Las vulnerabilidades de ClickShare pueden haber sido parcheadas, pero ocultan un problema mucho mayor
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su distribución aquí e incluye enlaces interactivos a los desafíos de vulnerabilidad.
Creo que todos podemos recordar algún momento reciente en el que, en una reunión o conferencia, alguien tuvo problemas con la tecnología de presentación. Ocurre con tanta frecuencia que casi existe la expectativa de una experiencia torpe, al menos al principio. Por lo tanto, no sorprende que la aplicación perfecta de ClickShare fuera inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que usar una aplicación de ClickShare para transferir una presentación desde su portátil, tableta o smartphone a una pantalla grande o al proyector de una sala de conferencias. Barco, un proveedor de tecnología de proyección digital e imagen con sede en Bélgica, diseñó su plataforma de automatización para que funcionara de esa manera, y las grandes empresas adoptaron el concepto. FutureSource Consulting pone La cuota de mercado de Barco en tecnología de conferencias con un 29%, con una integración en el 40% de todas las empresas de la lista Fortune 1000.
Cuando los investigadores de F-Secure revelado en diciembre el hecho de que la plataforma de automatización, aparentemente inocua, estuviera plagada de vulnerabilidades de seguridad, conmocionó a la comunidad empresarial. Las fallas de seguridad descubiertas son de naturaleza crítica y podrían dar lugar a cualquier cantidad de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podrían permitir a los usuarios remotos espiar presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectaría a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se vieron ante la posibilidad de tener problemas de seguridad graves instalados directamente en las salas de conferencias y oficinas de toda la organización. Además, debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría provocar una violación en toda la red.
«Un atacante que comprometa con éxito una unidad obtiene la capacidad de descifrar y producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias», escribieron los funcionarios de F-Secure en su informe. «Además, un atacante de este tipo puede acceder a datos confidenciales almacenados, como el PSK Wi-Fi configurado y los certificados».
Hay que reconocer que Barco ha sido extremadamente proactivo a la hora de publicar parches y correcciones para las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable lanzado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, solo Barco había implementado soluciones.
Si bien algunas de las vulnerabilidades de Barco requieren cambios de hardware (y su implementación sería una pesadilla si una empresa toma medidas de este tipo para protegerlas), muchas de ellas se pueden corregir con parches de software. Esto ofrece a la mayoría de los usuarios empresariales un plan aparentemente bueno para solucionar sus problemas inmediatos, pero ahora apenas lo tienen claro. Los problemas de Barco son solo la punta del iceberg cuando se trata de hacer frente a las vulnerabilidades de los productos de hardware y software más conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, debemos preguntarnos cómo es que los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué se diseñaron y programaron tan mal en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas anteriormente. Diez de los fallos descubiertos en los productos de Barco estaban relacionados con problemas conocidos, vulnerabilidades comunes como los ataques de inyección de código. La mayoría ya tenían la identificación de vulnerabilidades y exposiciones comunes (CVE).
Entonces, ¿cómo se codificaron, o incluso se integraron, los CVE de hace décadas en las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no las conocían o que la seguridad no era una prioridad durante el diseño de los dispositivos Barco. Lamentablemente, esta es una situación habitual y, desde luego, no exclusiva de los equipos de Barco.
El mejor momento para corregir una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que se haya implementado un producto o después de que los atacantes lo exploten. Esta puede ser una lección difícil, que Barco seguramente aprenderá cuando su otrora impenetrable cuota de mercado se vea afectada tras este fiasco de seguridad.
Cambiar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, donde incluso los dispositivos aparentemente simples, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una práctica recomendada de la organización. No importa si una empresa está programando aplicaciones para redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Priorizar las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar e implementar software y productos seguros. Requiere un cambio cultural tan grande como cualquier otra cosa. La nueva mentalidad debe consistir en que implementar un producto que funcione con vulnerabilidades de seguridad es tanto un fracaso como crear uno que no pueda cumplir su función principal.
En un entorno de DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, no habría forma de que una colección tan grande de vulnerabilidades, incluidas las CVE de hace décadas, se hubiera incorporado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco y tener que explicar por qué se instalaron fallos de seguridad conocidos en sus dispositivos en miles de redes empresariales de todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar de inmediato la seguridad como una responsabilidad compartida y una mejor práctica organizacional. Crear un programa DevSecOps saludable llevará tiempo y es probable que también requiera un cambio de cultura, pero los resultados merecerán la pena. Las DevSecOps sólidas pueden eliminar las vulnerabilidades mucho antes de que causen problemas.
Para las empresas que compran productos y software, lo mejor para ellas es apoyar a las empresas que han adoptado DevSecOps. Hacerlo contribuirá en gran medida a garantizar que los dispositivos y el software que se obtienen de ellos no sean bombas de relojería que esperan ser explotadas por atacantes cada vez más hábiles.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre DevSecOps y cómo proteger a su organización y a sus clientes de los estragos de las fallas y vulnerabilidades de seguridad.
¿Quiere profundizar en los errores de seguridad que sufrió Barco?
Juega a estos desafíos gamificados en:
Cambiar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, donde incluso los dispositivos aparentemente simples, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su distribución aquí e incluye enlaces interactivos a los desafíos de vulnerabilidad.
Creo que todos podemos recordar algún momento reciente en el que, en una reunión o conferencia, alguien tuvo problemas con la tecnología de presentación. Ocurre con tanta frecuencia que casi existe la expectativa de una experiencia torpe, al menos al principio. Por lo tanto, no sorprende que la aplicación perfecta de ClickShare fuera inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que usar una aplicación de ClickShare para transferir una presentación desde su portátil, tableta o smartphone a una pantalla grande o al proyector de una sala de conferencias. Barco, un proveedor de tecnología de proyección digital e imagen con sede en Bélgica, diseñó su plataforma de automatización para que funcionara de esa manera, y las grandes empresas adoptaron el concepto. FutureSource Consulting pone La cuota de mercado de Barco en tecnología de conferencias con un 29%, con una integración en el 40% de todas las empresas de la lista Fortune 1000.
Cuando los investigadores de F-Secure revelado en diciembre el hecho de que la plataforma de automatización, aparentemente inocua, estuviera plagada de vulnerabilidades de seguridad, conmocionó a la comunidad empresarial. Las fallas de seguridad descubiertas son de naturaleza crítica y podrían dar lugar a cualquier cantidad de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podrían permitir a los usuarios remotos espiar presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectaría a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se vieron ante la posibilidad de tener problemas de seguridad graves instalados directamente en las salas de conferencias y oficinas de toda la organización. Además, debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría provocar una violación en toda la red.
«Un atacante que comprometa con éxito una unidad obtiene la capacidad de descifrar y producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias», escribieron los funcionarios de F-Secure en su informe. «Además, un atacante de este tipo puede acceder a datos confidenciales almacenados, como el PSK Wi-Fi configurado y los certificados».
Hay que reconocer que Barco ha sido extremadamente proactivo a la hora de publicar parches y correcciones para las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable lanzado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, solo Barco había implementado soluciones.
Si bien algunas de las vulnerabilidades de Barco requieren cambios de hardware (y su implementación sería una pesadilla si una empresa toma medidas de este tipo para protegerlas), muchas de ellas se pueden corregir con parches de software. Esto ofrece a la mayoría de los usuarios empresariales un plan aparentemente bueno para solucionar sus problemas inmediatos, pero ahora apenas lo tienen claro. Los problemas de Barco son solo la punta del iceberg cuando se trata de hacer frente a las vulnerabilidades de los productos de hardware y software más conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, debemos preguntarnos cómo es que los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué se diseñaron y programaron tan mal en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas anteriormente. Diez de los fallos descubiertos en los productos de Barco estaban relacionados con problemas conocidos, vulnerabilidades comunes como los ataques de inyección de código. La mayoría ya tenían la identificación de vulnerabilidades y exposiciones comunes (CVE).
Entonces, ¿cómo se codificaron, o incluso se integraron, los CVE de hace décadas en las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no las conocían o que la seguridad no era una prioridad durante el diseño de los dispositivos Barco. Lamentablemente, esta es una situación habitual y, desde luego, no exclusiva de los equipos de Barco.
El mejor momento para corregir una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que se haya implementado un producto o después de que los atacantes lo exploten. Esta puede ser una lección difícil, que Barco seguramente aprenderá cuando su otrora impenetrable cuota de mercado se vea afectada tras este fiasco de seguridad.
Cambiar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, donde incluso los dispositivos aparentemente simples, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una práctica recomendada de la organización. No importa si una empresa está programando aplicaciones para redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Priorizar las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar e implementar software y productos seguros. Requiere un cambio cultural tan grande como cualquier otra cosa. La nueva mentalidad debe consistir en que implementar un producto que funcione con vulnerabilidades de seguridad es tanto un fracaso como crear uno que no pueda cumplir su función principal.
En un entorno de DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, no habría forma de que una colección tan grande de vulnerabilidades, incluidas las CVE de hace décadas, se hubiera incorporado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco y tener que explicar por qué se instalaron fallos de seguridad conocidos en sus dispositivos en miles de redes empresariales de todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar de inmediato la seguridad como una responsabilidad compartida y una mejor práctica organizacional. Crear un programa DevSecOps saludable llevará tiempo y es probable que también requiera un cambio de cultura, pero los resultados merecerán la pena. Las DevSecOps sólidas pueden eliminar las vulnerabilidades mucho antes de que causen problemas.
Para las empresas que compran productos y software, lo mejor para ellas es apoyar a las empresas que han adoptado DevSecOps. Hacerlo contribuirá en gran medida a garantizar que los dispositivos y el software que se obtienen de ellos no sean bombas de relojería que esperan ser explotadas por atacantes cada vez más hábiles.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre DevSecOps y cómo proteger a su organización y a sus clientes de los estragos de las fallas y vulnerabilidades de seguridad.
¿Quiere profundizar en los errores de seguridad que sufrió Barco?
Juega a estos desafíos gamificados en:
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su distribución aquí e incluye enlaces interactivos a los desafíos de vulnerabilidad.
Creo que todos podemos recordar algún momento reciente en el que, en una reunión o conferencia, alguien tuvo problemas con la tecnología de presentación. Ocurre con tanta frecuencia que casi existe la expectativa de una experiencia torpe, al menos al principio. Por lo tanto, no sorprende que la aplicación perfecta de ClickShare fuera inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que usar una aplicación de ClickShare para transferir una presentación desde su portátil, tableta o smartphone a una pantalla grande o al proyector de una sala de conferencias. Barco, un proveedor de tecnología de proyección digital e imagen con sede en Bélgica, diseñó su plataforma de automatización para que funcionara de esa manera, y las grandes empresas adoptaron el concepto. FutureSource Consulting pone La cuota de mercado de Barco en tecnología de conferencias con un 29%, con una integración en el 40% de todas las empresas de la lista Fortune 1000.
Cuando los investigadores de F-Secure revelado en diciembre el hecho de que la plataforma de automatización, aparentemente inocua, estuviera plagada de vulnerabilidades de seguridad, conmocionó a la comunidad empresarial. Las fallas de seguridad descubiertas son de naturaleza crítica y podrían dar lugar a cualquier cantidad de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podrían permitir a los usuarios remotos espiar presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectaría a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se vieron ante la posibilidad de tener problemas de seguridad graves instalados directamente en las salas de conferencias y oficinas de toda la organización. Además, debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría provocar una violación en toda la red.
«Un atacante que comprometa con éxito una unidad obtiene la capacidad de descifrar y producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias», escribieron los funcionarios de F-Secure en su informe. «Además, un atacante de este tipo puede acceder a datos confidenciales almacenados, como el PSK Wi-Fi configurado y los certificados».
Hay que reconocer que Barco ha sido extremadamente proactivo a la hora de publicar parches y correcciones para las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable lanzado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, solo Barco había implementado soluciones.
Si bien algunas de las vulnerabilidades de Barco requieren cambios de hardware (y su implementación sería una pesadilla si una empresa toma medidas de este tipo para protegerlas), muchas de ellas se pueden corregir con parches de software. Esto ofrece a la mayoría de los usuarios empresariales un plan aparentemente bueno para solucionar sus problemas inmediatos, pero ahora apenas lo tienen claro. Los problemas de Barco son solo la punta del iceberg cuando se trata de hacer frente a las vulnerabilidades de los productos de hardware y software más conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, debemos preguntarnos cómo es que los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué se diseñaron y programaron tan mal en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas anteriormente. Diez de los fallos descubiertos en los productos de Barco estaban relacionados con problemas conocidos, vulnerabilidades comunes como los ataques de inyección de código. La mayoría ya tenían la identificación de vulnerabilidades y exposiciones comunes (CVE).
Entonces, ¿cómo se codificaron, o incluso se integraron, los CVE de hace décadas en las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no las conocían o que la seguridad no era una prioridad durante el diseño de los dispositivos Barco. Lamentablemente, esta es una situación habitual y, desde luego, no exclusiva de los equipos de Barco.
El mejor momento para corregir una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que se haya implementado un producto o después de que los atacantes lo exploten. Esta puede ser una lección difícil, que Barco seguramente aprenderá cuando su otrora impenetrable cuota de mercado se vea afectada tras este fiasco de seguridad.
Cambiar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, donde incluso los dispositivos aparentemente simples, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una práctica recomendada de la organización. No importa si una empresa está programando aplicaciones para redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Priorizar las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar e implementar software y productos seguros. Requiere un cambio cultural tan grande como cualquier otra cosa. La nueva mentalidad debe consistir en que implementar un producto que funcione con vulnerabilidades de seguridad es tanto un fracaso como crear uno que no pueda cumplir su función principal.
En un entorno de DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, no habría forma de que una colección tan grande de vulnerabilidades, incluidas las CVE de hace décadas, se hubiera incorporado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco y tener que explicar por qué se instalaron fallos de seguridad conocidos en sus dispositivos en miles de redes empresariales de todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar de inmediato la seguridad como una responsabilidad compartida y una mejor práctica organizacional. Crear un programa DevSecOps saludable llevará tiempo y es probable que también requiera un cambio de cultura, pero los resultados merecerán la pena. Las DevSecOps sólidas pueden eliminar las vulnerabilidades mucho antes de que causen problemas.
Para las empresas que compran productos y software, lo mejor para ellas es apoyar a las empresas que han adoptado DevSecOps. Hacerlo contribuirá en gran medida a garantizar que los dispositivos y el software que se obtienen de ellos no sean bombas de relojería que esperan ser explotadas por atacantes cada vez más hábiles.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre DevSecOps y cómo proteger a su organización y a sus clientes de los estragos de las fallas y vulnerabilidades de seguridad.
¿Quiere profundizar en los errores de seguridad que sufrió Barco?
Juega a estos desafíos gamificados en:
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su distribución aquí e incluye enlaces interactivos a los desafíos de vulnerabilidad.
Creo que todos podemos recordar algún momento reciente en el que, en una reunión o conferencia, alguien tuvo problemas con la tecnología de presentación. Ocurre con tanta frecuencia que casi existe la expectativa de una experiencia torpe, al menos al principio. Por lo tanto, no sorprende que la aplicación perfecta de ClickShare fuera inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que usar una aplicación de ClickShare para transferir una presentación desde su portátil, tableta o smartphone a una pantalla grande o al proyector de una sala de conferencias. Barco, un proveedor de tecnología de proyección digital e imagen con sede en Bélgica, diseñó su plataforma de automatización para que funcionara de esa manera, y las grandes empresas adoptaron el concepto. FutureSource Consulting pone La cuota de mercado de Barco en tecnología de conferencias con un 29%, con una integración en el 40% de todas las empresas de la lista Fortune 1000.
Cuando los investigadores de F-Secure revelado en diciembre el hecho de que la plataforma de automatización, aparentemente inocua, estuviera plagada de vulnerabilidades de seguridad, conmocionó a la comunidad empresarial. Las fallas de seguridad descubiertas son de naturaleza crítica y podrían dar lugar a cualquier cantidad de actividades maliciosas.
Los investigadores demostraron cómo las vulnerabilidades podrían permitir a los usuarios remotos espiar presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectaría a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se vieron ante la posibilidad de tener problemas de seguridad graves instalados directamente en las salas de conferencias y oficinas de toda la organización. Además, debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría provocar una violación en toda la red.
«Un atacante que comprometa con éxito una unidad obtiene la capacidad de descifrar y producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias», escribieron los funcionarios de F-Secure en su informe. «Además, un atacante de este tipo puede acceder a datos confidenciales almacenados, como el PSK Wi-Fi configurado y los certificados».
Hay que reconocer que Barco ha sido extremadamente proactivo a la hora de publicar parches y correcciones para las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable lanzado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, solo Barco había implementado soluciones.
Si bien algunas de las vulnerabilidades de Barco requieren cambios de hardware (y su implementación sería una pesadilla si una empresa toma medidas de este tipo para protegerlas), muchas de ellas se pueden corregir con parches de software. Esto ofrece a la mayoría de los usuarios empresariales un plan aparentemente bueno para solucionar sus problemas inmediatos, pero ahora apenas lo tienen claro. Los problemas de Barco son solo la punta del iceberg cuando se trata de hacer frente a las vulnerabilidades de los productos de hardware y software más conocidos.
La raíz del problema
Ahora que los problemas inmediatos se han resuelto, debemos preguntarnos cómo es que los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué se diseñaron y programaron tan mal en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas anteriormente. Diez de los fallos descubiertos en los productos de Barco estaban relacionados con problemas conocidos, vulnerabilidades comunes como los ataques de inyección de código. La mayoría ya tenían la identificación de vulnerabilidades y exposiciones comunes (CVE).
Entonces, ¿cómo se codificaron, o incluso se integraron, los CVE de hace décadas en las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no las conocían o que la seguridad no era una prioridad durante el diseño de los dispositivos Barco. Lamentablemente, esta es una situación habitual y, desde luego, no exclusiva de los equipos de Barco.
El mejor momento para corregir una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que se haya implementado un producto o después de que los atacantes lo exploten. Esta puede ser una lección difícil, que Barco seguramente aprenderá cuando su otrora impenetrable cuota de mercado se vea afectada tras este fiasco de seguridad.
Cambiar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, donde incluso los dispositivos aparentemente simples, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una práctica recomendada de la organización. No importa si una empresa está programando aplicaciones para redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.
Priorizar las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar e implementar software y productos seguros. Requiere un cambio cultural tan grande como cualquier otra cosa. La nueva mentalidad debe consistir en que implementar un producto que funcione con vulnerabilidades de seguridad es tanto un fracaso como crear uno que no pueda cumplir su función principal.
En un entorno de DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, no habría forma de que una colección tan grande de vulnerabilidades, incluidas las CVE de hace décadas, se hubiera incorporado a sus herramientas de presentación.
El camino seguro hacia adelante
Nadie quiere ser el próximo Barco y tener que explicar por qué se instalaron fallos de seguridad conocidos en sus dispositivos en miles de redes empresariales de todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar de inmediato la seguridad como una responsabilidad compartida y una mejor práctica organizacional. Crear un programa DevSecOps saludable llevará tiempo y es probable que también requiera un cambio de cultura, pero los resultados merecerán la pena. Las DevSecOps sólidas pueden eliminar las vulnerabilidades mucho antes de que causen problemas.
Para las empresas que compran productos y software, lo mejor para ellas es apoyar a las empresas que han adoptado DevSecOps. Hacerlo contribuirá en gran medida a garantizar que los dispositivos y el software que se obtienen de ellos no sean bombas de relojería que esperan ser explotadas por atacantes cada vez más hábiles.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre DevSecOps y cómo proteger a su organización y a sus clientes de los estragos de las fallas y vulnerabilidades de seguridad.
¿Quiere profundizar en los errores de seguridad que sufrió Barco?
Juega a estos desafíos gamificados en:
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.