API on Wheels: Ein Roadtrip voller riskanter Sicherheitslücken
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
%20(1).avif)
.avif)
