOUD • AuthSessionAccess, …
IOT • Red + App + Móvil + Cloud
#HBsevilla @OWASP_Sevilla
16. Gartner says 4.9 billion connected
“things” will be in use in 2015,
gartner.com/newsroom/id/2905717
Gartner, Inc. Forecasts that 4.9
billion connected things will be in
use in 2015, up 30 percent from
2014, and will reach 25 billion by
2020.
Evolución IOT
#HBsevilla @OWASP_Sevilla
18. 10/10 Permite ‘123456’
10/10 No Bloquea
10/10 Permite Enumeración de Usuarios
9/10 no tiene Doble Factor de Autenticación
8/10 Recoge Información Personal
7/10 no usa Cifrado
6/10 Interfaces Vulnerables a XSS/SQLi
SSH a la Escucha
Video Streaming sin Autenticación
Ausencia total de Actualizaciones
4AA5-7342ENW, March 2015
How safe are home security systems?
An HP study on IoT security
¿Cómo son de seguros los sistemas IOT?
#HBsevilla
34. #HBsevilla @OWASP_Sevilla
Based on years of Industry Experience
it’s ready to run right out of the box,
simply assign the IP address and
connect to the embedded web server.
sensorProbe2 has been field-proven
with versatile measurement options. It
can be configured to prevent
specific kinds of exposure to
humidity, water leakage, gas,
airflow and low / high temperature,
etc.
SNMP temperature & humidity sensors
https://www.shodan.io/search?query=AKCP