Wenn gute Mikrowellen kaputt gehen: Warum die Sicherheit integrierter Systeme für Entwickler der nächste Kampf gegen die Chefs ist
Es gibt viele Verweise in der Popkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer auflehnen. Das ist zwar stark von Science-Fiction-Fantasien und Unterhaltung geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer häufiger vorkommen, sollte auch das Thema Cybersicherheit und Sicherheit immer mehr in den Fokus rücken. Software ist überall zu finden, und man vergisst leicht, wie sehr wir von Codezeilen abhängig sind, um all die intelligenten Dinge zu tun, die uns so viel Innovation und Komfort bieten. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn ein Angreifer ihn in der natürlichen Umgebung entdeckt.
Auch wenn es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (obwohl Bot Tesla ein wenig beunruhigend ist), ist es dennoch möglich, dass böswillige Cybervorfälle auftreten. Einige unserer Autos, Flugzeuge und medizinischen Geräte basieren ebenfalls auf komplexen Codes integrierter Systeme, um wichtige Aufgaben auszuführen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur alarmierend, sondern kann auch lebensgefährlich sein.
Wie bei jeder anderen Art von Software sind die Entwickler die ersten, die den Code bearbeiten, gleich zu Beginn der Entwicklungsphase. Und wie bei jeder anderen Art von Software kann dies ein Nährboden für häufige und heimtückische Schwachstellen sein, die unbemerkt bleiben könnten, bevor das Produkt in Betrieb genommen wird.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel solideren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme (in der Regel in C und C++ geschrieben) werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen. Daher ist es unerlässlich, dass Entwickler über eine spezielle Sicherheitsschulung für die Tools dieser Umgebung verfügen.
Explosive Fritteusen, rebellische Fahrzeuge... Sind wir leichte Ziele?
Es gibt zwar einige Standards und Vorschriften für die gesamte sichere Entwicklung, aber um unsere Sicherheit zu gewährleisten, müssen wir viel präziser und konsequenter auf alle Arten der Softwaresicherheit hinarbeiten. Es mag absurd erscheinen, an ein Problem zu denken, das durch jemanden verursacht werden könnte, der eine Fritteuse hackt, aber genau das ist in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf gefährliche Werte zu erhöhen) bereits passiert, ebenso wie Schwachstellen, die zur Übernahme von Fahrzeugen führen.
Insbesondere Fahrzeuge sind besonders komplex, da sie über mehrere integrierte Bordsysteme verfügen, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. Dank der Kombination mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und mit 76,3 Millionen vernetzten Fahrzeugen, die bis 2023 weltweit auf den Straßen unterwegs sein sollen, entsteht ein Monolith aus Verteidigungsbasen, um echte Sicherheit zu gewährleisten.
MISRA ist eine wichtige Organisation, die sich mit den Gefahren integrierter Systeme befasst und Richtlinien entwickelt hat, um die Sicherheit, Portabilität und Zuverlässigkeit von Code im Zusammenhang mit integrierten Systemen zu verbessern. Diese Richtlinien sind der Leitstern für Standards, die jedes Unternehmen bei seinen Projekten mit integrierten Systemen anstreben sollte.
Um jedoch Code zu erstellen und auszuführen, der diesem Referenzstandard entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die sich auf die Tools verlassen können (ganz zu schweigen von der Sicherheit).
Warum ist die Verbesserung der Sicherheitsfähigkeiten integrierter Systeme so spezifisch?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber weiterhin häufig verwendet. Sie bilden den funktionalen Kern der Codebasis integrierter Systeme, und Embedded C/C++ erfreut sich als Teil der Welt der vernetzten Geräte einer modernen und glänzenden Zukunft.
Obwohl diese Sprachen ziemlich alte Wurzeln haben (und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsfehler und Pufferüberläufe aufweisen), müssen Entwickler, um Sicherheitsfehler in eingebetteten Systemen erfolgreich zu beheben, mit Code arbeiten, der die Umgebungen nachahmt, in denen sie arbeiten. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam wie eine intensivere und sorgfältigere Arbeit im Kontext von integriertem C.
Con entre una docena y más de cien sistemas integrados en un vehículo moderno, es imprescindible que los desarrolladores reciban una formación precisa sobre qué buscar y cómo solucionarlo, directamente en el IDE.
Der Schutz eingebetteter Systeme vom Fundament an ist die Verantwortung aller.
Der Status quo in vielen Organisationen ist, dass die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler angeht. Selten wird ihre Fähigkeit, sicheren Code zu produzieren, bewertet, aber die schnelle Entwicklung beeindruckender Funktionen ist der Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat dazu geführt, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verloren haben.
Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die jemand aus dem AppSec-Team schließen muss, indem er die richtigen und zugänglichen (ganz zu schweigen von bewertbaren) Programme zur Verbesserung der Fähigkeiten für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an sollte die Sicherheit eine der wichtigsten Überlegungen sein, damit alle, insbesondere die Entwickler, das erhalten, was sie zur Erfüllung ihrer Aufgaben benötigen.
Machen Sie sich mit den Sicherheitsproblemen integrierter Systeme vertraut.
Der Pufferüberlauf, Injektionsfehler und Fehler in der Geschäftslogik sind häufige Fehler bei der Entwicklung integrierter Systeme. Wenn sie tief in einem Labyrinth von Mikrocontrollern in einem einzelnen Fahrzeug oder Gerät verborgen sind, kann dies aus Sicherheitsgründen katastrophale Folgen haben.
Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie sie zur Kompromittierung der zuvor erwähnten Fritteuse beigetragen haben (die die Remote-Ausführung von Code ermöglichte), lesen Sie diesen Bericht unter CVE-2020-28592.
Jetzt ist es an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in echtem eingebettetem C/C++-Code zu befassen. Nehmen Sie diese Herausforderung an und versuchen Sie, die fehlerhaften Codierungsmuster zu finden, zu identifizieren und zu korrigieren, die zu diesem heimtückischen Fehler führen:
.png)
¿Cómo te fue? Visita www.securecodewarrior.com para una formación precisa y eficaz sobre la seguridad de los sistemas integrados.
Genau wie bei webbasierter Software, APIs und Mobilgeräten kann auch der anfällige Code integrierter Systeme ausgenutzt werden, wenn ein Angreifer ihn in freier Wildbahn entdeckt.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt viele Verweise in der Popkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer auflehnen. Das ist zwar stark von Science-Fiction-Fantasien und Unterhaltung geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer häufiger vorkommen, sollte auch das Thema Cybersicherheit und Sicherheit immer mehr in den Fokus rücken. Software ist überall zu finden, und man vergisst leicht, wie sehr wir von Codezeilen abhängig sind, um all die intelligenten Dinge zu tun, die uns so viel Innovation und Komfort bieten. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn ein Angreifer ihn in der natürlichen Umgebung entdeckt.
Auch wenn es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (obwohl Bot Tesla ein wenig beunruhigend ist), ist es dennoch möglich, dass böswillige Cybervorfälle auftreten. Einige unserer Autos, Flugzeuge und medizinischen Geräte basieren ebenfalls auf komplexen Codes integrierter Systeme, um wichtige Aufgaben auszuführen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur alarmierend, sondern kann auch lebensgefährlich sein.
Wie bei jeder anderen Art von Software sind die Entwickler die ersten, die den Code bearbeiten, gleich zu Beginn der Entwicklungsphase. Und wie bei jeder anderen Art von Software kann dies ein Nährboden für häufige und heimtückische Schwachstellen sein, die unbemerkt bleiben könnten, bevor das Produkt in Betrieb genommen wird.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel solideren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme (in der Regel in C und C++ geschrieben) werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen. Daher ist es unerlässlich, dass Entwickler über eine spezielle Sicherheitsschulung für die Tools dieser Umgebung verfügen.
Explosive Fritteusen, rebellische Fahrzeuge... Sind wir leichte Ziele?
Es gibt zwar einige Standards und Vorschriften für die gesamte sichere Entwicklung, aber um unsere Sicherheit zu gewährleisten, müssen wir viel präziser und konsequenter auf alle Arten der Softwaresicherheit hinarbeiten. Es mag absurd erscheinen, an ein Problem zu denken, das durch jemanden verursacht werden könnte, der eine Fritteuse hackt, aber genau das ist in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf gefährliche Werte zu erhöhen) bereits passiert, ebenso wie Schwachstellen, die zur Übernahme von Fahrzeugen führen.
Insbesondere Fahrzeuge sind besonders komplex, da sie über mehrere integrierte Bordsysteme verfügen, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. Dank der Kombination mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und mit 76,3 Millionen vernetzten Fahrzeugen, die bis 2023 weltweit auf den Straßen unterwegs sein sollen, entsteht ein Monolith aus Verteidigungsbasen, um echte Sicherheit zu gewährleisten.
MISRA ist eine wichtige Organisation, die sich mit den Gefahren integrierter Systeme befasst und Richtlinien entwickelt hat, um die Sicherheit, Portabilität und Zuverlässigkeit von Code im Zusammenhang mit integrierten Systemen zu verbessern. Diese Richtlinien sind der Leitstern für Standards, die jedes Unternehmen bei seinen Projekten mit integrierten Systemen anstreben sollte.
Um jedoch Code zu erstellen und auszuführen, der diesem Referenzstandard entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die sich auf die Tools verlassen können (ganz zu schweigen von der Sicherheit).
Warum ist die Verbesserung der Sicherheitsfähigkeiten integrierter Systeme so spezifisch?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber weiterhin häufig verwendet. Sie bilden den funktionalen Kern der Codebasis integrierter Systeme, und Embedded C/C++ erfreut sich als Teil der Welt der vernetzten Geräte einer modernen und glänzenden Zukunft.
Obwohl diese Sprachen ziemlich alte Wurzeln haben (und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsfehler und Pufferüberläufe aufweisen), müssen Entwickler, um Sicherheitsfehler in eingebetteten Systemen erfolgreich zu beheben, mit Code arbeiten, der die Umgebungen nachahmt, in denen sie arbeiten. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam wie eine intensivere und sorgfältigere Arbeit im Kontext von integriertem C.
Con entre una docena y más de cien sistemas integrados en un vehículo moderno, es imprescindible que los desarrolladores reciban una formación precisa sobre qué buscar y cómo solucionarlo, directamente en el IDE.
Der Schutz eingebetteter Systeme vom Fundament an ist die Verantwortung aller.
Der Status quo in vielen Organisationen ist, dass die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler angeht. Selten wird ihre Fähigkeit, sicheren Code zu produzieren, bewertet, aber die schnelle Entwicklung beeindruckender Funktionen ist der Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat dazu geführt, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verloren haben.
Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die jemand aus dem AppSec-Team schließen muss, indem er die richtigen und zugänglichen (ganz zu schweigen von bewertbaren) Programme zur Verbesserung der Fähigkeiten für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an sollte die Sicherheit eine der wichtigsten Überlegungen sein, damit alle, insbesondere die Entwickler, das erhalten, was sie zur Erfüllung ihrer Aufgaben benötigen.
Machen Sie sich mit den Sicherheitsproblemen integrierter Systeme vertraut.
Der Pufferüberlauf, Injektionsfehler und Fehler in der Geschäftslogik sind häufige Fehler bei der Entwicklung integrierter Systeme. Wenn sie tief in einem Labyrinth von Mikrocontrollern in einem einzelnen Fahrzeug oder Gerät verborgen sind, kann dies aus Sicherheitsgründen katastrophale Folgen haben.
Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie sie zur Kompromittierung der zuvor erwähnten Fritteuse beigetragen haben (die die Remote-Ausführung von Code ermöglichte), lesen Sie diesen Bericht unter CVE-2020-28592.
Jetzt ist es an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in echtem eingebettetem C/C++-Code zu befassen. Nehmen Sie diese Herausforderung an und versuchen Sie, die fehlerhaften Codierungsmuster zu finden, zu identifizieren und zu korrigieren, die zu diesem heimtückischen Fehler führen:
¿Cómo te fue? Visita www.securecodewarrior.com para una formación precisa y eficaz sobre la seguridad de los sistemas integrados.
Es gibt viele Verweise in der Popkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer auflehnen. Das ist zwar stark von Science-Fiction-Fantasien und Unterhaltung geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer häufiger vorkommen, sollte auch das Thema Cybersicherheit und Sicherheit immer mehr in den Fokus rücken. Software ist überall zu finden, und man vergisst leicht, wie sehr wir von Codezeilen abhängig sind, um all die intelligenten Dinge zu tun, die uns so viel Innovation und Komfort bieten. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn ein Angreifer ihn in der natürlichen Umgebung entdeckt.
Auch wenn es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (obwohl Bot Tesla ein wenig beunruhigend ist), ist es dennoch möglich, dass böswillige Cybervorfälle auftreten. Einige unserer Autos, Flugzeuge und medizinischen Geräte basieren ebenfalls auf komplexen Codes integrierter Systeme, um wichtige Aufgaben auszuführen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur alarmierend, sondern kann auch lebensgefährlich sein.
Wie bei jeder anderen Art von Software sind die Entwickler die ersten, die den Code bearbeiten, gleich zu Beginn der Entwicklungsphase. Und wie bei jeder anderen Art von Software kann dies ein Nährboden für häufige und heimtückische Schwachstellen sein, die unbemerkt bleiben könnten, bevor das Produkt in Betrieb genommen wird.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel solideren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme (in der Regel in C und C++ geschrieben) werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen. Daher ist es unerlässlich, dass Entwickler über eine spezielle Sicherheitsschulung für die Tools dieser Umgebung verfügen.
Explosive Fritteusen, rebellische Fahrzeuge... Sind wir leichte Ziele?
Es gibt zwar einige Standards und Vorschriften für die gesamte sichere Entwicklung, aber um unsere Sicherheit zu gewährleisten, müssen wir viel präziser und konsequenter auf alle Arten der Softwaresicherheit hinarbeiten. Es mag absurd erscheinen, an ein Problem zu denken, das durch jemanden verursacht werden könnte, der eine Fritteuse hackt, aber genau das ist in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf gefährliche Werte zu erhöhen) bereits passiert, ebenso wie Schwachstellen, die zur Übernahme von Fahrzeugen führen.
Insbesondere Fahrzeuge sind besonders komplex, da sie über mehrere integrierte Bordsysteme verfügen, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. Dank der Kombination mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und mit 76,3 Millionen vernetzten Fahrzeugen, die bis 2023 weltweit auf den Straßen unterwegs sein sollen, entsteht ein Monolith aus Verteidigungsbasen, um echte Sicherheit zu gewährleisten.
MISRA ist eine wichtige Organisation, die sich mit den Gefahren integrierter Systeme befasst und Richtlinien entwickelt hat, um die Sicherheit, Portabilität und Zuverlässigkeit von Code im Zusammenhang mit integrierten Systemen zu verbessern. Diese Richtlinien sind der Leitstern für Standards, die jedes Unternehmen bei seinen Projekten mit integrierten Systemen anstreben sollte.
Um jedoch Code zu erstellen und auszuführen, der diesem Referenzstandard entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die sich auf die Tools verlassen können (ganz zu schweigen von der Sicherheit).
Warum ist die Verbesserung der Sicherheitsfähigkeiten integrierter Systeme so spezifisch?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber weiterhin häufig verwendet. Sie bilden den funktionalen Kern der Codebasis integrierter Systeme, und Embedded C/C++ erfreut sich als Teil der Welt der vernetzten Geräte einer modernen und glänzenden Zukunft.
Obwohl diese Sprachen ziemlich alte Wurzeln haben (und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsfehler und Pufferüberläufe aufweisen), müssen Entwickler, um Sicherheitsfehler in eingebetteten Systemen erfolgreich zu beheben, mit Code arbeiten, der die Umgebungen nachahmt, in denen sie arbeiten. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam wie eine intensivere und sorgfältigere Arbeit im Kontext von integriertem C.
Con entre una docena y más de cien sistemas integrados en un vehículo moderno, es imprescindible que los desarrolladores reciban una formación precisa sobre qué buscar y cómo solucionarlo, directamente en el IDE.
Der Schutz eingebetteter Systeme vom Fundament an ist die Verantwortung aller.
Der Status quo in vielen Organisationen ist, dass die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler angeht. Selten wird ihre Fähigkeit, sicheren Code zu produzieren, bewertet, aber die schnelle Entwicklung beeindruckender Funktionen ist der Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat dazu geführt, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verloren haben.
Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die jemand aus dem AppSec-Team schließen muss, indem er die richtigen und zugänglichen (ganz zu schweigen von bewertbaren) Programme zur Verbesserung der Fähigkeiten für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an sollte die Sicherheit eine der wichtigsten Überlegungen sein, damit alle, insbesondere die Entwickler, das erhalten, was sie zur Erfüllung ihrer Aufgaben benötigen.
Machen Sie sich mit den Sicherheitsproblemen integrierter Systeme vertraut.
Der Pufferüberlauf, Injektionsfehler und Fehler in der Geschäftslogik sind häufige Fehler bei der Entwicklung integrierter Systeme. Wenn sie tief in einem Labyrinth von Mikrocontrollern in einem einzelnen Fahrzeug oder Gerät verborgen sind, kann dies aus Sicherheitsgründen katastrophale Folgen haben.
Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie sie zur Kompromittierung der zuvor erwähnten Fritteuse beigetragen haben (die die Remote-Ausführung von Code ermöglichte), lesen Sie diesen Bericht unter CVE-2020-28592.
Jetzt ist es an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in echtem eingebettetem C/C++-Code zu befassen. Nehmen Sie diese Herausforderung an und versuchen Sie, die fehlerhaften Codierungsmuster zu finden, zu identifizieren und zu korrigieren, die zu diesem heimtückischen Fehler führen:
¿Cómo te fue? Visita www.securecodewarrior.com para una formación precisa y eficaz sobre la seguridad de los sistemas integrados.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt viele Verweise in der Popkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer auflehnen. Das ist zwar stark von Science-Fiction-Fantasien und Unterhaltung geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer häufiger vorkommen, sollte auch das Thema Cybersicherheit und Sicherheit immer mehr in den Fokus rücken. Software ist überall zu finden, und man vergisst leicht, wie sehr wir von Codezeilen abhängig sind, um all die intelligenten Dinge zu tun, die uns so viel Innovation und Komfort bieten. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn ein Angreifer ihn in der natürlichen Umgebung entdeckt.
Auch wenn es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (obwohl Bot Tesla ein wenig beunruhigend ist), ist es dennoch möglich, dass böswillige Cybervorfälle auftreten. Einige unserer Autos, Flugzeuge und medizinischen Geräte basieren ebenfalls auf komplexen Codes integrierter Systeme, um wichtige Aufgaben auszuführen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur alarmierend, sondern kann auch lebensgefährlich sein.
Wie bei jeder anderen Art von Software sind die Entwickler die ersten, die den Code bearbeiten, gleich zu Beginn der Entwicklungsphase. Und wie bei jeder anderen Art von Software kann dies ein Nährboden für häufige und heimtückische Schwachstellen sein, die unbemerkt bleiben könnten, bevor das Produkt in Betrieb genommen wird.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel solideren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme (in der Regel in C und C++ geschrieben) werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen. Daher ist es unerlässlich, dass Entwickler über eine spezielle Sicherheitsschulung für die Tools dieser Umgebung verfügen.
Explosive Fritteusen, rebellische Fahrzeuge... Sind wir leichte Ziele?
Es gibt zwar einige Standards und Vorschriften für die gesamte sichere Entwicklung, aber um unsere Sicherheit zu gewährleisten, müssen wir viel präziser und konsequenter auf alle Arten der Softwaresicherheit hinarbeiten. Es mag absurd erscheinen, an ein Problem zu denken, das durch jemanden verursacht werden könnte, der eine Fritteuse hackt, aber genau das ist in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf gefährliche Werte zu erhöhen) bereits passiert, ebenso wie Schwachstellen, die zur Übernahme von Fahrzeugen führen.
Insbesondere Fahrzeuge sind besonders komplex, da sie über mehrere integrierte Bordsysteme verfügen, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. Dank der Kombination mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und mit 76,3 Millionen vernetzten Fahrzeugen, die bis 2023 weltweit auf den Straßen unterwegs sein sollen, entsteht ein Monolith aus Verteidigungsbasen, um echte Sicherheit zu gewährleisten.
MISRA ist eine wichtige Organisation, die sich mit den Gefahren integrierter Systeme befasst und Richtlinien entwickelt hat, um die Sicherheit, Portabilität und Zuverlässigkeit von Code im Zusammenhang mit integrierten Systemen zu verbessern. Diese Richtlinien sind der Leitstern für Standards, die jedes Unternehmen bei seinen Projekten mit integrierten Systemen anstreben sollte.
Um jedoch Code zu erstellen und auszuführen, der diesem Referenzstandard entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die sich auf die Tools verlassen können (ganz zu schweigen von der Sicherheit).
Warum ist die Verbesserung der Sicherheitsfähigkeiten integrierter Systeme so spezifisch?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber weiterhin häufig verwendet. Sie bilden den funktionalen Kern der Codebasis integrierter Systeme, und Embedded C/C++ erfreut sich als Teil der Welt der vernetzten Geräte einer modernen und glänzenden Zukunft.
Obwohl diese Sprachen ziemlich alte Wurzeln haben (und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsfehler und Pufferüberläufe aufweisen), müssen Entwickler, um Sicherheitsfehler in eingebetteten Systemen erfolgreich zu beheben, mit Code arbeiten, der die Umgebungen nachahmt, in denen sie arbeiten. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam wie eine intensivere und sorgfältigere Arbeit im Kontext von integriertem C.
Con entre una docena y más de cien sistemas integrados en un vehículo moderno, es imprescindible que los desarrolladores reciban una formación precisa sobre qué buscar y cómo solucionarlo, directamente en el IDE.
Der Schutz eingebetteter Systeme vom Fundament an ist die Verantwortung aller.
Der Status quo in vielen Organisationen ist, dass die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler angeht. Selten wird ihre Fähigkeit, sicheren Code zu produzieren, bewertet, aber die schnelle Entwicklung beeindruckender Funktionen ist der Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat dazu geführt, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verloren haben.
Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die jemand aus dem AppSec-Team schließen muss, indem er die richtigen und zugänglichen (ganz zu schweigen von bewertbaren) Programme zur Verbesserung der Fähigkeiten für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an sollte die Sicherheit eine der wichtigsten Überlegungen sein, damit alle, insbesondere die Entwickler, das erhalten, was sie zur Erfüllung ihrer Aufgaben benötigen.
Machen Sie sich mit den Sicherheitsproblemen integrierter Systeme vertraut.
Der Pufferüberlauf, Injektionsfehler und Fehler in der Geschäftslogik sind häufige Fehler bei der Entwicklung integrierter Systeme. Wenn sie tief in einem Labyrinth von Mikrocontrollern in einem einzelnen Fahrzeug oder Gerät verborgen sind, kann dies aus Sicherheitsgründen katastrophale Folgen haben.
Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie sie zur Kompromittierung der zuvor erwähnten Fritteuse beigetragen haben (die die Remote-Ausführung von Code ermöglichte), lesen Sie diesen Bericht unter CVE-2020-28592.
Jetzt ist es an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in echtem eingebettetem C/C++-Code zu befassen. Nehmen Sie diese Herausforderung an und versuchen Sie, die fehlerhaften Codierungsmuster zu finden, zu identifizieren und zu korrigieren, die zu diesem heimtückischen Fehler führen:
¿Cómo te fue? Visita www.securecodewarrior.com para una formación precisa y eficaz sobre la seguridad de los sistemas integrados.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.