Monday, November 19, 2007

AppSec 2007 pictures of breach party

OWASP and WASC AppSec Conference is over and it was by far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best conference i have ever been to. I was able to meet up with so many fantastic people, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m i have exchanged emails with before and was good to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in person. The conference topics and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation were really good. It was also my first time moderating a panel and it was a great experience. With such a sensitive topic, I was hoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion would be a little bit more controversial but I guess since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was just one microphone, everyone was waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir turn and hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion got a little dull. Or maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absece of google on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel and microsoft getting a lot better in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security practice didnt help much :) It was a good discussion none cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less.


Breach is building a reputation of throwing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best vendor parties during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se conferences. Here are my set of pictures for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tech Expo and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach party.


RSnake flirting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 waitress



Pravir and Dinis Cruz sharing some thoughts



You get so many webappsec guys togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lightning starts to come down. :)

From left : Jeremiah Grossman, Arian Evans, pdp, Myself, Ryan Barnett, Stefano DiPaola, Ory Segal and his colleague from IBM


pdp giving Arian a lesson on Web 2.0 hacking :)




Ryan Barnett, Stefano and Ory Segal (Happy to be here)



Whitehat Security Ops Team with few friends



Dinis Cruz and Arian Evans



Jeremiah, pdp and (i dont cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle)



Ory Segal (enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party)




The pictures below are of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Expo














Wednesday, November 07, 2007

Who are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real culprits for PCI compliance?

There was an article in SearchSecurity today on TJX issue.

Don't blame PCI DSS for TJX troubles, IT pros say
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1280854,00.html?track=sy160&asrc=RSS_RSS-10_160

Here is an excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article

The auditor said TJX passed a PCI DSS check-up, but that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor failed to notice some key problems.

"They had no network monitoring and no logs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had unencrypted data," he said. "But this wasn't picked up by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditor. They passed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Level 1 inspection and shouldn't have."




This makes me wonder what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real objective of PCI complpiance. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies are still trying to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI requirements and hire a third party to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure for PCI compliance. Now, if PCI council has approved a vendor to assess a company's infrastructure for PCI requirements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n for a company, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor understand PCI requirements and have proven to PCI council that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are qualified and capable of doing a good job. Now if a vendor charges $1000 to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job or $15000 is upto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor. Companies are always looking for a good bargain and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing wrong with that, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are going to an approved vendor.

So if a company still gets breached after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are PCI compliant (assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data stored was not encrypted), who is actually liable in this case? The company or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor who certified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company for PCI compliance? In my mind, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor would have told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensitive data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir database, and company has not done it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no question of company being PCI compliant.

Company getting penalized is understandable but is PCI council also going to impose penalties and fines on vendors who are not doing a good enough job? If a company is PCI compliant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n its not completely company's fault for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data breach as much as it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors, who did not identify and report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues and certified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company as PCI compliant.

Monday, November 05, 2007

Panel discussion on Website Vulnerability Disclosure during AppSec Conference on Nov 15

As most of you know that OWASP-WASC AppSec Conference is held in ebay between Nov12-Nov15 including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training sessions. There are very many exciting topics to look forward to in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference and not to forget cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor parties at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things i am excited about is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel discussion on Website Vulnerability Disclosure (which i will be moderating). We have some really great people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel and i am expecting a great lively discussion as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic is also a little bit touchy :)

The panelists are
1. Robert "RSnake" Hansen - CEO of SecTheory with his blog at "http://ha.ckers.org".
2. Bruce Lowenthal - Director of Oracle Security Alerts Group, Oracle
3. Zulfikar Ramzan - Advanced Threat Team, Symantec;
4. Katie Moussouris - Security Strategist, Microsoft
5. Christopher Ernst - US Secret Service, San Francisco Field Branch.

I am expecting this to be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best panel since it is not only a sensitive topic but also since we will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate, hacker and govt/law point of view on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject.

Since i have been working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions to ask during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel discussion, i thought i will also take ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs opinion on what kind of questions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would like to be asked. So, if you have any suggestions, please feel free to send me an email or leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog.

Do plan to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as it should be fun. The date/time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel discussion is
Nov 15, 16:30 - 17:30

Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire conference agenda
http://www.owasp.org/index.php/7th_OWASP_AppSec_Conference_-_San_Jose_2007/Agenda

Conference Registration page (if you havent registered already) including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor parties
http://www.owasp.org/index.php/7th_OWASP_AppSec_Conference_-_San_Jose_2007

Thursday, November 01, 2007

WASC meetup on Nov 8

Its time for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r WASC Meet-Up. As usual this will be an informal gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring. No agenda, slide-ware, or sponsors. Just some like minded people from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry getting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir stories over beer. Everyone is welcome and it should be a really fun time!

Please RSVP by email ASAP, if you haven't done so already, so we can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper reservations: anurag dot agarwal at yahoo dot com

Time: Thursday, Nov. 8 @ 7:00pm

Place:

Duke of Edinburgh
10801 N Wolfe Rd
Cupertino, CA 95014-0618
Phone: (408) 446-3853