Wenn gute Mikrowellen kaputt gehen: Warum die Sicherheit eingebetteter Systeme die nächste große Herausforderung für Entwickler ist
In der Populärkultur gibt es zahlreiche Verweise auf rebellische KI und Roboter sowie auf Elektrogeräte, die menschliche Wirte aktivieren. Das ist voller Science-Fiction-Spaß und Fantasie, aber mit der zunehmenden Verbreitung des Internets der Dinge und vernetzter Geräte in unseren Haushalten sollten auch Diskussionen über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf ein paar Zeilen Code verlassen, um all diese raffinierten Dinge zu tun, die uns enorme Innovationen und Annehmlichkeiten bringen. Genau wie bei webbasierter Software und Mobilgeräten werden Schwachstellen in eingebetteten Systemen ausgenutzt, wenn Angreifer in der Praxis anfälligen Code finden.APIs und Mobilgeräten wird auch der anfällige Code in eingebetteten Systemen ausgenutzt, wenn Angreifer ihn in freier Wildbahn entdecken.
Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (aber Tesla-Roboter sind etwas beunruhigend), sind böswillige Cybervorfälle aufgrund von Cyberangriffen nach wie vor möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind noch immer auf komplexe eingebettete Systemcodes angewiesen, um wichtige Aufgaben auszuführen. Die Möglichkeit, dass diese Objekte gehackt werden, ist nicht nur erschreckend, sondern kann auch lebensbedrohlich sein.
Wie bei allen anderen Arten von Software sind Entwickler die ersten, die mit dem Code in Berührung kommen, und zwar gleich zu Beginn der Entwicklungsphase. Wie bei allen anderen Arten von Software kann dies ein potenzieller Nährboden für häufige Schwachstellen sein, die möglicherweise vor der Veröffentlichung des Produkts unentdeckt bleiben.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte von ihnen erwarten, dass sie diese Rolle übernehmen. Sie können jedoch über ein leistungsfähigeres Arsenal verfügen, um mit den für sie relevanten Bedrohungen umzugehen. Da sich unsere technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C und C++ geschrieben sind) immer häufiger zum Einsatz kommen. Daher ist es von entscheidender Bedeutung, dass Entwickler eine professionelle Sicherheitsschulung zu den in dieser Umgebung verwendeten Tools erhalten.
Explodierende Heißluftfritteusen, gestohlene Fahrzeuge... Schauen wir einfach zu?
Obwohl es eine Reihe von Standards und Vorschriften rund um die Entwicklung von Sicherheit gibt, um unsere Sicherheit zu gewährleisten, müssen wir präzisere und sinnvollere Fortschritte in Bezug auf die Sicherheit aller Arten von Software erzielen. Die Vorstellung, dass jemand in einen Heißluftfritteuse eindringen könnte, scheint weit hergeholt, aber genau das ist passiert – in Form eines Remote-Code-Execution-Angriffs (der es Angreifern ermöglichte, die Temperatur auf ein gefährliches Niveau zu erhöhen). Das Gleiche gilt für Sicherheitslücken, die zur Übernahme von Fahrzeugen führen können.
Insbesondere Fahrzeuge sind besonders komplex und verfügen über mehrere eingebettete Systeme, von denen jedes für eine Mikro-Funktion zuständig ist: vom automatischen Scheibenwischer über den Motor bis hin zur Bremsfunktionist alles vorhanden. Vernetzte Fahrzeuge sind mit einer Vielzahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS verflochten und stellen eine komplexe digitale Infrastruktur dar, die einer Vielzahl von Angriffsvektoren ausgesetzt ist. Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein,was eine solide Verteidigungsgrundlage für echte Sicherheit darstellt.
MISRA ist eine wichtige Organisation, die sich aktiv mit den Bedrohungen für eingebettete Systeme befasst und Richtlinien entwickelt hat, um die Sicherheit, Integrität, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemumgebungen zu fördern. Diese Richtlinien sind der Leitstern für Standards, die jedes Unternehmen in seinen eingebetteten Systemprojekten anstreben sollte.
Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind eingebettete Systemingenieure erforderlich, die volles Vertrauen in ihre Tools haben (ganz zu schweigen von ihrem Sicherheitsbewusstsein).
Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?
Nach heutigen Maßstäben sind die Programmiersprachen C und C++ veraltet, werden aber nach wie vor häufig verwendet. Sie bilden den funktionalen Kern des Codebestands eingebetteter Systeme, und eingebettetes C/C++ genießt als Teil der Welt vernetzter Geräte ein glänzendes modernes Leben.
Obwohl diese Sprachen recht alte Wurzeln haben und ähnliche Schwachstellen wie Injektionsfehler und Pufferüberläufe aufweisen, müssen Entwickler, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben, selbst Erfahrungen mit Code sammeln, der ihre Arbeitsumgebung nachahmt. Allgemeine C-Schulungen im Rahmen allgemeiner Sicherheitspraktiken sind bei weitem nicht so wirkungsvoll und einprägsam wie die Arbeit in einer eingebetteten C-Umgebung.
由于现代汽车中有十几个到一百多个嵌入式系统,因此必须对开发人员进行精确的培训,让他们知道要在 IDE 中寻找什么以及如何修复它。
Der Schutz eingebetteter Systeme von Grund auf ist die Verantwortung jedes Einzelnen.
In vielen Organisationen hat die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortlichkeiten der Entwickler angeht. Sie werden selten anhand ihrer Fähigkeit bewertet, sicheren Code zu erstellen, sondern vielmehr daran, wie schnell sie hervorragende Funktionen entwickeln können. Die Nachfrage nach Software wird nur noch weiter steigen, aber diese Kultur macht uns anfällig für Sicherheitslücken und die daraus resultierenden Cyberangriffe.
Wenn Entwickler keine Schulung erhalten haben, ist das nicht ihre Schuld. Jemand aus dem AppSec-Team muss diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete, zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. Sicherheit muss von Beginn eines Softwareentwicklungsprojekts an oberste Priorität haben, und jeder – insbesondere die Entwickler – muss sich bewusst sein, dass er seinen Teil dazu beitragen muss.
Persönliche Erfahrungen mit Sicherheitsproblemen bei eingebetteten Systemen
Pufferüberläufe, Injektionsfehler und Fehler in der Geschäftslogik sind häufige Fallstricke bei der Entwicklung eingebetteter Systeme. Wenn sie tief in einem Labyrinth von Mikrocontrollern in einem einzelnen Fahrzeug oder Gerät verborgen sind, kann dies aus Sicherheitsgründen katastrophale Folgen haben.
Pufferüberläufe sind besonders häufig. Wenn Sie mehr darüber erfahren möchten, wie sie die zuvor erwähnte Heißluftfritteuse gefährden können (die die Remote-Ausführung von Code ermöglicht), lesen Sie diesen Bericht zu CVE-2020-28592.
Jetzt ist es an der Zeit, selbst Erfahrungen mit echten Pufferüberlauf-Schwachstellen in eingebettetem C/C++-Code zu sammeln. Nehmen Sie an diesem Wettbewerb teil und finden, identifizieren und beheben Sie das fehlerhafte Codierungsmuster, das zu diesem heimtückischen Fehler führt:
.png)
Wie läuft es bei Ihnen? Besuchen Sie www.securecodewarrior.com für präzise und effektive Schulungen zur Sicherheit eingebetteter Systeme.
Genau wie bei webbasierter Software, APIs und Mobilgeräten werden Schwachstellen in eingebetteten Systemen ausgenutzt, sobald Angreifer sie in der Praxis entdecken.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
In der Populärkultur gibt es zahlreiche Verweise auf rebellische KI und Roboter sowie auf Elektrogeräte, die menschliche Wirte aktivieren. Das ist voller Science-Fiction-Spaß und Fantasie, aber mit der zunehmenden Verbreitung des Internets der Dinge und vernetzter Geräte in unseren Haushalten sollten auch Diskussionen über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf ein paar Zeilen Code verlassen, um all diese raffinierten Dinge zu tun, die uns enorme Innovationen und Annehmlichkeiten bringen. Genau wie bei webbasierter Software und Mobilgeräten werden Schwachstellen in eingebetteten Systemen ausgenutzt, wenn Angreifer in der Praxis anfälligen Code finden.APIs und Mobilgeräten wird auch der anfällige Code in eingebetteten Systemen ausgenutzt, wenn Angreifer ihn in freier Wildbahn entdecken.
Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (aber Tesla-Roboter sind etwas beunruhigend), sind böswillige Cybervorfälle aufgrund von Cyberangriffen nach wie vor möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind noch immer auf komplexe eingebettete Systemcodes angewiesen, um wichtige Aufgaben auszuführen. Die Möglichkeit, dass diese Objekte gehackt werden, ist nicht nur erschreckend, sondern kann auch lebensbedrohlich sein.
Wie bei allen anderen Arten von Software sind Entwickler die ersten, die mit dem Code in Berührung kommen, und zwar gleich zu Beginn der Entwicklungsphase. Wie bei allen anderen Arten von Software kann dies ein potenzieller Nährboden für häufige Schwachstellen sein, die möglicherweise vor der Veröffentlichung des Produkts unentdeckt bleiben.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte von ihnen erwarten, dass sie diese Rolle übernehmen. Sie können jedoch über ein leistungsfähigeres Arsenal verfügen, um mit den für sie relevanten Bedrohungen umzugehen. Da sich unsere technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C und C++ geschrieben sind) immer häufiger zum Einsatz kommen. Daher ist es von entscheidender Bedeutung, dass Entwickler eine professionelle Sicherheitsschulung zu den in dieser Umgebung verwendeten Tools erhalten.
Explodierende Heißluftfritteusen, gestohlene Fahrzeuge... Schauen wir einfach zu?
Obwohl es eine Reihe von Standards und Vorschriften rund um die Entwicklung von Sicherheit gibt, um unsere Sicherheit zu gewährleisten, müssen wir präzisere und sinnvollere Fortschritte in Bezug auf die Sicherheit aller Arten von Software erzielen. Die Vorstellung, dass jemand in einen Heißluftfritteuse eindringen könnte, scheint weit hergeholt, aber genau das ist passiert – in Form eines Remote-Code-Execution-Angriffs (der es Angreifern ermöglichte, die Temperatur auf ein gefährliches Niveau zu erhöhen). Das Gleiche gilt für Sicherheitslücken, die zur Übernahme von Fahrzeugen führen können.
Insbesondere Fahrzeuge sind besonders komplex und verfügen über mehrere eingebettete Systeme, von denen jedes für eine Mikro-Funktion zuständig ist: vom automatischen Scheibenwischer über den Motor bis hin zur Bremsfunktionist alles vorhanden. Vernetzte Fahrzeuge sind mit einer Vielzahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS verflochten und stellen eine komplexe digitale Infrastruktur dar, die einer Vielzahl von Angriffsvektoren ausgesetzt ist. Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein,was eine solide Verteidigungsgrundlage für echte Sicherheit darstellt.
MISRA ist eine wichtige Organisation, die sich aktiv mit den Bedrohungen für eingebettete Systeme befasst und Richtlinien entwickelt hat, um die Sicherheit, Integrität, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemumgebungen zu fördern. Diese Richtlinien sind der Leitstern für Standards, die jedes Unternehmen in seinen eingebetteten Systemprojekten anstreben sollte.
Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind eingebettete Systemingenieure erforderlich, die volles Vertrauen in ihre Tools haben (ganz zu schweigen von ihrem Sicherheitsbewusstsein).
Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?
Nach heutigen Maßstäben sind die Programmiersprachen C und C++ veraltet, werden aber nach wie vor häufig verwendet. Sie bilden den funktionalen Kern des Codebestands eingebetteter Systeme, und eingebettetes C/C++ genießt als Teil der Welt vernetzter Geräte ein glänzendes modernes Leben.
Obwohl diese Sprachen recht alte Wurzeln haben und ähnliche Schwachstellen wie Injektionsfehler und Pufferüberläufe aufweisen, müssen Entwickler, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben, selbst Erfahrungen mit Code sammeln, der ihre Arbeitsumgebung nachahmt. Allgemeine C-Schulungen im Rahmen allgemeiner Sicherheitspraktiken sind bei weitem nicht so wirkungsvoll und einprägsam wie die Arbeit in einer eingebetteten C-Umgebung.
由于现代汽车中有十几个到一百多个嵌入式系统,因此必须对开发人员进行精确的培训,让他们知道要在 IDE 中寻找什么以及如何修复它。
Der Schutz eingebetteter Systeme von Grund auf ist die Verantwortung jedes Einzelnen.
In vielen Organisationen hat die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortlichkeiten der Entwickler angeht. Sie werden selten anhand ihrer Fähigkeit bewertet, sicheren Code zu erstellen, sondern vielmehr daran, wie schnell sie hervorragende Funktionen entwickeln können. Die Nachfrage nach Software wird nur noch weiter steigen, aber diese Kultur macht uns anfällig für Sicherheitslücken und die daraus resultierenden Cyberangriffe.
Wenn Entwickler keine Schulung erhalten haben, ist das nicht ihre Schuld. Jemand aus dem AppSec-Team muss diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete, zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. Sicherheit muss von Beginn eines Softwareentwicklungsprojekts an oberste Priorität haben, und jeder – insbesondere die Entwickler – muss sich bewusst sein, dass er seinen Teil dazu beitragen muss.
Persönliche Erfahrungen mit Sicherheitsproblemen bei eingebetteten Systemen
Pufferüberläufe, Injektionsfehler und Fehler in der Geschäftslogik sind häufige Fallstricke bei der Entwicklung eingebetteter Systeme. Wenn sie tief in einem Labyrinth von Mikrocontrollern in einem einzelnen Fahrzeug oder Gerät verborgen sind, kann dies aus Sicherheitsgründen katastrophale Folgen haben.
Pufferüberläufe sind besonders häufig. Wenn Sie mehr darüber erfahren möchten, wie sie die zuvor erwähnte Heißluftfritteuse gefährden können (die die Remote-Ausführung von Code ermöglicht), lesen Sie diesen Bericht zu CVE-2020-28592.
Jetzt ist es an der Zeit, selbst Erfahrungen mit echten Pufferüberlauf-Schwachstellen in eingebettetem C/C++-Code zu sammeln. Nehmen Sie an diesem Wettbewerb teil und finden, identifizieren und beheben Sie das fehlerhafte Codierungsmuster, das zu diesem heimtückischen Fehler führt:
Wie läuft es bei Ihnen? Besuchen Sie www.securecodewarrior.com für präzise und effektive Schulungen zur Sicherheit eingebetteter Systeme.
In der Populärkultur gibt es zahlreiche Verweise auf rebellische KI und Roboter sowie auf Elektrogeräte, die menschliche Wirte aktivieren. Das ist voller Science-Fiction-Spaß und Fantasie, aber mit der zunehmenden Verbreitung des Internets der Dinge und vernetzter Geräte in unseren Haushalten sollten auch Diskussionen über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf ein paar Zeilen Code verlassen, um all diese raffinierten Dinge zu tun, die uns enorme Innovationen und Annehmlichkeiten bringen. Genau wie bei webbasierter Software und Mobilgeräten werden Schwachstellen in eingebetteten Systemen ausgenutzt, wenn Angreifer in der Praxis anfälligen Code finden.APIs und Mobilgeräten wird auch der anfällige Code in eingebetteten Systemen ausgenutzt, wenn Angreifer ihn in freier Wildbahn entdecken.
Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (aber Tesla-Roboter sind etwas beunruhigend), sind böswillige Cybervorfälle aufgrund von Cyberangriffen nach wie vor möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind noch immer auf komplexe eingebettete Systemcodes angewiesen, um wichtige Aufgaben auszuführen. Die Möglichkeit, dass diese Objekte gehackt werden, ist nicht nur erschreckend, sondern kann auch lebensbedrohlich sein.
Wie bei allen anderen Arten von Software sind Entwickler die ersten, die mit dem Code in Berührung kommen, und zwar gleich zu Beginn der Entwicklungsphase. Wie bei allen anderen Arten von Software kann dies ein potenzieller Nährboden für häufige Schwachstellen sein, die möglicherweise vor der Veröffentlichung des Produkts unentdeckt bleiben.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte von ihnen erwarten, dass sie diese Rolle übernehmen. Sie können jedoch über ein leistungsfähigeres Arsenal verfügen, um mit den für sie relevanten Bedrohungen umzugehen. Da sich unsere technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C und C++ geschrieben sind) immer häufiger zum Einsatz kommen. Daher ist es von entscheidender Bedeutung, dass Entwickler eine professionelle Sicherheitsschulung zu den in dieser Umgebung verwendeten Tools erhalten.
Explodierende Heißluftfritteusen, gestohlene Fahrzeuge... Schauen wir einfach zu?
Obwohl es eine Reihe von Standards und Vorschriften rund um die Entwicklung von Sicherheit gibt, um unsere Sicherheit zu gewährleisten, müssen wir präzisere und sinnvollere Fortschritte in Bezug auf die Sicherheit aller Arten von Software erzielen. Die Vorstellung, dass jemand in einen Heißluftfritteuse eindringen könnte, scheint weit hergeholt, aber genau das ist passiert – in Form eines Remote-Code-Execution-Angriffs (der es Angreifern ermöglichte, die Temperatur auf ein gefährliches Niveau zu erhöhen). Das Gleiche gilt für Sicherheitslücken, die zur Übernahme von Fahrzeugen führen können.
Insbesondere Fahrzeuge sind besonders komplex und verfügen über mehrere eingebettete Systeme, von denen jedes für eine Mikro-Funktion zuständig ist: vom automatischen Scheibenwischer über den Motor bis hin zur Bremsfunktionist alles vorhanden. Vernetzte Fahrzeuge sind mit einer Vielzahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS verflochten und stellen eine komplexe digitale Infrastruktur dar, die einer Vielzahl von Angriffsvektoren ausgesetzt ist. Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein,was eine solide Verteidigungsgrundlage für echte Sicherheit darstellt.
MISRA ist eine wichtige Organisation, die sich aktiv mit den Bedrohungen für eingebettete Systeme befasst und Richtlinien entwickelt hat, um die Sicherheit, Integrität, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemumgebungen zu fördern. Diese Richtlinien sind der Leitstern für Standards, die jedes Unternehmen in seinen eingebetteten Systemprojekten anstreben sollte.
Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind eingebettete Systemingenieure erforderlich, die volles Vertrauen in ihre Tools haben (ganz zu schweigen von ihrem Sicherheitsbewusstsein).
Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?
Nach heutigen Maßstäben sind die Programmiersprachen C und C++ veraltet, werden aber nach wie vor häufig verwendet. Sie bilden den funktionalen Kern des Codebestands eingebetteter Systeme, und eingebettetes C/C++ genießt als Teil der Welt vernetzter Geräte ein glänzendes modernes Leben.
Obwohl diese Sprachen recht alte Wurzeln haben und ähnliche Schwachstellen wie Injektionsfehler und Pufferüberläufe aufweisen, müssen Entwickler, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben, selbst Erfahrungen mit Code sammeln, der ihre Arbeitsumgebung nachahmt. Allgemeine C-Schulungen im Rahmen allgemeiner Sicherheitspraktiken sind bei weitem nicht so wirkungsvoll und einprägsam wie die Arbeit in einer eingebetteten C-Umgebung.
由于现代汽车中有十几个到一百多个嵌入式系统,因此必须对开发人员进行精确的培训,让他们知道要在 IDE 中寻找什么以及如何修复它。
Der Schutz eingebetteter Systeme von Grund auf ist die Verantwortung jedes Einzelnen.
In vielen Organisationen hat die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortlichkeiten der Entwickler angeht. Sie werden selten anhand ihrer Fähigkeit bewertet, sicheren Code zu erstellen, sondern vielmehr daran, wie schnell sie hervorragende Funktionen entwickeln können. Die Nachfrage nach Software wird nur noch weiter steigen, aber diese Kultur macht uns anfällig für Sicherheitslücken und die daraus resultierenden Cyberangriffe.
Wenn Entwickler keine Schulung erhalten haben, ist das nicht ihre Schuld. Jemand aus dem AppSec-Team muss diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete, zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. Sicherheit muss von Beginn eines Softwareentwicklungsprojekts an oberste Priorität haben, und jeder – insbesondere die Entwickler – muss sich bewusst sein, dass er seinen Teil dazu beitragen muss.
Persönliche Erfahrungen mit Sicherheitsproblemen bei eingebetteten Systemen
Pufferüberläufe, Injektionsfehler und Fehler in der Geschäftslogik sind häufige Fallstricke bei der Entwicklung eingebetteter Systeme. Wenn sie tief in einem Labyrinth von Mikrocontrollern in einem einzelnen Fahrzeug oder Gerät verborgen sind, kann dies aus Sicherheitsgründen katastrophale Folgen haben.
Pufferüberläufe sind besonders häufig. Wenn Sie mehr darüber erfahren möchten, wie sie die zuvor erwähnte Heißluftfritteuse gefährden können (die die Remote-Ausführung von Code ermöglicht), lesen Sie diesen Bericht zu CVE-2020-28592.
Jetzt ist es an der Zeit, selbst Erfahrungen mit echten Pufferüberlauf-Schwachstellen in eingebettetem C/C++-Code zu sammeln. Nehmen Sie an diesem Wettbewerb teil und finden, identifizieren und beheben Sie das fehlerhafte Codierungsmuster, das zu diesem heimtückischen Fehler führt:
Wie läuft es bei Ihnen? Besuchen Sie www.securecodewarrior.com für präzise und effektive Schulungen zur Sicherheit eingebetteter Systeme.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
In der Populärkultur gibt es zahlreiche Verweise auf rebellische KI und Roboter sowie auf Elektrogeräte, die menschliche Wirte aktivieren. Das ist voller Science-Fiction-Spaß und Fantasie, aber mit der zunehmenden Verbreitung des Internets der Dinge und vernetzter Geräte in unseren Haushalten sollten auch Diskussionen über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist allgegenwärtig, und man vergisst leicht, wie sehr wir uns auf ein paar Zeilen Code verlassen, um all diese raffinierten Dinge zu tun, die uns enorme Innovationen und Annehmlichkeiten bringen. Genau wie bei webbasierter Software und Mobilgeräten werden Schwachstellen in eingebetteten Systemen ausgenutzt, wenn Angreifer in der Praxis anfälligen Code finden.APIs und Mobilgeräten wird auch der anfällige Code in eingebetteten Systemen ausgenutzt, wenn Angreifer ihn in freier Wildbahn entdecken.
Obwohl es unwahrscheinlich ist, dass eine Armee von Mikrowellen die Menschheit versklaven wird (aber Tesla-Roboter sind etwas beunruhigend), sind böswillige Cybervorfälle aufgrund von Cyberangriffen nach wie vor möglich. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind noch immer auf komplexe eingebettete Systemcodes angewiesen, um wichtige Aufgaben auszuführen. Die Möglichkeit, dass diese Objekte gehackt werden, ist nicht nur erschreckend, sondern kann auch lebensbedrohlich sein.
Wie bei allen anderen Arten von Software sind Entwickler die ersten, die mit dem Code in Berührung kommen, und zwar gleich zu Beginn der Entwicklungsphase. Wie bei allen anderen Arten von Software kann dies ein potenzieller Nährboden für häufige Schwachstellen sein, die möglicherweise vor der Veröffentlichung des Produkts unentdeckt bleiben.
Entwickler sind keine Sicherheitsexperten, und kein Unternehmen sollte von ihnen erwarten, dass sie diese Rolle übernehmen. Sie können jedoch über ein leistungsfähigeres Arsenal verfügen, um mit den für sie relevanten Bedrohungen umzugehen. Da sich unsere technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C und C++ geschrieben sind) immer häufiger zum Einsatz kommen. Daher ist es von entscheidender Bedeutung, dass Entwickler eine professionelle Sicherheitsschulung zu den in dieser Umgebung verwendeten Tools erhalten.
Explodierende Heißluftfritteusen, gestohlene Fahrzeuge... Schauen wir einfach zu?
Obwohl es eine Reihe von Standards und Vorschriften rund um die Entwicklung von Sicherheit gibt, um unsere Sicherheit zu gewährleisten, müssen wir präzisere und sinnvollere Fortschritte in Bezug auf die Sicherheit aller Arten von Software erzielen. Die Vorstellung, dass jemand in einen Heißluftfritteuse eindringen könnte, scheint weit hergeholt, aber genau das ist passiert – in Form eines Remote-Code-Execution-Angriffs (der es Angreifern ermöglichte, die Temperatur auf ein gefährliches Niveau zu erhöhen). Das Gleiche gilt für Sicherheitslücken, die zur Übernahme von Fahrzeugen führen können.
Insbesondere Fahrzeuge sind besonders komplex und verfügen über mehrere eingebettete Systeme, von denen jedes für eine Mikro-Funktion zuständig ist: vom automatischen Scheibenwischer über den Motor bis hin zur Bremsfunktionist alles vorhanden. Vernetzte Fahrzeuge sind mit einer Vielzahl von Kommunikationstechnologien wie WLAN, Bluetooth und GPS verflochten und stellen eine komplexe digitale Infrastruktur dar, die einer Vielzahl von Angriffsvektoren ausgesetzt ist. Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein,was eine solide Verteidigungsgrundlage für echte Sicherheit darstellt.
MISRA ist eine wichtige Organisation, die sich aktiv mit den Bedrohungen für eingebettete Systeme befasst und Richtlinien entwickelt hat, um die Sicherheit, Integrität, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemumgebungen zu fördern. Diese Richtlinien sind der Leitstern für Standards, die jedes Unternehmen in seinen eingebetteten Systemprojekten anstreben sollte.
Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind eingebettete Systemingenieure erforderlich, die volles Vertrauen in ihre Tools haben (ganz zu schweigen von ihrem Sicherheitsbewusstsein).
Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?
Nach heutigen Maßstäben sind die Programmiersprachen C und C++ veraltet, werden aber nach wie vor häufig verwendet. Sie bilden den funktionalen Kern des Codebestands eingebetteter Systeme, und eingebettetes C/C++ genießt als Teil der Welt vernetzter Geräte ein glänzendes modernes Leben.
Obwohl diese Sprachen recht alte Wurzeln haben und ähnliche Schwachstellen wie Injektionsfehler und Pufferüberläufe aufweisen, müssen Entwickler, um Sicherheitslücken in eingebetteten Systemen wirklich erfolgreich zu beheben, selbst Erfahrungen mit Code sammeln, der ihre Arbeitsumgebung nachahmt. Allgemeine C-Schulungen im Rahmen allgemeiner Sicherheitspraktiken sind bei weitem nicht so wirkungsvoll und einprägsam wie die Arbeit in einer eingebetteten C-Umgebung.
由于现代汽车中有十几个到一百多个嵌入式系统,因此必须对开发人员进行精确的培训,让他们知道要在 IDE 中寻找什么以及如何修复它。
Der Schutz eingebetteter Systeme von Grund auf ist die Verantwortung jedes Einzelnen.
In vielen Organisationen hat die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortlichkeiten der Entwickler angeht. Sie werden selten anhand ihrer Fähigkeit bewertet, sicheren Code zu erstellen, sondern vielmehr daran, wie schnell sie hervorragende Funktionen entwickeln können. Die Nachfrage nach Software wird nur noch weiter steigen, aber diese Kultur macht uns anfällig für Sicherheitslücken und die daraus resultierenden Cyberangriffe.
Wenn Entwickler keine Schulung erhalten haben, ist das nicht ihre Schuld. Jemand aus dem AppSec-Team muss diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete, zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. Sicherheit muss von Beginn eines Softwareentwicklungsprojekts an oberste Priorität haben, und jeder – insbesondere die Entwickler – muss sich bewusst sein, dass er seinen Teil dazu beitragen muss.
Persönliche Erfahrungen mit Sicherheitsproblemen bei eingebetteten Systemen
Pufferüberläufe, Injektionsfehler und Fehler in der Geschäftslogik sind häufige Fallstricke bei der Entwicklung eingebetteter Systeme. Wenn sie tief in einem Labyrinth von Mikrocontrollern in einem einzelnen Fahrzeug oder Gerät verborgen sind, kann dies aus Sicherheitsgründen katastrophale Folgen haben.
Pufferüberläufe sind besonders häufig. Wenn Sie mehr darüber erfahren möchten, wie sie die zuvor erwähnte Heißluftfritteuse gefährden können (die die Remote-Ausführung von Code ermöglicht), lesen Sie diesen Bericht zu CVE-2020-28592.
Jetzt ist es an der Zeit, selbst Erfahrungen mit echten Pufferüberlauf-Schwachstellen in eingebettetem C/C++-Code zu sammeln. Nehmen Sie an diesem Wettbewerb teil und finden, identifizieren und beheben Sie das fehlerhafte Codierungsmuster, das zu diesem heimtückischen Fehler führt:
Wie läuft es bei Ihnen? Besuchen Sie www.securecodewarrior.com für präzise und effektive Schulungen zur Sicherheit eingebetteter Systeme.
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
