Wenn Mikrowellen nicht richtig funktionieren: Warum die Sicherheit eingebetteter Systeme die nächste Herausforderung für Entwickler ist
Es gibt zahlreiche Verweise in der Populärkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer wenden. Diese sind stark von Science-Fiction und Fantasy geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer mehr Verbreitung finden, sollte dies auch für Diskussionen über Cybersicherheit und Sicherheit gelten. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf Codezeilen verlassen, um all diese intelligenten Aufgaben auszuführen, die uns so viel Innovation und Komfort bringen. Genau wie Web-Software, APIs und mobile Geräte kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn er von einem Angreifer entdeckt wird.
Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (auch wenn der Tesla-Roboter etwas beunruhigend ist), sind nach einem Cyberangriff böswillige Cyberereignisse immer möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte stützen sich ebenfalls auf einen komplexen Code integrierter Systeme, um wichtige Aufgaben auszuführen, und die Aussicht, dass diese Objekte kompromittiert werden könnten, ist nicht nur alarmierend, sondern potenziell tödlich.
Wie bei allen anderen Arten von Software gehören Entwickler zu den ersten, die zu Beginn der Entwicklungsphase mit dem Code arbeiten. Und wie bei jeder anderen Art von Software kann auch diese zu heimtückischen und häufigen Schwachstellen führen, die vor der Inbetriebnahme des Produkts unbemerkt bleiben könnten.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel leistungsfähigeren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme, die in der Regel in C und C++ geschrieben sind, werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen, weshalb eine spezielle Sicherheitsschulung für Entwickler zu den Tools dieser Umgebung unerlässlich ist.
Explodierende Heißluftfritteusen, betrügerische Fahrzeuge... Sind wir leichte Beute?
Obwohl es einige Normen und Vorschriften für jede sichere Entwicklung gibt, müssen wir, um unsere Sicherheit zu gewährleisten, viel präzisere und bedeutendere Fortschritte in allen Bereichen der Softwaresicherheit erzielen. Es mag übertrieben erscheinen, an ein Problem zu denken, das durch das Hacken einer Heißluftfritteuse verursacht werden könnte, aber genau das ist in Form eines Remote-Code-Execution-Angriffs passiert (der es dem Angreifer ermöglichte, die Temperatur auf gefährliche Werte zu erhöhen), ebenso wie Schwachstellen, die zur Übernahme der Kontrolle über Fahrzeuge führten.
Insbesondere Fahrzeuge sind besonders komplex, da sie mit zahlreichen integrierten Systemen ausgestattet sind, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. In Verbindung mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und da bis 2023 weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge unterwegs sein werden, muss eine monolithische Verteidigungsbasis geschaffen werden, um echte Sicherheit zu gewährleisten.
MISRA ist eine wichtige Organisation, die sich wirksam gegen Bedrohungen im Zusammenhang mit eingebetteten Systemen einsetzt und Richtlinien entwickelt hat, die die Sicherheit, Portabilität und Zuverlässigkeit von Code im Kontext eingebetteter Systeme verbessern sollen. Diese Richtlinien bilden den Grundstein für die Normen, die jedes Unternehmen im Rahmen seiner Projekte mit eingebetteten Systemen einhalten muss.
Um jedoch Code zu erstellen und auszuführen, der dieser Referenznorm entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die Vertrauen in diese Tools haben, ganz zu schweigen von deren Sicherheitsniveau.
Warum ist die Stärkung der Kompetenzen im Bereich der Sicherheit eingebetteter Systeme so spezifisch?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber nach wie vor häufig verwendet. Sie bilden das funktionale Herzstück der Codebasis eingebetteter Systeme, und Embedded C/C++ erfreut sich einer modernen und glänzenden Zukunft in der Welt der vernetzten Geräte.
Obwohl diese Sprachen relativ alte Wurzeln haben und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsschwachstellen und Pufferüberläufe aufweisen, müssen Entwickler sich mit einem Code vertraut machen, der die Umgebungen imitiert, in denen sie arbeiten, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam, wie wenn Sie mehr Zeit und Sorgfalt in die Arbeit in einem integrierten C-Kontext investieren würden.
Avec une douzaine à plus d'une centaine de systèmes intégrés dans un véhicule moderne, il est impératif que les développeurs reçoivent une formation précise sur ce qu'il faut rechercher et comment y remédier, directement dans l'IDE.
Der Schutz eingebetteter Systeme vom Erdgeschoss aus liegt in der Verantwortung aller.
Der Status quo in vielen Organisationen ist, dass die Geschwindigkeit der Entwicklung Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler betrifft. Ihre Fähigkeit, sicheren Code zu produzieren, wird selten bewertet, aber die schnelle Entwicklung großartiger Funktionen ist der absolute Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat uns auf einen verlorenen Kampf gegen Schwachstellen und die damit verbundenen Cyberangriffe vorbereitet.
Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die ein Mitglied des AppSec-Teams schließen muss, indem es geeignete und zugängliche (um nicht zu sagen bewertbare) Programme zur Kompetenzstärkung für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an muss Sicherheit oberste Priorität haben, und jeder, insbesondere die Entwickler, muss die Rolle haben, die er benötigt, um seine Aufgabe zu erfüllen.
Lösung von Sicherheitsproblemen bei eingebetteten Systemen
Le dépassement de la mémoire tampon, les failles d'injection et les bogues de logique métier sont tous des pièges courants dans le développement de systèmes embarqués. Enfoui au plus profond d'un labyrinthe de microcontrôleurs dans un seul véhicule ou appareil, cela peut être catastrophique du point de vue de la sécurité.
Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie dies zur Kompromittierung der zuvor erwähnten Heißluftfritteuse beigetragen hat (wodurch die Ausführung von Remote-Code ermöglicht wurde), lesen Sie diesen Bericht zu CVE-2020-28592.
Es ist nun an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in einem echten integrierten C/C++-Code vertraut zu machen. Nehmen Sie diese Herausforderung an, um zu sehen, ob Sie die fehlerhaften Codierungsmuster, die diesen heimtückischen Fehler verursachen, lokalisieren, identifizieren und beheben können:
.avif)
Comment t'es-tu débrouillé ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.
Genau wie Web-Software, APIs und mobile Geräte kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn er von einem Angreifer entdeckt wird.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Es gibt zahlreiche Verweise in der Populärkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer wenden. Diese sind stark von Science-Fiction und Fantasy geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer mehr Verbreitung finden, sollte dies auch für Diskussionen über Cybersicherheit und Sicherheit gelten. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf Codezeilen verlassen, um all diese intelligenten Aufgaben auszuführen, die uns so viel Innovation und Komfort bringen. Genau wie Web-Software, APIs und mobile Geräte kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn er von einem Angreifer entdeckt wird.
Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (auch wenn der Tesla-Roboter etwas beunruhigend ist), sind nach einem Cyberangriff böswillige Cyberereignisse immer möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte stützen sich ebenfalls auf einen komplexen Code integrierter Systeme, um wichtige Aufgaben auszuführen, und die Aussicht, dass diese Objekte kompromittiert werden könnten, ist nicht nur alarmierend, sondern potenziell tödlich.
Wie bei allen anderen Arten von Software gehören Entwickler zu den ersten, die zu Beginn der Entwicklungsphase mit dem Code arbeiten. Und wie bei jeder anderen Art von Software kann auch diese zu heimtückischen und häufigen Schwachstellen führen, die vor der Inbetriebnahme des Produkts unbemerkt bleiben könnten.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel leistungsfähigeren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme, die in der Regel in C und C++ geschrieben sind, werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen, weshalb eine spezielle Sicherheitsschulung für Entwickler zu den Tools dieser Umgebung unerlässlich ist.
Explodierende Heißluftfritteusen, betrügerische Fahrzeuge... Sind wir leichte Beute?
Obwohl es einige Normen und Vorschriften für jede sichere Entwicklung gibt, müssen wir, um unsere Sicherheit zu gewährleisten, viel präzisere und bedeutendere Fortschritte in allen Bereichen der Softwaresicherheit erzielen. Es mag übertrieben erscheinen, an ein Problem zu denken, das durch das Hacken einer Heißluftfritteuse verursacht werden könnte, aber genau das ist in Form eines Remote-Code-Execution-Angriffs passiert (der es dem Angreifer ermöglichte, die Temperatur auf gefährliche Werte zu erhöhen), ebenso wie Schwachstellen, die zur Übernahme der Kontrolle über Fahrzeuge führten.
Insbesondere Fahrzeuge sind besonders komplex, da sie mit zahlreichen integrierten Systemen ausgestattet sind, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. In Verbindung mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und da bis 2023 weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge unterwegs sein werden, muss eine monolithische Verteidigungsbasis geschaffen werden, um echte Sicherheit zu gewährleisten.
MISRA ist eine wichtige Organisation, die sich wirksam gegen Bedrohungen im Zusammenhang mit eingebetteten Systemen einsetzt und Richtlinien entwickelt hat, die die Sicherheit, Portabilität und Zuverlässigkeit von Code im Kontext eingebetteter Systeme verbessern sollen. Diese Richtlinien bilden den Grundstein für die Normen, die jedes Unternehmen im Rahmen seiner Projekte mit eingebetteten Systemen einhalten muss.
Um jedoch Code zu erstellen und auszuführen, der dieser Referenznorm entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die Vertrauen in diese Tools haben, ganz zu schweigen von deren Sicherheitsniveau.
Warum ist die Stärkung der Kompetenzen im Bereich der Sicherheit eingebetteter Systeme so spezifisch?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber nach wie vor häufig verwendet. Sie bilden das funktionale Herzstück der Codebasis eingebetteter Systeme, und Embedded C/C++ erfreut sich einer modernen und glänzenden Zukunft in der Welt der vernetzten Geräte.
Obwohl diese Sprachen relativ alte Wurzeln haben und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsschwachstellen und Pufferüberläufe aufweisen, müssen Entwickler sich mit einem Code vertraut machen, der die Umgebungen imitiert, in denen sie arbeiten, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam, wie wenn Sie mehr Zeit und Sorgfalt in die Arbeit in einem integrierten C-Kontext investieren würden.
Avec une douzaine à plus d'une centaine de systèmes intégrés dans un véhicule moderne, il est impératif que les développeurs reçoivent une formation précise sur ce qu'il faut rechercher et comment y remédier, directement dans l'IDE.
Der Schutz eingebetteter Systeme vom Erdgeschoss aus liegt in der Verantwortung aller.
Der Status quo in vielen Organisationen ist, dass die Geschwindigkeit der Entwicklung Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler betrifft. Ihre Fähigkeit, sicheren Code zu produzieren, wird selten bewertet, aber die schnelle Entwicklung großartiger Funktionen ist der absolute Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat uns auf einen verlorenen Kampf gegen Schwachstellen und die damit verbundenen Cyberangriffe vorbereitet.
Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die ein Mitglied des AppSec-Teams schließen muss, indem es geeignete und zugängliche (um nicht zu sagen bewertbare) Programme zur Kompetenzstärkung für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an muss Sicherheit oberste Priorität haben, und jeder, insbesondere die Entwickler, muss die Rolle haben, die er benötigt, um seine Aufgabe zu erfüllen.
Lösung von Sicherheitsproblemen bei eingebetteten Systemen
Le dépassement de la mémoire tampon, les failles d'injection et les bogues de logique métier sont tous des pièges courants dans le développement de systèmes embarqués. Enfoui au plus profond d'un labyrinthe de microcontrôleurs dans un seul véhicule ou appareil, cela peut être catastrophique du point de vue de la sécurité.
Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie dies zur Kompromittierung der zuvor erwähnten Heißluftfritteuse beigetragen hat (wodurch die Ausführung von Remote-Code ermöglicht wurde), lesen Sie diesen Bericht zu CVE-2020-28592.
Es ist nun an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in einem echten integrierten C/C++-Code vertraut zu machen. Nehmen Sie diese Herausforderung an, um zu sehen, ob Sie die fehlerhaften Codierungsmuster, die diesen heimtückischen Fehler verursachen, lokalisieren, identifizieren und beheben können:
Comment t'es-tu débrouillé ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.
Es gibt zahlreiche Verweise in der Populärkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer wenden. Diese sind stark von Science-Fiction und Fantasy geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer mehr Verbreitung finden, sollte dies auch für Diskussionen über Cybersicherheit und Sicherheit gelten. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf Codezeilen verlassen, um all diese intelligenten Aufgaben auszuführen, die uns so viel Innovation und Komfort bringen. Genau wie Web-Software, APIs und mobile Geräte kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn er von einem Angreifer entdeckt wird.
Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (auch wenn der Tesla-Roboter etwas beunruhigend ist), sind nach einem Cyberangriff böswillige Cyberereignisse immer möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte stützen sich ebenfalls auf einen komplexen Code integrierter Systeme, um wichtige Aufgaben auszuführen, und die Aussicht, dass diese Objekte kompromittiert werden könnten, ist nicht nur alarmierend, sondern potenziell tödlich.
Wie bei allen anderen Arten von Software gehören Entwickler zu den ersten, die zu Beginn der Entwicklungsphase mit dem Code arbeiten. Und wie bei jeder anderen Art von Software kann auch diese zu heimtückischen und häufigen Schwachstellen führen, die vor der Inbetriebnahme des Produkts unbemerkt bleiben könnten.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel leistungsfähigeren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme, die in der Regel in C und C++ geschrieben sind, werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen, weshalb eine spezielle Sicherheitsschulung für Entwickler zu den Tools dieser Umgebung unerlässlich ist.
Explodierende Heißluftfritteusen, betrügerische Fahrzeuge... Sind wir leichte Beute?
Obwohl es einige Normen und Vorschriften für jede sichere Entwicklung gibt, müssen wir, um unsere Sicherheit zu gewährleisten, viel präzisere und bedeutendere Fortschritte in allen Bereichen der Softwaresicherheit erzielen. Es mag übertrieben erscheinen, an ein Problem zu denken, das durch das Hacken einer Heißluftfritteuse verursacht werden könnte, aber genau das ist in Form eines Remote-Code-Execution-Angriffs passiert (der es dem Angreifer ermöglichte, die Temperatur auf gefährliche Werte zu erhöhen), ebenso wie Schwachstellen, die zur Übernahme der Kontrolle über Fahrzeuge führten.
Insbesondere Fahrzeuge sind besonders komplex, da sie mit zahlreichen integrierten Systemen ausgestattet sind, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. In Verbindung mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und da bis 2023 weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge unterwegs sein werden, muss eine monolithische Verteidigungsbasis geschaffen werden, um echte Sicherheit zu gewährleisten.
MISRA ist eine wichtige Organisation, die sich wirksam gegen Bedrohungen im Zusammenhang mit eingebetteten Systemen einsetzt und Richtlinien entwickelt hat, die die Sicherheit, Portabilität und Zuverlässigkeit von Code im Kontext eingebetteter Systeme verbessern sollen. Diese Richtlinien bilden den Grundstein für die Normen, die jedes Unternehmen im Rahmen seiner Projekte mit eingebetteten Systemen einhalten muss.
Um jedoch Code zu erstellen und auszuführen, der dieser Referenznorm entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die Vertrauen in diese Tools haben, ganz zu schweigen von deren Sicherheitsniveau.
Warum ist die Stärkung der Kompetenzen im Bereich der Sicherheit eingebetteter Systeme so spezifisch?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber nach wie vor häufig verwendet. Sie bilden das funktionale Herzstück der Codebasis eingebetteter Systeme, und Embedded C/C++ erfreut sich einer modernen und glänzenden Zukunft in der Welt der vernetzten Geräte.
Obwohl diese Sprachen relativ alte Wurzeln haben und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsschwachstellen und Pufferüberläufe aufweisen, müssen Entwickler sich mit einem Code vertraut machen, der die Umgebungen imitiert, in denen sie arbeiten, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam, wie wenn Sie mehr Zeit und Sorgfalt in die Arbeit in einem integrierten C-Kontext investieren würden.
Avec une douzaine à plus d'une centaine de systèmes intégrés dans un véhicule moderne, il est impératif que les développeurs reçoivent une formation précise sur ce qu'il faut rechercher et comment y remédier, directement dans l'IDE.
Der Schutz eingebetteter Systeme vom Erdgeschoss aus liegt in der Verantwortung aller.
Der Status quo in vielen Organisationen ist, dass die Geschwindigkeit der Entwicklung Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler betrifft. Ihre Fähigkeit, sicheren Code zu produzieren, wird selten bewertet, aber die schnelle Entwicklung großartiger Funktionen ist der absolute Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat uns auf einen verlorenen Kampf gegen Schwachstellen und die damit verbundenen Cyberangriffe vorbereitet.
Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die ein Mitglied des AppSec-Teams schließen muss, indem es geeignete und zugängliche (um nicht zu sagen bewertbare) Programme zur Kompetenzstärkung für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an muss Sicherheit oberste Priorität haben, und jeder, insbesondere die Entwickler, muss die Rolle haben, die er benötigt, um seine Aufgabe zu erfüllen.
Lösung von Sicherheitsproblemen bei eingebetteten Systemen
Le dépassement de la mémoire tampon, les failles d'injection et les bogues de logique métier sont tous des pièges courants dans le développement de systèmes embarqués. Enfoui au plus profond d'un labyrinthe de microcontrôleurs dans un seul véhicule ou appareil, cela peut être catastrophique du point de vue de la sécurité.
Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie dies zur Kompromittierung der zuvor erwähnten Heißluftfritteuse beigetragen hat (wodurch die Ausführung von Remote-Code ermöglicht wurde), lesen Sie diesen Bericht zu CVE-2020-28592.
Es ist nun an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in einem echten integrierten C/C++-Code vertraut zu machen. Nehmen Sie diese Herausforderung an, um zu sehen, ob Sie die fehlerhaften Codierungsmuster, die diesen heimtückischen Fehler verursachen, lokalisieren, identifizieren und beheben können:
Comment t'es-tu débrouillé ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Es gibt zahlreiche Verweise in der Populärkultur auf KI und unehrliche Roboter sowie auf Geräte, die sich gegen ihre menschlichen Besitzer wenden. Diese sind stark von Science-Fiction und Fantasy geprägt, aber da das Internet der Dinge und vernetzte Geräte in unseren Haushalten immer mehr Verbreitung finden, sollte dies auch für Diskussionen über Cybersicherheit und Sicherheit gelten. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf Codezeilen verlassen, um all diese intelligenten Aufgaben auszuführen, die uns so viel Innovation und Komfort bringen. Genau wie Web-Software, APIs und mobile Geräte kann auch der anfällige Code eingebetteter Systeme ausgenutzt werden, wenn er von einem Angreifer entdeckt wird.
Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (auch wenn der Tesla-Roboter etwas beunruhigend ist), sind nach einem Cyberangriff böswillige Cyberereignisse immer möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte stützen sich ebenfalls auf einen komplexen Code integrierter Systeme, um wichtige Aufgaben auszuführen, und die Aussicht, dass diese Objekte kompromittiert werden könnten, ist nicht nur alarmierend, sondern potenziell tödlich.
Wie bei allen anderen Arten von Software gehören Entwickler zu den ersten, die zu Beginn der Entwicklungsphase mit dem Code arbeiten. Und wie bei jeder anderen Art von Software kann auch diese zu heimtückischen und häufigen Schwachstellen führen, die vor der Inbetriebnahme des Produkts unbemerkt bleiben könnten.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte erwarten, dass sie diese Rolle übernehmen, aber sie können mit einem viel leistungsfähigeren Arsenal ausgestattet werden, um den für sie relevanten Bedrohungen zu begegnen. Eingebettete Systeme, die in der Regel in C und C++ geschrieben sind, werden mit der Weiterentwicklung unserer technologischen Anforderungen immer häufiger zum Einsatz kommen, weshalb eine spezielle Sicherheitsschulung für Entwickler zu den Tools dieser Umgebung unerlässlich ist.
Explodierende Heißluftfritteusen, betrügerische Fahrzeuge... Sind wir leichte Beute?
Obwohl es einige Normen und Vorschriften für jede sichere Entwicklung gibt, müssen wir, um unsere Sicherheit zu gewährleisten, viel präzisere und bedeutendere Fortschritte in allen Bereichen der Softwaresicherheit erzielen. Es mag übertrieben erscheinen, an ein Problem zu denken, das durch das Hacken einer Heißluftfritteuse verursacht werden könnte, aber genau das ist in Form eines Remote-Code-Execution-Angriffs passiert (der es dem Angreifer ermöglichte, die Temperatur auf gefährliche Werte zu erhöhen), ebenso wie Schwachstellen, die zur Übernahme der Kontrolle über Fahrzeuge führten.
Insbesondere Fahrzeuge sind besonders komplex, da sie mit zahlreichen integrierten Systemen ausgestattet sind, von denen jedes einzelne Mikro-Funktionen übernimmt, von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen. In Verbindung mit einer wachsenden Zahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS stellt das vernetzte Fahrzeug eine komplexe digitale Infrastruktur dar, die zahlreichen Angriffsvektoren ausgesetzt ist. Und da bis 2023 weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge unterwegs sein werden, muss eine monolithische Verteidigungsbasis geschaffen werden, um echte Sicherheit zu gewährleisten.
MISRA ist eine wichtige Organisation, die sich wirksam gegen Bedrohungen im Zusammenhang mit eingebetteten Systemen einsetzt und Richtlinien entwickelt hat, die die Sicherheit, Portabilität und Zuverlässigkeit von Code im Kontext eingebetteter Systeme verbessern sollen. Diese Richtlinien bilden den Grundstein für die Normen, die jedes Unternehmen im Rahmen seiner Projekte mit eingebetteten Systemen einhalten muss.
Um jedoch Code zu erstellen und auszuführen, der dieser Referenznorm entspricht, sind Ingenieure für eingebettete Systeme erforderlich, die Vertrauen in diese Tools haben, ganz zu schweigen von deren Sicherheitsniveau.
Warum ist die Stärkung der Kompetenzen im Bereich der Sicherheit eingebetteter Systeme so spezifisch?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben veraltet, werden aber nach wie vor häufig verwendet. Sie bilden das funktionale Herzstück der Codebasis eingebetteter Systeme, und Embedded C/C++ erfreut sich einer modernen und glänzenden Zukunft in der Welt der vernetzten Geräte.
Obwohl diese Sprachen relativ alte Wurzeln haben und ähnliche Schwachstellen in Bezug auf häufige Probleme wie Injektionsschwachstellen und Pufferüberläufe aufweisen, müssen Entwickler sich mit einem Code vertraut machen, der die Umgebungen imitiert, in denen sie arbeiten, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben. Eine allgemeine Schulung in C zu allgemeinen Sicherheitspraktiken ist einfach nicht so effektiv und einprägsam, wie wenn Sie mehr Zeit und Sorgfalt in die Arbeit in einem integrierten C-Kontext investieren würden.
Avec une douzaine à plus d'une centaine de systèmes intégrés dans un véhicule moderne, il est impératif que les développeurs reçoivent une formation précise sur ce qu'il faut rechercher et comment y remédier, directement dans l'IDE.
Der Schutz eingebetteter Systeme vom Erdgeschoss aus liegt in der Verantwortung aller.
Der Status quo in vielen Organisationen ist, dass die Geschwindigkeit der Entwicklung Vorrang vor der Sicherheit hat, zumindest was die Verantwortung der Entwickler betrifft. Ihre Fähigkeit, sicheren Code zu produzieren, wird selten bewertet, aber die schnelle Entwicklung großartiger Funktionen ist der absolute Maßstab. Die Nachfrage nach Software wird weiter steigen, aber diese Kultur hat uns auf einen verlorenen Kampf gegen Schwachstellen und die damit verbundenen Cyberangriffe vorbereitet.
Wenn Entwickler nicht geschult sind, ist das nicht ihre Schuld, sondern eine Lücke, die ein Mitglied des AppSec-Teams schließen muss, indem es geeignete und zugängliche (um nicht zu sagen bewertbare) Programme zur Kompetenzstärkung für die gesamte Entwickler-Community empfiehlt. Von Beginn eines Softwareentwicklungsprojekts an muss Sicherheit oberste Priorität haben, und jeder, insbesondere die Entwickler, muss die Rolle haben, die er benötigt, um seine Aufgabe zu erfüllen.
Lösung von Sicherheitsproblemen bei eingebetteten Systemen
Le dépassement de la mémoire tampon, les failles d'injection et les bogues de logique métier sont tous des pièges courants dans le développement de systèmes embarqués. Enfoui au plus profond d'un labyrinthe de microcontrôleurs dans un seul véhicule ou appareil, cela peut être catastrophique du point de vue de la sécurité.
Pufferüberläufe kommen besonders häufig vor. Wenn Sie mehr darüber erfahren möchten, wie dies zur Kompromittierung der zuvor erwähnten Heißluftfritteuse beigetragen hat (wodurch die Ausführung von Remote-Code ermöglicht wurde), lesen Sie diesen Bericht zu CVE-2020-28592.
Es ist nun an der Zeit, sich mit einer Pufferüberlauf-Sicherheitslücke in einem echten integrierten C/C++-Code vertraut zu machen. Nehmen Sie diese Herausforderung an, um zu sehen, ob Sie die fehlerhaften Codierungsmuster, die diesen heimtückischen Fehler verursachen, lokalisieren, identifizieren und beheben können:
Comment t'es-tu débrouillé ? Visitez www.securecodewarrior.com pour une formation précise et efficace sur la sécurité des systèmes embarqués.
Inhaltsverzeichnis
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.