Tournament Torque: ASRG setzt sich für Softwaresicherheit in der Automobilindustrie ein

Die Forschungsgruppe Automobilsicherheit ist eine gemeinnützige Organisation, die sich der Sensibilisierung und Unterstützung der Sicherheitsentwicklung in der Automobilindustrie verschrieben hat. Der Schwerpunkt liegt auf der Suche und Förderung von Lösungen, die Automobilprodukte sicherer und sicherer machen. Derzeit verändert sich diese Branche und erlebt die nächste Revolution im Bereich vernetzter, autonomer, gemeinsam genutzter, elektrifizierter und softwaredefinierter Fahrzeuge. Auf dem Weg in diese schöne neue technologische Welt für die Branche, in der die Abhängigkeit von der Software, die Fahrzeuge und Ökosystemanwendungen antreibt, enorm zunimmt, spielen Organisationen wie ASRG eine wichtige Rolle dabei, die Aufmerksamkeit auf die Softwaresicherheit in der Automobilindustrie zu lenken und diese aufrechtzuerhalten.

Dieses Bewusstsein und vor allem die Hersteller, die darauf reagieren, werden von entscheidender Bedeutung sein, da potenzielle Angriffsvektoren und Cyberrisiken mit der zunehmenden Einführung neuer Fahrzeugtechnologien auf dem Verbrauchermarkt zunehmen. Das FBI warnte kürzlich vor Angreifer, die auf die US-Autoindustrie abzielen, wobei die große Mehrheit der Verstöße auf unverschlüsselte sensible Daten zurückzuführen ist. Dies kann, zusätzlich zu Angriffen wie Brute-Forcing, schlecht konfigurierte Datenbanken, enorme und potenziell tödliche Folgen haben. Im Rahmen ihrer Recherche nach Lösungen und Tools, die zur Gestaltung und Einhaltung von Softwaresicherheitsstandards für Automobilprodukte beitragen, testete das Team von ASRG die Plattform von Secure Code Warrior, nämlich die Turnierfunktion. ASRG wurde speziell entwickelt, um Entwickler durch einen freundlichen, spielerischen Wettbewerb zu gewinnen, ihr Sicherheitsbewusstsein zu schärfen und ihre Fähigkeiten im Bereich der sicheren Codierung zu verbessern. Sie untersuchte, wie Secure Code Warrior das Interesse von Entwicklern an Sicherheit wecken und ihnen die Fähigkeiten vermitteln kann, um häufig auftretende Sicherheitslücken zu schließen, die Automobilsoftware betreffen, und inakzeptablen Risiken Tür und Tor öffnen.

‍

Wo sind die typischen Angriffsvektoren in Automobilsoftware?

Bei der Analyse der potenziellen Zugangswege von Angreifern auf Automobilsoftware gibt es viele Möglichkeiten, wie im Allots umfassender Bericht.

Egal wie sicherheitsbewusst sie sind, Entwickler können nicht anders, als sich gegen sie alle zu verteidigen (und das sollte auch nicht erwartet werden — AppSec-Spezialisten gibt es nicht ohne Grund!) aber es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsten Problem werden, wie zum Beispiel:

Es gibt viele gängige Hintertüren, die versierte Entwickler in ihrem Code schließen können, bevor sie zu einem ernsthaften Problem werden.

‍

Wie ernst ist die Situation eines kompromittierten Fahrzeugs?

Für den Durchschnittsbürger ist es ziemlich offensichtlich, dass die meisten Fahrzeuge nicht zu 100% sicher sind und dass bei ihrer Verwendung ein gewisses Risiko eingegangen wird. Fehlfunktionen von Kraftfahrzeugen, Unfälle, Trunkenheit am Steuer... all dies hat potenziell tödliche Folgen für den Verkehrsteilnehmer.

Aber was wäre, wenn diese katastrophale Fahrzeugstörung tatsächlich aus der Ferne als Folge eines besonders böswilligen Cyberangriffs verursacht wurde? Es wird seit langem vermutet, dass die Welt die Cybersicherheit ernst nehmen wird, wenn lebensbedrohliche Folgen drohen, aber die Realität ist, dass wir uns bereits weit in diesem Bereich befinden, und ohne Eingreifen wird es von hier aus nur eskalieren.

Damals im Jahr 2015, Sicherheitsforscher haben erfolgreich den Motor eines Jeep Cherokee „getötet“ als es auf einer Autobahn fuhr, konnten sie mithilfe eines bekannten Zero-Day-Exploits in der Systemsoftware die Klimaanlage, das Radio, die Lenkung, die Bremsen und das Getriebe drahtlos steuern. Obwohl es gefährlich war, handelte es sich um ein in Grenzen gehaltenes Experiment, doch es bewies die tödliche Kontrolle, die ein Angreifer über ein Fahrzeug und seine Insassen haben kann. Seit diesem Ereignis sind Millionen vernetzter Fahrzeuge auf unseren Straßen unterwegs. Jedes Fahrzeug steht für Millionen von Codezeilen, die gesichert werden müssen.

Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht. Softwareentwickler in der Automobilindustrie müssen sich dringend die Verantwortung für Sicherheit teilen, und ASRG ist der Community-Hub, auf den sich viele verlassen, um die neuesten Sicherheitsinformationen, Tools, Empfehlungen und Unterstützung von Kollegen zu erhalten. Ihr globales Secure Code Warrior-Turnier zielte darauf ab, über 100 Entwickler aus ASRG-Kapiteln auf der ganzen Welt einzubeziehen, zu bewerten und zu inspirieren. Sie nahmen an freundschaftlichen Wettbewerben und Schulungen teil und versuchten, Herausforderungen im Bereich der sicheren Codierung zu lösen, die in direktem Zusammenhang mit den Problemen stehen, mit denen die in ihrer Branche vorherrschende Software konfrontiert ist.

Die Technologie für autonome Fahrzeuge (und ihre Einführung) entwickelt sich rasend schnell, und dies kann zu einer immensen Belastung für ihre Entwickler führen, insbesondere für die Teams, die für die Bereitstellung des Codes verantwortlich sind, der die Annehmlichkeiten von morgen ermöglicht.

‍

Die Zahlen und Fakten der Turnier- und Trainingstests

Dies ist ein Zeichen für ein hohes Engagement und den Wunsch, weiterzuspielen — beides äußerst nützliche Nebenprodukte von Gamification-Techniken in der Aus- und Weiterbildung.

Schulungen und Turniere können in den Sprachen und Frameworks gespielt werden, die von jedem einzelnen Entwickler gewünscht werden. So wird sichergestellt, dass die Herausforderungen hochrelevant sind und echten Code verwenden, auf den sie bei der täglichen Arbeit stoßen würden. Dieser kontextbezogene, kleine Lernansatz gewährleistet eine schnelle Bereitstellung der Inhalte, die für die Lösung der häufigsten Probleme im SDLC des Unternehmens am wichtigsten sind.

Das häufigste Entwicklerprofil unter den Teilnehmern

‍

‍

Weitere wichtige Ergebnisse:

Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sprache

Globales ASRG Virtual Secure Coding Tournament: Secure Code Score pro Sicherheitslücke

Obwohl alle Teilnehmer einige Kenntnisse in den von ihnen gewählten Sprachen und Frameworks zeigten, gab es keinen einzigen Schwachstellenbereich, der als „100% sicher“ eingestuft oder gemeistert wurde, und der durchschnittliche Genauigkeitswert lag bei 67%. Es wird nicht erwartet, dass ein Entwickler ein Sicherheitsexperte wird, aber Turniere sind eine großartige Möglichkeit, Sicherheitsstandards einzuführen, einen Qualitätsmaßstab und die Verantwortung, zu lernen, wie man häufig auftretende Sicherheitslücken im Code unterdrückt... vor allem, wenn dieser Code zur Fernzugriffskontrolle von führen kann jemandes Fahrzeug oder Schlimmeres.

Einblicke in Vulnerabilitäts- und kompetenzbasierte Risikofaktoren aus Turnieren

Das ASRG-Turnier und die Trainingsinitiativen konzentrierten sich auf einige wichtige Sicherheitslücken, die sich auf vernetzte Fahrzeuge auswirken, nämlich:

Nach Tausenden von Trainingsminuten und Hunderten von Herausforderungen wurde klar, dass der klare Schwerpunkt weiterhin auf der Zugriffskontrolle, der Speicherung sensibler Daten und, in erster Linie, auf Sicherheitslücken aufgrund von Speicherfehlern liegen sollte. Letzteres ist ein bekannter potenzieller Exploit nicht nur in ultravernetzten Fahrzeugen, sondern auch in vielen anderen IoT-Geräten.

So ein Käfer wurde kürzlich vom Cisco Customer Experience Assessment & Penetration Team (CX APT) in GNU Glibc entdeckt, einer Bibliothek, die in Linux-ARMv7-Systemen verwendet wird. Dadurch sind sie anfällig für Speicherbeschädigungen, bis ein Patch erstellt und angewendet wird. In Zeiten, in denen sensorlastige Geräte Daten in Echtzeit von mehreren Umgebungspunkten aus sammeln, kann der Schaden für einen Angreifer erheblich sein, selbst wenn eine Fernsteuerung des Geräts nicht möglich ist.

Das Team von ASRG hat mit seinem Verzeichnis getesteter Tools und Lösungen, einem umfassenden Wiki und einer leistungsstarken globalen Community unglaubliche Ressourcen für Entwickler zusammengestellt, die im Bereich der Automobilsicherheit tätig sein müssen. Diese unabhängigen Gruppeninitiativen sind es, die den Wandel an der Basis vorantreiben, und ihre Bereitschaft, neue Dinge auszuprobieren und die Grundlagen für das Sicherheitsbewusstsein ihrer Mitglieder zu schärfen, ist ein wichtiger Faktor, um wiederkehrende Sicherheitslücken in hochsensiblen Geräten zu verhindern.

Kapitalrendite, wenn Sie jetzt für bewährte Verfahren zur sicheren Codierung ausgeben

Eine von SAE International und der Synopsys Software IntegrityGroup veröffentlichte Studie ergab, dass die Automobilindustrie in Bezug auf die Sicherung vernetzter Technologien und den Schutz vor bestehenden und neuen Cyberbedrohungen deutlich hinter vielen anderen zurückblieb.

Dieser Trend ist besorgniserregend, aber nicht unumkehrbar — vor allem angesichts der Tatsache, dass Organisationen wie ASRG darum kämpfen, die Sicherheit in der Branche in den Mittelpunkt zu stellen und gleichzeitig Licht auf die Lösungen, Tools und Schulungen zu werfen, die Automobilunternehmen benötigen, um ein eisernes Sicherheitsprogramm aufzubauen.

Ihre Erfahrung mit der Durchführung eines hochinteressanten, globalen Secure Code Warrior-Turniers gab ihnen die Gelegenheit, die wichtigsten Risikobereiche innerhalb einer Entwicklungskohorte zu identifizieren, Möglichkeiten zum weiteren Lernen, Genauigkeitsstatistiken von Herausforderungen beim sicheren Programmieren und die wichtigsten Sicherheitslücken zu identifizieren, auf die sie sich konzentrieren sollten, sofern sie für die Bedürfnisse der Branche relevant sind.

Wie hoch wäre also der geschätzte Nutzen einer Transformation eines Sicherheitsprogramms innerhalb einer Organisation, bei der das Sicherheitsbewusstsein und entsprechende Maßnahmen von Beginn des SDLC an geschärft würden? Werfen wir einen Blick darauf:

Für ein Unternehmen, das bei seinen Sicherheitsaudits auch nur eine bescheidene Anzahl jährlicher Sicherheitslücken identifiziert, können die potenziellen Kosten der Erkennung und Behebung erheblich sein. Und je nachdem, wo diese lästigen Fehler im Prozess aufgedeckt werden, können die Kosten für die Behebung selbst bei den „einfachen“ Korrekturen dramatisch steigen — bis zu dreißigmal so viel wie bei einer Behebung in der Spätphase, im Vergleich zu einer Lösung, die zu Beginn gefunden und behoben wurde.

Kapitalrendite

Diese Drei-Punkte-Schätzung zeigt die potenziellen finanziellen und täglichen Auswirkungen dreier verschiedener Einsparungen, die durch das Training, die Turniere und den kulturellen Wandel von Secure Code Warrior ermöglicht wurden.

‍

Mögliche jährliche Einsparungen

‍

Agile Lernplattformen: ROI entwicklerorientierter Sicherheit

In einer sich schnell entwickelnden Softwarelandschaft tragen Entwickler heute die Verantwortung für Secure-by-Design-Produkte. In diesem gemeinsamen Bericht von Secure Code Warrior und Accenture untersuchen wir die Herausforderungen im Zusammenhang mit herkömmlichen Sicherheitsschulungen und die Opportunitätskosten, die sich aus der Unterbrechung der Arbeitsabläufe von Entwicklern ergeben. Hier kommt eine agile Lernplattform für sicheren Code ins Spiel, die Sicherheitslücken um die Hälfte reduziert und gleichzeitig die Produktivität steigert.

In diesem Whitepaper packen unsere Experten von Secure Code Warrior und Accenture Folgendes aus:

• So berechnen Sie den ROI von agilem Lernen anhand von Faktoren wie Lizenzierung, Gehältern und Korrekturzeit.
• Erfahren Sie, wie Accenture Secure Code Warrior integriert, um das Training von sicherem Code zu transformieren und den Wert der Entwicklerausbildung zu unterstreichen.
• Benutzer von Secure Code Warrior erleben eine Steigerung der Entwicklerproduktivität um 148%, die Anzahl der Sicherheitslücken wurde reduziert und die Release-Zyklen beschleunigt, sodass proaktive Sicherheit finanziell rentabel wird.

‍

DevOps and Security Experts must to adjust the development cybersecurity landscape, and the approach of the industry to further development of developer must be further.

We know now that Developer Code faster as you before sent. This creates new risks, as the security often be no priority is down, to be critical termins and the market request.

Moderne Unternehmen setzen entwicklerorientierte Sicherheit ein und verwenden agile Lernprinzipien. This fast and flexible approach allows Developers, secure coding technologies quickly to internal, that they can be immediately use.

Secure Code Warrior shows Developers, how they can detect, avoid and prevent security lücken with programming. Unsere agile Lernplattform für sicheres Programmieren gibt Entwicklern die Freiheit, ihre bevorzugte Art zu lernen, und bietet die umfassendsten und zuverlässigsten Schwachstelleninhalte, die es derzeit in der Branche gibt.

Durch die Integration von agilem Secure Code Learning in die moderne Softwarebereitstellung können Entwickler Softwaresicherheitsprinzipien während des gesamten Softwareentwicklungszyklus effektiv lernen, anwenden und beibehalten.

In diesem E-Book erfahren Sie, wie Sie:

• Passe the principles of agile learning to the devsecOPS development method and verlagers the security to start of the software development cycle.
• Mache dich vertraut mit den Stufen der Sicherheitsreife, um eine Grundlage für ihren agilen Ansatz zum Erlernen von sicherem Code zu schaffen.
• Use the recommendations and important measures of security experten of SCW and the SCW customers.
  

Software has evolved to become the lifeblood of companies across all sectors and industries, with digital transformation and innovation key drivers of modern business operations.

While speed-to-market and availability of applications are board-level topics for most companies, this accelerated development and delivery carries a hefty price that is too often paid: the deprioritization of security. Independent research carried out in conjunction with Evans Data confirmed that just 29% of developers believe that writing vulnerability-free code should be prioritized.

As a result, the friction between software development and security remains unresolved, while the risk of doing business in a world of devastating data breaches runs at an all-time high.

In this fireside chat, a panel of security experts from Allianz, BMW,  Siemens, Contrast and Secure Code Warrior will discuss how development and AppSec teams can be harmonized, without sacrificing deployment speed or compromising on code quality and security. 

You will learn:

• How to understand the developer mindset and motivate them by appealing to their engineering excellence 
• Better investments in the modern AppSec team
• What IAST is, and how, together with RASP, it can save time and money
• How developers can ask for the right kind of help from their security teams 
• How the security team can help developers identify, assess, and prioritize vulnerabilities to determine whether they need immediate mitigation or ongoing monitoring.