Wenn die hervorragende Mikrowelle ausfällt: Warum die Sicherheit eingebetteter Systeme für Entwickler zur nächsten großen Herausforderung wird
In der Popkultur gibt es zahlreiche Darstellungen von bösartigen KI-Systemen, Robotern und Elektrogeräten, die ihre menschlichen Besitzer angreifen. Diese Geschichten sind geprägt von Science-Fiction und Fantasie, abermit der zunehmenden Verbreitung von IoT und vernetzten Geräten in Privathaushalten sollten auch Gespräche über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist überall um uns herum und wir vergessen oft, wie sehr wir uns auf Codezeilen verlassen, um all die raffinierten Dinge zu tun, die Innovation und Komfort bringen. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch in eingebetteten Systemen anfälliger Code von Angreifern ausgenutzt werden, sobald sie ihn entdecken.
Die Wahrscheinlichkeit, dass eine Armee von Mikrowellen die Menschheit versklavt, ist gering (obwohl ich mir wegen Teslabots ein wenig Sorgen mache), aber es besteht weiterhin die Möglichkeit, dass Cyberangriffe zu böswilligen Cyberereignissen führen. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind für die Ausführung wichtiger Aufgaben auf komplexe eingebettete Systemcodes angewiesen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur besorgniserregend, sondern kann auch lebensbedrohlich sein.
Wie bei anderen Arten von Software, die auf dem Markt erhältlich sind, kommen Entwickler zu Beginn der Entwicklungsphase mit dem Code in Berührung. Und wie bei allen anderen Arten von Software kann auch dieser Code zu einer Brutstätte für heimtückische und weit verbreitete Schwachstellen werden, die möglicherweise nicht entdeckt werden, bevor das Produkt veröffentlicht wird.
Entwickler sind keine Sicherheitsexperten, daher sollte kein Unternehmen erwarten, dass sie diese Rolle übernehmen. Entwickler können jedoch weitaus leistungsfähigere Werkzeuge erwerben, um mit den für sie relevanten Arten von Bedrohungen umzugehen. Da sich die technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C oder C++ geschrieben sind) immer häufiger eingesetzt, sodass eine fachliche Sicherheitsschulung für Entwickler zu den Tools in dieser Umgebung unerlässlich ist.
Explodierender Airfryer, bösartiges Fahrzeug... Ist das eine Ente, die da sitzt?
Es gibt jedoch einige Standards und Vorschriften für die sichere Entwicklung, die unsere Sicherheit gewährleisten sollen. Um dies zu erreichen, müssen wir genauere und sinnvollere Fortschritte in Bezug auf alle Arten von Softwaresicherheit erzielen. Es mag absurd erscheinen, sich mit den Problemen zu befassen, die durch das Hacken eines Airfryers verursacht werden könnten, aber genau das ist passiert. Ähnlich verhält es sich mit der Sicherheitslücke, die zu einer Fernsteuerung des Fahrzeugs führen kann, in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf ein gefährliches Niveau zu erhöhen).
Insbesondere Fahrzeuge sind besonders komplex und mit mehreren eingebetteten Systemen ausgestattet, die jeweils alle fein abgestimmten Funktionen von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen verarbeiten. Vernetzte Fahrzeuge, die mit einer ständig wachsenden Anzahl von Kommunikationstechnologien wie Wi-Fi, Bluetooth und GPS verknüpft sind, stellen eine komplexe digitale Infrastruktur dar, die mehreren Angriffsvektoren ausgesetzt ist. Und Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein. Dies ist eine solide Grundlage für die Schaffung echter Sicherheit.
MISRA ist eine führende Organisation, die Richtlinien zur Förderung der Sicherheit, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemen entwickelt und sich aktiv für die Bekämpfung von Bedrohungen für eingebettete Systeme einsetzt. Diese Richtlinien sind der Leitstern für alle Unternehmen, die eingebettete Systemprojekte durchführen.
Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind nicht nur Sicherheitsbewusstsein, sondern auch eingebettete Systemingenieure erforderlich, die Vertrauen in ihre Tools haben.
Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben zwar veraltet, werden aber nach wie vor häufig verwendet. Embedded C/C++ bildet den Kern der Code-Basis von eingebetteten Systemen und spielt als Teil der Welt der vernetzten Geräte eine wichtige Rolle im modernen Leben.
Diese Sprachen haben ziemlich alte Wurzeln und zeigen ähnliche Schwachstellen in Bezug auf allgemeine Probleme wie Injektionsfehler und Pufferüberläufe. Um jedoch Sicherheitslücken in eingebetteten Systemen wirklich zu reduzieren, müssen Entwickler tatsächlich Code verwenden, der ihre Arbeitsumgebung nachahmt.Allgemeine C-Schulungen im Rahmen der allgemeinen Sicherheitspraxis sind nicht so wirkungsvoll und einprägsam wie der zusätzliche Zeit- und Arbeitsaufwand, der für die Arbeit im eingebetteten C-Kontext erforderlich ist.
現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
Es liegt in der Verantwortung aller, eingebettete Systeme vom ersten Stock an zu schützen.
In vielen Organisationen hat derzeit die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortung der Entwickler betrifft. Die Fähigkeit, sicheren Code zu erstellen, wird selten geschätzt, während die schnelle Entwicklung hervorragender Funktionen als Goldstandard gilt. Die Nachfrage nach Software steigt stetig, aber diese Kultur ist der Grund dafür, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verlieren.
Auch wenn Entwickler keine Schulungen erhalten haben, ist dies nicht ihre Schuld. Vielmehr muss jemand aus dem AppSec-Team diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete und leicht zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. In der Anfangsphase eines Softwareentwicklungsprojekts muss Sicherheit oberste Priorität haben, und alle Beteiligten, insbesondere die Entwickler, müssen die notwendigen Mittel erhalten, um ihre Aufgaben erfüllen zu können.
Sicherheitsprobleme in eingebetteten Systemen hautnah erleben
バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1 台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながるおそれがあります。
Buffer Overflows treten besonders häufig auf. Wenn Sie mehr darüber erfahren möchten, wie der zuvor beschriebene Air Fryer gefährdet war (Remote Code Execution), lesen Sie bitte den folgenden Bericht zu CVE-2020-28592.
それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
.png)
どうだった?訪問 www.securecodewarrior.com 組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。
Wie bei webbasierter Software, APIs und Mobilgeräten kann auch in eingebetteten Systemen anfälliger Code von Angreifern ausgenutzt werden, sobald dieser entdeckt wird.
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
In der Popkultur gibt es zahlreiche Darstellungen von bösartigen KI-Systemen, Robotern und Elektrogeräten, die ihre menschlichen Besitzer angreifen. Diese Geschichten sind geprägt von Science-Fiction und Fantasie, abermit der zunehmenden Verbreitung von IoT und vernetzten Geräten in Privathaushalten sollten auch Gespräche über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist überall um uns herum und wir vergessen oft, wie sehr wir uns auf Codezeilen verlassen, um all die raffinierten Dinge zu tun, die Innovation und Komfort bringen. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch in eingebetteten Systemen anfälliger Code von Angreifern ausgenutzt werden, sobald sie ihn entdecken.
Die Wahrscheinlichkeit, dass eine Armee von Mikrowellen die Menschheit versklavt, ist gering (obwohl ich mir wegen Teslabots ein wenig Sorgen mache), aber es besteht weiterhin die Möglichkeit, dass Cyberangriffe zu böswilligen Cyberereignissen führen. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind für die Ausführung wichtiger Aufgaben auf komplexe eingebettete Systemcodes angewiesen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur besorgniserregend, sondern kann auch lebensbedrohlich sein.
Wie bei anderen Arten von Software, die auf dem Markt erhältlich sind, kommen Entwickler zu Beginn der Entwicklungsphase mit dem Code in Berührung. Und wie bei allen anderen Arten von Software kann auch dieser Code zu einer Brutstätte für heimtückische und weit verbreitete Schwachstellen werden, die möglicherweise nicht entdeckt werden, bevor das Produkt veröffentlicht wird.
Entwickler sind keine Sicherheitsexperten, daher sollte kein Unternehmen erwarten, dass sie diese Rolle übernehmen. Entwickler können jedoch weitaus leistungsfähigere Werkzeuge erwerben, um mit den für sie relevanten Arten von Bedrohungen umzugehen. Da sich die technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C oder C++ geschrieben sind) immer häufiger eingesetzt, sodass eine fachliche Sicherheitsschulung für Entwickler zu den Tools in dieser Umgebung unerlässlich ist.
Explodierender Airfryer, bösartiges Fahrzeug... Ist das eine Ente, die da sitzt?
Es gibt jedoch einige Standards und Vorschriften für die sichere Entwicklung, die unsere Sicherheit gewährleisten sollen. Um dies zu erreichen, müssen wir genauere und sinnvollere Fortschritte in Bezug auf alle Arten von Softwaresicherheit erzielen. Es mag absurd erscheinen, sich mit den Problemen zu befassen, die durch das Hacken eines Airfryers verursacht werden könnten, aber genau das ist passiert. Ähnlich verhält es sich mit der Sicherheitslücke, die zu einer Fernsteuerung des Fahrzeugs führen kann, in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf ein gefährliches Niveau zu erhöhen).
Insbesondere Fahrzeuge sind besonders komplex und mit mehreren eingebetteten Systemen ausgestattet, die jeweils alle fein abgestimmten Funktionen von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen verarbeiten. Vernetzte Fahrzeuge, die mit einer ständig wachsenden Anzahl von Kommunikationstechnologien wie Wi-Fi, Bluetooth und GPS verknüpft sind, stellen eine komplexe digitale Infrastruktur dar, die mehreren Angriffsvektoren ausgesetzt ist. Und Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein. Dies ist eine solide Grundlage für die Schaffung echter Sicherheit.
MISRA ist eine führende Organisation, die Richtlinien zur Förderung der Sicherheit, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemen entwickelt und sich aktiv für die Bekämpfung von Bedrohungen für eingebettete Systeme einsetzt. Diese Richtlinien sind der Leitstern für alle Unternehmen, die eingebettete Systemprojekte durchführen.
Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind nicht nur Sicherheitsbewusstsein, sondern auch eingebettete Systemingenieure erforderlich, die Vertrauen in ihre Tools haben.
Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben zwar veraltet, werden aber nach wie vor häufig verwendet. Embedded C/C++ bildet den Kern der Code-Basis von eingebetteten Systemen und spielt als Teil der Welt der vernetzten Geräte eine wichtige Rolle im modernen Leben.
Diese Sprachen haben ziemlich alte Wurzeln und zeigen ähnliche Schwachstellen in Bezug auf allgemeine Probleme wie Injektionsfehler und Pufferüberläufe. Um jedoch Sicherheitslücken in eingebetteten Systemen wirklich zu reduzieren, müssen Entwickler tatsächlich Code verwenden, der ihre Arbeitsumgebung nachahmt.Allgemeine C-Schulungen im Rahmen der allgemeinen Sicherheitspraxis sind nicht so wirkungsvoll und einprägsam wie der zusätzliche Zeit- und Arbeitsaufwand, der für die Arbeit im eingebetteten C-Kontext erforderlich ist.
現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
Es liegt in der Verantwortung aller, eingebettete Systeme vom ersten Stock an zu schützen.
In vielen Organisationen hat derzeit die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortung der Entwickler betrifft. Die Fähigkeit, sicheren Code zu erstellen, wird selten geschätzt, während die schnelle Entwicklung hervorragender Funktionen als Goldstandard gilt. Die Nachfrage nach Software steigt stetig, aber diese Kultur ist der Grund dafür, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verlieren.
Auch wenn Entwickler keine Schulungen erhalten haben, ist dies nicht ihre Schuld. Vielmehr muss jemand aus dem AppSec-Team diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete und leicht zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. In der Anfangsphase eines Softwareentwicklungsprojekts muss Sicherheit oberste Priorität haben, und alle Beteiligten, insbesondere die Entwickler, müssen die notwendigen Mittel erhalten, um ihre Aufgaben erfüllen zu können.
Sicherheitsprobleme in eingebetteten Systemen hautnah erleben
バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1 台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながるおそれがあります。
Buffer Overflows treten besonders häufig auf. Wenn Sie mehr darüber erfahren möchten, wie der zuvor beschriebene Air Fryer gefährdet war (Remote Code Execution), lesen Sie bitte den folgenden Bericht zu CVE-2020-28592.
それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
どうだった?訪問 www.securecodewarrior.com 組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。
In der Popkultur gibt es zahlreiche Darstellungen von bösartigen KI-Systemen, Robotern und Elektrogeräten, die ihre menschlichen Besitzer angreifen. Diese Geschichten sind geprägt von Science-Fiction und Fantasie, abermit der zunehmenden Verbreitung von IoT und vernetzten Geräten in Privathaushalten sollten auch Gespräche über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist überall um uns herum und wir vergessen oft, wie sehr wir uns auf Codezeilen verlassen, um all die raffinierten Dinge zu tun, die Innovation und Komfort bringen. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch in eingebetteten Systemen anfälliger Code von Angreifern ausgenutzt werden, sobald sie ihn entdecken.
Die Wahrscheinlichkeit, dass eine Armee von Mikrowellen die Menschheit versklavt, ist gering (obwohl ich mir wegen Teslabots ein wenig Sorgen mache), aber es besteht weiterhin die Möglichkeit, dass Cyberangriffe zu böswilligen Cyberereignissen führen. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind für die Ausführung wichtiger Aufgaben auf komplexe eingebettete Systemcodes angewiesen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur besorgniserregend, sondern kann auch lebensbedrohlich sein.
Wie bei anderen Arten von Software, die auf dem Markt erhältlich sind, kommen Entwickler zu Beginn der Entwicklungsphase mit dem Code in Berührung. Und wie bei allen anderen Arten von Software kann auch dieser Code zu einer Brutstätte für heimtückische und weit verbreitete Schwachstellen werden, die möglicherweise nicht entdeckt werden, bevor das Produkt veröffentlicht wird.
Entwickler sind keine Sicherheitsexperten, daher sollte kein Unternehmen erwarten, dass sie diese Rolle übernehmen. Entwickler können jedoch weitaus leistungsfähigere Werkzeuge erwerben, um mit den für sie relevanten Arten von Bedrohungen umzugehen. Da sich die technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C oder C++ geschrieben sind) immer häufiger eingesetzt, sodass eine fachliche Sicherheitsschulung für Entwickler zu den Tools in dieser Umgebung unerlässlich ist.
Explodierender Airfryer, bösartiges Fahrzeug... Ist das eine Ente, die da sitzt?
Es gibt jedoch einige Standards und Vorschriften für die sichere Entwicklung, die unsere Sicherheit gewährleisten sollen. Um dies zu erreichen, müssen wir genauere und sinnvollere Fortschritte in Bezug auf alle Arten von Softwaresicherheit erzielen. Es mag absurd erscheinen, sich mit den Problemen zu befassen, die durch das Hacken eines Airfryers verursacht werden könnten, aber genau das ist passiert. Ähnlich verhält es sich mit der Sicherheitslücke, die zu einer Fernsteuerung des Fahrzeugs führen kann, in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf ein gefährliches Niveau zu erhöhen).
Insbesondere Fahrzeuge sind besonders komplex und mit mehreren eingebetteten Systemen ausgestattet, die jeweils alle fein abgestimmten Funktionen von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen verarbeiten. Vernetzte Fahrzeuge, die mit einer ständig wachsenden Anzahl von Kommunikationstechnologien wie Wi-Fi, Bluetooth und GPS verknüpft sind, stellen eine komplexe digitale Infrastruktur dar, die mehreren Angriffsvektoren ausgesetzt ist. Und Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein. Dies ist eine solide Grundlage für die Schaffung echter Sicherheit.
MISRA ist eine führende Organisation, die Richtlinien zur Förderung der Sicherheit, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemen entwickelt und sich aktiv für die Bekämpfung von Bedrohungen für eingebettete Systeme einsetzt. Diese Richtlinien sind der Leitstern für alle Unternehmen, die eingebettete Systemprojekte durchführen.
Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind nicht nur Sicherheitsbewusstsein, sondern auch eingebettete Systemingenieure erforderlich, die Vertrauen in ihre Tools haben.
Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben zwar veraltet, werden aber nach wie vor häufig verwendet. Embedded C/C++ bildet den Kern der Code-Basis von eingebetteten Systemen und spielt als Teil der Welt der vernetzten Geräte eine wichtige Rolle im modernen Leben.
Diese Sprachen haben ziemlich alte Wurzeln und zeigen ähnliche Schwachstellen in Bezug auf allgemeine Probleme wie Injektionsfehler und Pufferüberläufe. Um jedoch Sicherheitslücken in eingebetteten Systemen wirklich zu reduzieren, müssen Entwickler tatsächlich Code verwenden, der ihre Arbeitsumgebung nachahmt.Allgemeine C-Schulungen im Rahmen der allgemeinen Sicherheitspraxis sind nicht so wirkungsvoll und einprägsam wie der zusätzliche Zeit- und Arbeitsaufwand, der für die Arbeit im eingebetteten C-Kontext erforderlich ist.
現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
Es liegt in der Verantwortung aller, eingebettete Systeme vom ersten Stock an zu schützen.
In vielen Organisationen hat derzeit die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortung der Entwickler betrifft. Die Fähigkeit, sicheren Code zu erstellen, wird selten geschätzt, während die schnelle Entwicklung hervorragender Funktionen als Goldstandard gilt. Die Nachfrage nach Software steigt stetig, aber diese Kultur ist der Grund dafür, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verlieren.
Auch wenn Entwickler keine Schulungen erhalten haben, ist dies nicht ihre Schuld. Vielmehr muss jemand aus dem AppSec-Team diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete und leicht zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. In der Anfangsphase eines Softwareentwicklungsprojekts muss Sicherheit oberste Priorität haben, und alle Beteiligten, insbesondere die Entwickler, müssen die notwendigen Mittel erhalten, um ihre Aufgaben erfüllen zu können.
Sicherheitsprobleme in eingebetteten Systemen hautnah erleben
バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1 台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながるおそれがあります。
Buffer Overflows treten besonders häufig auf. Wenn Sie mehr darüber erfahren möchten, wie der zuvor beschriebene Air Fryer gefährdet war (Remote Code Execution), lesen Sie bitte den folgenden Bericht zu CVE-2020-28592.
それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
どうだった?訪問 www.securecodewarrior.com 組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
In der Popkultur gibt es zahlreiche Darstellungen von bösartigen KI-Systemen, Robotern und Elektrogeräten, die ihre menschlichen Besitzer angreifen. Diese Geschichten sind geprägt von Science-Fiction und Fantasie, abermit der zunehmenden Verbreitung von IoT und vernetzten Geräten in Privathaushalten sollten auch Gespräche über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist überall um uns herum und wir vergessen oft, wie sehr wir uns auf Codezeilen verlassen, um all die raffinierten Dinge zu tun, die Innovation und Komfort bringen. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch in eingebetteten Systemen anfälliger Code von Angreifern ausgenutzt werden, sobald sie ihn entdecken.
Die Wahrscheinlichkeit, dass eine Armee von Mikrowellen die Menschheit versklavt, ist gering (obwohl ich mir wegen Teslabots ein wenig Sorgen mache), aber es besteht weiterhin die Möglichkeit, dass Cyberangriffe zu böswilligen Cyberereignissen führen. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind für die Ausführung wichtiger Aufgaben auf komplexe eingebettete Systemcodes angewiesen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur besorgniserregend, sondern kann auch lebensbedrohlich sein.
Wie bei anderen Arten von Software, die auf dem Markt erhältlich sind, kommen Entwickler zu Beginn der Entwicklungsphase mit dem Code in Berührung. Und wie bei allen anderen Arten von Software kann auch dieser Code zu einer Brutstätte für heimtückische und weit verbreitete Schwachstellen werden, die möglicherweise nicht entdeckt werden, bevor das Produkt veröffentlicht wird.
Entwickler sind keine Sicherheitsexperten, daher sollte kein Unternehmen erwarten, dass sie diese Rolle übernehmen. Entwickler können jedoch weitaus leistungsfähigere Werkzeuge erwerben, um mit den für sie relevanten Arten von Bedrohungen umzugehen. Da sich die technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C oder C++ geschrieben sind) immer häufiger eingesetzt, sodass eine fachliche Sicherheitsschulung für Entwickler zu den Tools in dieser Umgebung unerlässlich ist.
Explodierender Airfryer, bösartiges Fahrzeug... Ist das eine Ente, die da sitzt?
Es gibt jedoch einige Standards und Vorschriften für die sichere Entwicklung, die unsere Sicherheit gewährleisten sollen. Um dies zu erreichen, müssen wir genauere und sinnvollere Fortschritte in Bezug auf alle Arten von Softwaresicherheit erzielen. Es mag absurd erscheinen, sich mit den Problemen zu befassen, die durch das Hacken eines Airfryers verursacht werden könnten, aber genau das ist passiert. Ähnlich verhält es sich mit der Sicherheitslücke, die zu einer Fernsteuerung des Fahrzeugs führen kann, in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf ein gefährliches Niveau zu erhöhen).
Insbesondere Fahrzeuge sind besonders komplex und mit mehreren eingebetteten Systemen ausgestattet, die jeweils alle fein abgestimmten Funktionen von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen verarbeiten. Vernetzte Fahrzeuge, die mit einer ständig wachsenden Anzahl von Kommunikationstechnologien wie Wi-Fi, Bluetooth und GPS verknüpft sind, stellen eine komplexe digitale Infrastruktur dar, die mehreren Angriffsvektoren ausgesetzt ist. Und Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein. Dies ist eine solide Grundlage für die Schaffung echter Sicherheit.
MISRA ist eine führende Organisation, die Richtlinien zur Förderung der Sicherheit, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemen entwickelt und sich aktiv für die Bekämpfung von Bedrohungen für eingebettete Systeme einsetzt. Diese Richtlinien sind der Leitstern für alle Unternehmen, die eingebettete Systemprojekte durchführen.
Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind nicht nur Sicherheitsbewusstsein, sondern auch eingebettete Systemingenieure erforderlich, die Vertrauen in ihre Tools haben.
Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?
Die Programmiersprachen C und C++ sind nach heutigen Maßstäben zwar veraltet, werden aber nach wie vor häufig verwendet. Embedded C/C++ bildet den Kern der Code-Basis von eingebetteten Systemen und spielt als Teil der Welt der vernetzten Geräte eine wichtige Rolle im modernen Leben.
Diese Sprachen haben ziemlich alte Wurzeln und zeigen ähnliche Schwachstellen in Bezug auf allgemeine Probleme wie Injektionsfehler und Pufferüberläufe. Um jedoch Sicherheitslücken in eingebetteten Systemen wirklich zu reduzieren, müssen Entwickler tatsächlich Code verwenden, der ihre Arbeitsumgebung nachahmt.Allgemeine C-Schulungen im Rahmen der allgemeinen Sicherheitspraxis sind nicht so wirkungsvoll und einprägsam wie der zusätzliche Zeit- und Arbeitsaufwand, der für die Arbeit im eingebetteten C-Kontext erforderlich ist.
現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
Es liegt in der Verantwortung aller, eingebettete Systeme vom ersten Stock an zu schützen.
In vielen Organisationen hat derzeit die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortung der Entwickler betrifft. Die Fähigkeit, sicheren Code zu erstellen, wird selten geschätzt, während die schnelle Entwicklung hervorragender Funktionen als Goldstandard gilt. Die Nachfrage nach Software steigt stetig, aber diese Kultur ist der Grund dafür, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verlieren.
Auch wenn Entwickler keine Schulungen erhalten haben, ist dies nicht ihre Schuld. Vielmehr muss jemand aus dem AppSec-Team diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete und leicht zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. In der Anfangsphase eines Softwareentwicklungsprojekts muss Sicherheit oberste Priorität haben, und alle Beteiligten, insbesondere die Entwickler, müssen die notwendigen Mittel erhalten, um ihre Aufgaben erfüllen zu können.
Sicherheitsprobleme in eingebetteten Systemen hautnah erleben
バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1 台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながるおそれがあります。
Buffer Overflows treten besonders häufig auf. Wenn Sie mehr darüber erfahren möchten, wie der zuvor beschriebene Air Fryer gefährdet war (Remote Code Execution), lesen Sie bitte den folgenden Bericht zu CVE-2020-28592.
それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
どうだった?訪問 www.securecodewarrior.com 組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。
目次
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
