当好的微波炉变坏时:为什么嵌入式系统安全是开发人员的下一场头目战
有许多流行文化提到了流氓 AI 和机器人,以及开启人类主机的电器。它充满了科幻乐趣和幻想,但是随着物联网和联网设备在我们家庭中变得越来越普遍,围绕网络安全和安全的讨论也应该如此。软件无处不在,很容易忘记我们在多大程度上依赖于几行代码来完成所有这些为我们带来巨大创新和便利的巧妙事情。就像基于 Web 的软件、API 和移动设备一样,如果攻击者在野外发现嵌入式系统中的易受攻击的代码,就会被利用。
尽管微波大军不太可能来奴役人类(但是 特斯拉机器人 有点令人担忧)由于网络攻击,恶意网络事件仍然是可能的。我们的一些汽车、飞机和医疗设备还依赖错综复杂的嵌入式系统代码来执行关键任务,这些物体遭到入侵的可能性不仅令人震惊,而且可能危及生命。
就像所有其他类型的软件一样,开发人员是最早接触代码的人,就在创建阶段的开始。就像所有其他类型的软件一样,这可能是潜在的常见漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。
开发人员不是安全专家,任何公司都不应指望他们扮演这个角色,但他们可以拥有更强大的武器库来应对与他们相关的威胁。随着我们技术需求的不断发展,嵌入式系统(通常用 C 和 C++ 编写)将得到更频繁的使用,对于开发人员进行有关该环境中工具的专业安全培训至关重要。
爆炸的空气炸锅、盗贼车辆... 我们在坐视吗?
虽然有 一些 围绕所有安全开发的标准和法规为了确保我们的安全,我们需要在所有类型的软件安全方面取得更精确、更有意义的进展。想到一个可能由有人入侵空气炸锅引起的问题似乎牵强附会,但是 它发生了 以远程代码执行攻击(允许威胁行为者将温度提高到危险水平)的形式出现,导致车辆接管的漏洞也是如此。
特别是车辆,特别复杂,车载多个嵌入式系统,每个系统都负责微功能;从自动雨刮器到发动机和制动功能,应有尽有。联网车辆与不断增加的通信技术(如Wi-Fi、蓝牙和GPS)交织在一起,代表了面临多种攻击向量的复杂数字基础设施。并且 到2023年,全球预计将有7,630万辆联网汽车上路,这是为真正的安全奠定坚实的防御基础。
米斯拉 是积极应对嵌入式系统威胁的关键组织,已经制定了指导方针,以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中都必须努力实现的标准中的北极星。
但是,要创建和执行符合这一黄金标准的代码,需要对工具充满信心(更不用说安全意识了)的嵌入式系统工程师。
为什么嵌入式系统安全技能提升如此具体?
按照当今的标准,C 和 C++ 编程语言已经过时了,但仍被广泛使用。它们构成了嵌入式系统代码库的功能核心,嵌入式 C/C++ 作为联网设备世界的一部分享受着闪亮的现代生活。
尽管这些语言有着相当古老的根源,并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为,但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。
由于现代汽车中有十几个到一百多个嵌入式系统,因此必须对开发人员进行精确的培训,让他们知道要在 IDE 中寻找什么以及如何修复它。
从底层保护嵌入式系统是每个人的责任
许多组织的现状是,开发速度胜过安全,至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估,但是快速开发出色的功能是黄金标准。对软件的需求只会增加,但这种文化使我们为防御漏洞及其随后允许的网络攻击做好了失败的准备。
如果开发人员没有接受过培训,那不是他们的错,AppSec团队中的某个人需要通过向整个开发社区推荐正确的、可访问的(更不用说可评估的)技能提升计划来帮助填补这个漏洞。在软件开发项目一开始,安全性就必须是头等大事,每个人——尤其是开发人员——都要考虑到他们需要发挥自己的作用。
亲身体验嵌入式系统的安全问题
缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫中时,从安全的角度来看,它可能意味着灾难。
缓冲区溢出尤其普遍,如果你想深入了解它如何危害我们之前谈过的空气炸锅(允许远程执行代码),请查看 这份报告 在 CVE-2020-28592 上。
现在,是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛,看看你能否找到、识别和修复导致这个阴险错误的不良编码模式:
.png)
你做得怎么样?参观 www.securecodewarrior.com 用于精确、有效的嵌入式系统安全培训。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
有许多流行文化提到了流氓 AI 和机器人,以及开启人类主机的电器。它充满了科幻乐趣和幻想,但是随着物联网和联网设备在我们家庭中变得越来越普遍,围绕网络安全和安全的讨论也应该如此。软件无处不在,很容易忘记我们在多大程度上依赖于几行代码来完成所有这些为我们带来巨大创新和便利的巧妙事情。就像基于 Web 的软件、API 和移动设备一样,如果攻击者在野外发现嵌入式系统中的易受攻击的代码,就会被利用。
尽管微波大军不太可能来奴役人类(但是 特斯拉机器人 有点令人担忧)由于网络攻击,恶意网络事件仍然是可能的。我们的一些汽车、飞机和医疗设备还依赖错综复杂的嵌入式系统代码来执行关键任务,这些物体遭到入侵的可能性不仅令人震惊,而且可能危及生命。
就像所有其他类型的软件一样,开发人员是最早接触代码的人,就在创建阶段的开始。就像所有其他类型的软件一样,这可能是潜在的常见漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。
开发人员不是安全专家,任何公司都不应指望他们扮演这个角色,但他们可以拥有更强大的武器库来应对与他们相关的威胁。随着我们技术需求的不断发展,嵌入式系统(通常用 C 和 C++ 编写)将得到更频繁的使用,对于开发人员进行有关该环境中工具的专业安全培训至关重要。
爆炸的空气炸锅、盗贼车辆... 我们在坐视吗?
虽然有 一些 围绕所有安全开发的标准和法规为了确保我们的安全,我们需要在所有类型的软件安全方面取得更精确、更有意义的进展。想到一个可能由有人入侵空气炸锅引起的问题似乎牵强附会,但是 它发生了 以远程代码执行攻击(允许威胁行为者将温度提高到危险水平)的形式出现,导致车辆接管的漏洞也是如此。
特别是车辆,特别复杂,车载多个嵌入式系统,每个系统都负责微功能;从自动雨刮器到发动机和制动功能,应有尽有。联网车辆与不断增加的通信技术(如Wi-Fi、蓝牙和GPS)交织在一起,代表了面临多种攻击向量的复杂数字基础设施。并且 到2023年,全球预计将有7,630万辆联网汽车上路,这是为真正的安全奠定坚实的防御基础。
米斯拉 是积极应对嵌入式系统威胁的关键组织,已经制定了指导方针,以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中都必须努力实现的标准中的北极星。
但是,要创建和执行符合这一黄金标准的代码,需要对工具充满信心(更不用说安全意识了)的嵌入式系统工程师。
为什么嵌入式系统安全技能提升如此具体?
按照当今的标准,C 和 C++ 编程语言已经过时了,但仍被广泛使用。它们构成了嵌入式系统代码库的功能核心,嵌入式 C/C++ 作为联网设备世界的一部分享受着闪亮的现代生活。
尽管这些语言有着相当古老的根源,并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为,但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。
由于现代汽车中有十几个到一百多个嵌入式系统,因此必须对开发人员进行精确的培训,让他们知道要在 IDE 中寻找什么以及如何修复它。
从底层保护嵌入式系统是每个人的责任
许多组织的现状是,开发速度胜过安全,至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估,但是快速开发出色的功能是黄金标准。对软件的需求只会增加,但这种文化使我们为防御漏洞及其随后允许的网络攻击做好了失败的准备。
如果开发人员没有接受过培训,那不是他们的错,AppSec团队中的某个人需要通过向整个开发社区推荐正确的、可访问的(更不用说可评估的)技能提升计划来帮助填补这个漏洞。在软件开发项目一开始,安全性就必须是头等大事,每个人——尤其是开发人员——都要考虑到他们需要发挥自己的作用。
亲身体验嵌入式系统的安全问题
缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫中时,从安全的角度来看,它可能意味着灾难。
缓冲区溢出尤其普遍,如果你想深入了解它如何危害我们之前谈过的空气炸锅(允许远程执行代码),请查看 这份报告 在 CVE-2020-28592 上。
现在,是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛,看看你能否找到、识别和修复导致这个阴险错误的不良编码模式:
你做得怎么样?参观 www.securecodewarrior.com 用于精确、有效的嵌入式系统安全培训。
有许多流行文化提到了流氓 AI 和机器人,以及开启人类主机的电器。它充满了科幻乐趣和幻想,但是随着物联网和联网设备在我们家庭中变得越来越普遍,围绕网络安全和安全的讨论也应该如此。软件无处不在,很容易忘记我们在多大程度上依赖于几行代码来完成所有这些为我们带来巨大创新和便利的巧妙事情。就像基于 Web 的软件、API 和移动设备一样,如果攻击者在野外发现嵌入式系统中的易受攻击的代码,就会被利用。
尽管微波大军不太可能来奴役人类(但是 特斯拉机器人 有点令人担忧)由于网络攻击,恶意网络事件仍然是可能的。我们的一些汽车、飞机和医疗设备还依赖错综复杂的嵌入式系统代码来执行关键任务,这些物体遭到入侵的可能性不仅令人震惊,而且可能危及生命。
就像所有其他类型的软件一样,开发人员是最早接触代码的人,就在创建阶段的开始。就像所有其他类型的软件一样,这可能是潜在的常见漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。
开发人员不是安全专家,任何公司都不应指望他们扮演这个角色,但他们可以拥有更强大的武器库来应对与他们相关的威胁。随着我们技术需求的不断发展,嵌入式系统(通常用 C 和 C++ 编写)将得到更频繁的使用,对于开发人员进行有关该环境中工具的专业安全培训至关重要。
爆炸的空气炸锅、盗贼车辆... 我们在坐视吗?
虽然有 一些 围绕所有安全开发的标准和法规为了确保我们的安全,我们需要在所有类型的软件安全方面取得更精确、更有意义的进展。想到一个可能由有人入侵空气炸锅引起的问题似乎牵强附会,但是 它发生了 以远程代码执行攻击(允许威胁行为者将温度提高到危险水平)的形式出现,导致车辆接管的漏洞也是如此。
特别是车辆,特别复杂,车载多个嵌入式系统,每个系统都负责微功能;从自动雨刮器到发动机和制动功能,应有尽有。联网车辆与不断增加的通信技术(如Wi-Fi、蓝牙和GPS)交织在一起,代表了面临多种攻击向量的复杂数字基础设施。并且 到2023年,全球预计将有7,630万辆联网汽车上路,这是为真正的安全奠定坚实的防御基础。
米斯拉 是积极应对嵌入式系统威胁的关键组织,已经制定了指导方针,以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中都必须努力实现的标准中的北极星。
但是,要创建和执行符合这一黄金标准的代码,需要对工具充满信心(更不用说安全意识了)的嵌入式系统工程师。
为什么嵌入式系统安全技能提升如此具体?
按照当今的标准,C 和 C++ 编程语言已经过时了,但仍被广泛使用。它们构成了嵌入式系统代码库的功能核心,嵌入式 C/C++ 作为联网设备世界的一部分享受着闪亮的现代生活。
尽管这些语言有着相当古老的根源,并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为,但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。
由于现代汽车中有十几个到一百多个嵌入式系统,因此必须对开发人员进行精确的培训,让他们知道要在 IDE 中寻找什么以及如何修复它。
从底层保护嵌入式系统是每个人的责任
许多组织的现状是,开发速度胜过安全,至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估,但是快速开发出色的功能是黄金标准。对软件的需求只会增加,但这种文化使我们为防御漏洞及其随后允许的网络攻击做好了失败的准备。
如果开发人员没有接受过培训,那不是他们的错,AppSec团队中的某个人需要通过向整个开发社区推荐正确的、可访问的(更不用说可评估的)技能提升计划来帮助填补这个漏洞。在软件开发项目一开始,安全性就必须是头等大事,每个人——尤其是开发人员——都要考虑到他们需要发挥自己的作用。
亲身体验嵌入式系统的安全问题
缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫中时,从安全的角度来看,它可能意味着灾难。
缓冲区溢出尤其普遍,如果你想深入了解它如何危害我们之前谈过的空气炸锅(允许远程执行代码),请查看 这份报告 在 CVE-2020-28592 上。
现在,是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛,看看你能否找到、识别和修复导致这个阴险错误的不良编码模式:
你做得怎么样?参观 www.securecodewarrior.com 用于精确、有效的嵌入式系统安全培训。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
有许多流行文化提到了流氓 AI 和机器人,以及开启人类主机的电器。它充满了科幻乐趣和幻想,但是随着物联网和联网设备在我们家庭中变得越来越普遍,围绕网络安全和安全的讨论也应该如此。软件无处不在,很容易忘记我们在多大程度上依赖于几行代码来完成所有这些为我们带来巨大创新和便利的巧妙事情。就像基于 Web 的软件、API 和移动设备一样,如果攻击者在野外发现嵌入式系统中的易受攻击的代码,就会被利用。
尽管微波大军不太可能来奴役人类(但是 特斯拉机器人 有点令人担忧)由于网络攻击,恶意网络事件仍然是可能的。我们的一些汽车、飞机和医疗设备还依赖错综复杂的嵌入式系统代码来执行关键任务,这些物体遭到入侵的可能性不仅令人震惊,而且可能危及生命。
就像所有其他类型的软件一样,开发人员是最早接触代码的人,就在创建阶段的开始。就像所有其他类型的软件一样,这可能是潜在的常见漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。
开发人员不是安全专家,任何公司都不应指望他们扮演这个角色,但他们可以拥有更强大的武器库来应对与他们相关的威胁。随着我们技术需求的不断发展,嵌入式系统(通常用 C 和 C++ 编写)将得到更频繁的使用,对于开发人员进行有关该环境中工具的专业安全培训至关重要。
爆炸的空气炸锅、盗贼车辆... 我们在坐视吗?
虽然有 一些 围绕所有安全开发的标准和法规为了确保我们的安全,我们需要在所有类型的软件安全方面取得更精确、更有意义的进展。想到一个可能由有人入侵空气炸锅引起的问题似乎牵强附会,但是 它发生了 以远程代码执行攻击(允许威胁行为者将温度提高到危险水平)的形式出现,导致车辆接管的漏洞也是如此。
特别是车辆,特别复杂,车载多个嵌入式系统,每个系统都负责微功能;从自动雨刮器到发动机和制动功能,应有尽有。联网车辆与不断增加的通信技术(如Wi-Fi、蓝牙和GPS)交织在一起,代表了面临多种攻击向量的复杂数字基础设施。并且 到2023年,全球预计将有7,630万辆联网汽车上路,这是为真正的安全奠定坚实的防御基础。
米斯拉 是积极应对嵌入式系统威胁的关键组织,已经制定了指导方针,以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中都必须努力实现的标准中的北极星。
但是,要创建和执行符合这一黄金标准的代码,需要对工具充满信心(更不用说安全意识了)的嵌入式系统工程师。
为什么嵌入式系统安全技能提升如此具体?
按照当今的标准,C 和 C++ 编程语言已经过时了,但仍被广泛使用。它们构成了嵌入式系统代码库的功能核心,嵌入式 C/C++ 作为联网设备世界的一部分享受着闪亮的现代生活。
尽管这些语言有着相当古老的根源,并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为,但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。
由于现代汽车中有十几个到一百多个嵌入式系统,因此必须对开发人员进行精确的培训,让他们知道要在 IDE 中寻找什么以及如何修复它。
从底层保护嵌入式系统是每个人的责任
许多组织的现状是,开发速度胜过安全,至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估,但是快速开发出色的功能是黄金标准。对软件的需求只会增加,但这种文化使我们为防御漏洞及其随后允许的网络攻击做好了失败的准备。
如果开发人员没有接受过培训,那不是他们的错,AppSec团队中的某个人需要通过向整个开发社区推荐正确的、可访问的(更不用说可评估的)技能提升计划来帮助填补这个漏洞。在软件开发项目一开始,安全性就必须是头等大事,每个人——尤其是开发人员——都要考虑到他们需要发挥自己的作用。
亲身体验嵌入式系统的安全问题
缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫中时,从安全的角度来看,它可能意味着灾难。
缓冲区溢出尤其普遍,如果你想深入了解它如何危害我们之前谈过的空气炸锅(允许远程执行代码),请查看 这份报告 在 CVE-2020-28592 上。
现在,是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛,看看你能否找到、识别和修复导致这个阴险错误的不良编码模式:
你做得怎么样?参观 www.securecodewarrior.com 用于精确、有效的嵌入式系统安全培训。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
