当优质微波炉变质:为何嵌入式系统安全将成为开发者下一个硬仗
流行文化中充斥着叛变人工智能、机器人及设备反抗人类主人的情节。这些内容虽饱含科幻趣味与幻想色彩,但随着物联网和联网设备在家庭中的日益普及,网络安全与设备安全的话题也应引起重视。 软件无处不在,我们很容易忘记自己有多依赖代码行——正是这些行行代码赋予了我们诸多创新与便利。与基于网络的软件、API和移动设备类似,当攻击者在现实世界中发现漏洞时,嵌入式系统中的易受攻击代码同样可能被利用。
虽然一支微波大军奴役人类的可能性微乎其微(尽管特斯拉机器人确实令人有些担忧),但恶意网络事件仍可能因网络攻击而发生。我们的汽车、飞机和医疗设备在执行关键任务时,同样依赖于复杂的嵌入式系统代码。 这些设备遭到破坏的前景不仅令人警觉,更可能危及生命。
与其他类型的软件一样,开发人员是首批在创建阶段初期接触代码的人员。同样地,这可能成为滋生隐蔽且频繁出现的安全漏洞的温床,这些漏洞在产品上市前可能始终未被发现。
开发人员并非安全专家,企业也不应期望他们承担此类职责,但可为其配备更强大的工具集来应对相关威胁。随着技术需求的不断演进,嵌入式系统(通常采用C和C++编写)的应用将日益普及。 因此,针对开发人员开展基于该环境工具的安全专项培训至关重要。
爆炸式空气炸锅、恶棍车辆……我们难道是待宰羔羊?
虽然围绕整个安全开发过程存在一些标准和规定,但为了保护自己,我们必须在各类软件安全领域取得更精准、更重大的进展。 虽然想象有人通过入侵空气炸锅引发安全问题似乎牵强,但此类事件确实发生过——具体表现为远程代码执行攻击(使攻击者能将温度提升至危险水平),以及导致车辆被劫持的安全漏洞。
车辆尤其复杂,因为车载多个嵌入式系统,每个系统负责微级功能——从自动雨刷到发动机和制动功能。 联网车辆与日益增多的通信技术(如Wi-Fi、蓝牙和GPS)深度融合,构成了复杂的数字基础设施,面临着众多攻击途径。预计到2023年,全球道路上将行驶7630万辆联网汽车,这要求建立坚如磐石的防御基础,才能实现真正的安全保障。
MISRA是一个重要的组织,致力于积极应对嵌入式系统的威胁,并制定了相关指南以促进嵌入式系统相关代码的安全性、可移植性和可靠性。这些指南是标准的重要组成部分,任何企业在开展嵌入式系统项目时都应遵循。
然而,要编写并运行符合这一黄金标准的代码,需要嵌入式系统工程师精通相关工具——更不用说具备安全意识的工具了。
为什么嵌入式系统的安全性提升如此具有特殊性?
C和C++编程语言按当今标准已属老龄化,但至今仍被广泛使用。它们构成了嵌入式系统代码库的核心运行部分,而作为联网设备世界的重要组成,嵌入式C/C++正焕发着现代化的光彩。
尽管这些语言根源久远,且在注入漏洞、缓冲区溢出等常见问题上展现出相似的安全特性,但开发者若想真正有效修复嵌入式系统中的安全漏洞,必须通过模拟实际工作环境的代码进行实践训练。 泛泛的通用C语言安全培训,远不如投入额外时间和精力在嵌入式C环境中实践来得有效且令人印象深刻。
现代车辆中嵌入了从十几个到上百个嵌入式系统,因此开发人员必须在集成开发环境(IDE)中接受专业培训,明确需要关注的要点以及如何解决问题。
从底层开始保护嵌入式系统是所有人的责任。
许多组织当前的现状是,开发速度比安全性更重要——至少在开发人员的职责范畴内如此。他们很少因编写安全代码的能力而受到评价,但快速开发出卓越功能却被奉为黄金标准。软件需求只会持续增长,但这种文化已使我们陷入与安全漏洞及由此引发的网络攻击之间的一场必败之战。
如果开发人员未受过培训,这并非他们的过错,而是应用安全团队必须填补的空白——通过向整个开发者社区推荐正确、易获取(更不用说可评估)的进修计划来弥补这一缺口。 在软件开发项目启动之初,安全就必须被置于首要位置,每个人——尤其是开发人员——都必须清楚自己需要具备哪些能力才能贡献力量。
嵌入式系统安全问题的实际处理方法
缓冲区溢出、注入错误和业务逻辑错误都是嵌入式系统开发中常见的陷阱。当这些漏洞深埋在单一车辆或设备中错综复杂的微控制器网络里时,可能引发灾难性的安全后果。
缓冲区溢出尤为常见。若想深入了解它如何导致前文提及的热风炸锅设备被攻破(从而实现远程代码执行),请参阅CVE-2020-28592的详细报告。
现在是时候在真实的嵌入式C/C++代码中实践缓冲区溢出漏洞了。参与这个挑战,看看你能否定位、识别并修复导致此恶意漏洞的糟糕编码模式:
.png)
你表现如何?访问www.securecodewarrior.com获取精准高效的嵌入式系统安全培训。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
流行文化中充斥着叛变人工智能、机器人及设备反抗人类主人的情节。这些内容虽饱含科幻趣味与幻想色彩,但随着物联网和联网设备在家庭中的日益普及,网络安全与设备安全的话题也应引起重视。 软件无处不在,我们很容易忘记自己有多依赖代码行——正是这些行行代码赋予了我们诸多创新与便利。与基于网络的软件、API和移动设备类似,当攻击者在现实世界中发现漏洞时,嵌入式系统中的易受攻击代码同样可能被利用。
虽然一支微波大军奴役人类的可能性微乎其微(尽管特斯拉机器人确实令人有些担忧),但恶意网络事件仍可能因网络攻击而发生。我们的汽车、飞机和医疗设备在执行关键任务时,同样依赖于复杂的嵌入式系统代码。 这些设备遭到破坏的前景不仅令人警觉,更可能危及生命。
与其他类型的软件一样,开发人员是首批在创建阶段初期接触代码的人员。同样地,这可能成为滋生隐蔽且频繁出现的安全漏洞的温床,这些漏洞在产品上市前可能始终未被发现。
开发人员并非安全专家,企业也不应期望他们承担此类职责,但可为其配备更强大的工具集来应对相关威胁。随着技术需求的不断演进,嵌入式系统(通常采用C和C++编写)的应用将日益普及。 因此,针对开发人员开展基于该环境工具的安全专项培训至关重要。
爆炸式空气炸锅、恶棍车辆……我们难道是待宰羔羊?
虽然围绕整个安全开发过程存在一些标准和规定,但为了保护自己,我们必须在各类软件安全领域取得更精准、更重大的进展。 虽然想象有人通过入侵空气炸锅引发安全问题似乎牵强,但此类事件确实发生过——具体表现为远程代码执行攻击(使攻击者能将温度提升至危险水平),以及导致车辆被劫持的安全漏洞。
车辆尤其复杂,因为车载多个嵌入式系统,每个系统负责微级功能——从自动雨刷到发动机和制动功能。 联网车辆与日益增多的通信技术(如Wi-Fi、蓝牙和GPS)深度融合,构成了复杂的数字基础设施,面临着众多攻击途径。预计到2023年,全球道路上将行驶7630万辆联网汽车,这要求建立坚如磐石的防御基础,才能实现真正的安全保障。
MISRA是一个重要的组织,致力于积极应对嵌入式系统的威胁,并制定了相关指南以促进嵌入式系统相关代码的安全性、可移植性和可靠性。这些指南是标准的重要组成部分,任何企业在开展嵌入式系统项目时都应遵循。
然而,要编写并运行符合这一黄金标准的代码,需要嵌入式系统工程师精通相关工具——更不用说具备安全意识的工具了。
为什么嵌入式系统的安全性提升如此具有特殊性?
C和C++编程语言按当今标准已属老龄化,但至今仍被广泛使用。它们构成了嵌入式系统代码库的核心运行部分,而作为联网设备世界的重要组成,嵌入式C/C++正焕发着现代化的光彩。
尽管这些语言根源久远,且在注入漏洞、缓冲区溢出等常见问题上展现出相似的安全特性,但开发者若想真正有效修复嵌入式系统中的安全漏洞,必须通过模拟实际工作环境的代码进行实践训练。 泛泛的通用C语言安全培训,远不如投入额外时间和精力在嵌入式C环境中实践来得有效且令人印象深刻。
现代车辆中嵌入了从十几个到上百个嵌入式系统,因此开发人员必须在集成开发环境(IDE)中接受专业培训,明确需要关注的要点以及如何解决问题。
从底层开始保护嵌入式系统是所有人的责任。
许多组织当前的现状是,开发速度比安全性更重要——至少在开发人员的职责范畴内如此。他们很少因编写安全代码的能力而受到评价,但快速开发出卓越功能却被奉为黄金标准。软件需求只会持续增长,但这种文化已使我们陷入与安全漏洞及由此引发的网络攻击之间的一场必败之战。
如果开发人员未受过培训,这并非他们的过错,而是应用安全团队必须填补的空白——通过向整个开发者社区推荐正确、易获取(更不用说可评估)的进修计划来弥补这一缺口。 在软件开发项目启动之初,安全就必须被置于首要位置,每个人——尤其是开发人员——都必须清楚自己需要具备哪些能力才能贡献力量。
嵌入式系统安全问题的实际处理方法
缓冲区溢出、注入错误和业务逻辑错误都是嵌入式系统开发中常见的陷阱。当这些漏洞深埋在单一车辆或设备中错综复杂的微控制器网络里时,可能引发灾难性的安全后果。
缓冲区溢出尤为常见。若想深入了解它如何导致前文提及的热风炸锅设备被攻破(从而实现远程代码执行),请参阅CVE-2020-28592的详细报告。
现在是时候在真实的嵌入式C/C++代码中实践缓冲区溢出漏洞了。参与这个挑战,看看你能否定位、识别并修复导致此恶意漏洞的糟糕编码模式:
你表现如何?访问www.securecodewarrior.com获取精准高效的嵌入式系统安全培训。
流行文化中充斥着叛变人工智能、机器人及设备反抗人类主人的情节。这些内容虽饱含科幻趣味与幻想色彩,但随着物联网和联网设备在家庭中的日益普及,网络安全与设备安全的话题也应引起重视。 软件无处不在,我们很容易忘记自己有多依赖代码行——正是这些行行代码赋予了我们诸多创新与便利。与基于网络的软件、API和移动设备类似,当攻击者在现实世界中发现漏洞时,嵌入式系统中的易受攻击代码同样可能被利用。
虽然一支微波大军奴役人类的可能性微乎其微(尽管特斯拉机器人确实令人有些担忧),但恶意网络事件仍可能因网络攻击而发生。我们的汽车、飞机和医疗设备在执行关键任务时,同样依赖于复杂的嵌入式系统代码。 这些设备遭到破坏的前景不仅令人警觉,更可能危及生命。
与其他类型的软件一样,开发人员是首批在创建阶段初期接触代码的人员。同样地,这可能成为滋生隐蔽且频繁出现的安全漏洞的温床,这些漏洞在产品上市前可能始终未被发现。
开发人员并非安全专家,企业也不应期望他们承担此类职责,但可为其配备更强大的工具集来应对相关威胁。随着技术需求的不断演进,嵌入式系统(通常采用C和C++编写)的应用将日益普及。 因此,针对开发人员开展基于该环境工具的安全专项培训至关重要。
爆炸式空气炸锅、恶棍车辆……我们难道是待宰羔羊?
虽然围绕整个安全开发过程存在一些标准和规定,但为了保护自己,我们必须在各类软件安全领域取得更精准、更重大的进展。 虽然想象有人通过入侵空气炸锅引发安全问题似乎牵强,但此类事件确实发生过——具体表现为远程代码执行攻击(使攻击者能将温度提升至危险水平),以及导致车辆被劫持的安全漏洞。
车辆尤其复杂,因为车载多个嵌入式系统,每个系统负责微级功能——从自动雨刷到发动机和制动功能。 联网车辆与日益增多的通信技术(如Wi-Fi、蓝牙和GPS)深度融合,构成了复杂的数字基础设施,面临着众多攻击途径。预计到2023年,全球道路上将行驶7630万辆联网汽车,这要求建立坚如磐石的防御基础,才能实现真正的安全保障。
MISRA是一个重要的组织,致力于积极应对嵌入式系统的威胁,并制定了相关指南以促进嵌入式系统相关代码的安全性、可移植性和可靠性。这些指南是标准的重要组成部分,任何企业在开展嵌入式系统项目时都应遵循。
然而,要编写并运行符合这一黄金标准的代码,需要嵌入式系统工程师精通相关工具——更不用说具备安全意识的工具了。
为什么嵌入式系统的安全性提升如此具有特殊性?
C和C++编程语言按当今标准已属老龄化,但至今仍被广泛使用。它们构成了嵌入式系统代码库的核心运行部分,而作为联网设备世界的重要组成,嵌入式C/C++正焕发着现代化的光彩。
尽管这些语言根源久远,且在注入漏洞、缓冲区溢出等常见问题上展现出相似的安全特性,但开发者若想真正有效修复嵌入式系统中的安全漏洞,必须通过模拟实际工作环境的代码进行实践训练。 泛泛的通用C语言安全培训,远不如投入额外时间和精力在嵌入式C环境中实践来得有效且令人印象深刻。
现代车辆中嵌入了从十几个到上百个嵌入式系统,因此开发人员必须在集成开发环境(IDE)中接受专业培训,明确需要关注的要点以及如何解决问题。
从底层开始保护嵌入式系统是所有人的责任。
许多组织当前的现状是,开发速度比安全性更重要——至少在开发人员的职责范畴内如此。他们很少因编写安全代码的能力而受到评价,但快速开发出卓越功能却被奉为黄金标准。软件需求只会持续增长,但这种文化已使我们陷入与安全漏洞及由此引发的网络攻击之间的一场必败之战。
如果开发人员未受过培训,这并非他们的过错,而是应用安全团队必须填补的空白——通过向整个开发者社区推荐正确、易获取(更不用说可评估)的进修计划来弥补这一缺口。 在软件开发项目启动之初,安全就必须被置于首要位置,每个人——尤其是开发人员——都必须清楚自己需要具备哪些能力才能贡献力量。
嵌入式系统安全问题的实际处理方法
缓冲区溢出、注入错误和业务逻辑错误都是嵌入式系统开发中常见的陷阱。当这些漏洞深埋在单一车辆或设备中错综复杂的微控制器网络里时,可能引发灾难性的安全后果。
缓冲区溢出尤为常见。若想深入了解它如何导致前文提及的热风炸锅设备被攻破(从而实现远程代码执行),请参阅CVE-2020-28592的详细报告。
现在是时候在真实的嵌入式C/C++代码中实践缓冲区溢出漏洞了。参与这个挑战,看看你能否定位、识别并修复导致此恶意漏洞的糟糕编码模式:
你表现如何?访问www.securecodewarrior.com获取精准高效的嵌入式系统安全培训。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
流行文化中充斥着叛变人工智能、机器人及设备反抗人类主人的情节。这些内容虽饱含科幻趣味与幻想色彩,但随着物联网和联网设备在家庭中的日益普及,网络安全与设备安全的话题也应引起重视。 软件无处不在,我们很容易忘记自己有多依赖代码行——正是这些行行代码赋予了我们诸多创新与便利。与基于网络的软件、API和移动设备类似,当攻击者在现实世界中发现漏洞时,嵌入式系统中的易受攻击代码同样可能被利用。
虽然一支微波大军奴役人类的可能性微乎其微(尽管特斯拉机器人确实令人有些担忧),但恶意网络事件仍可能因网络攻击而发生。我们的汽车、飞机和医疗设备在执行关键任务时,同样依赖于复杂的嵌入式系统代码。 这些设备遭到破坏的前景不仅令人警觉,更可能危及生命。
与其他类型的软件一样,开发人员是首批在创建阶段初期接触代码的人员。同样地,这可能成为滋生隐蔽且频繁出现的安全漏洞的温床,这些漏洞在产品上市前可能始终未被发现。
开发人员并非安全专家,企业也不应期望他们承担此类职责,但可为其配备更强大的工具集来应对相关威胁。随着技术需求的不断演进,嵌入式系统(通常采用C和C++编写)的应用将日益普及。 因此,针对开发人员开展基于该环境工具的安全专项培训至关重要。
爆炸式空气炸锅、恶棍车辆……我们难道是待宰羔羊?
虽然围绕整个安全开发过程存在一些标准和规定,但为了保护自己,我们必须在各类软件安全领域取得更精准、更重大的进展。 虽然想象有人通过入侵空气炸锅引发安全问题似乎牵强,但此类事件确实发生过——具体表现为远程代码执行攻击(使攻击者能将温度提升至危险水平),以及导致车辆被劫持的安全漏洞。
车辆尤其复杂,因为车载多个嵌入式系统,每个系统负责微级功能——从自动雨刷到发动机和制动功能。 联网车辆与日益增多的通信技术(如Wi-Fi、蓝牙和GPS)深度融合,构成了复杂的数字基础设施,面临着众多攻击途径。预计到2023年,全球道路上将行驶7630万辆联网汽车,这要求建立坚如磐石的防御基础,才能实现真正的安全保障。
MISRA是一个重要的组织,致力于积极应对嵌入式系统的威胁,并制定了相关指南以促进嵌入式系统相关代码的安全性、可移植性和可靠性。这些指南是标准的重要组成部分,任何企业在开展嵌入式系统项目时都应遵循。
然而,要编写并运行符合这一黄金标准的代码,需要嵌入式系统工程师精通相关工具——更不用说具备安全意识的工具了。
为什么嵌入式系统的安全性提升如此具有特殊性?
C和C++编程语言按当今标准已属老龄化,但至今仍被广泛使用。它们构成了嵌入式系统代码库的核心运行部分,而作为联网设备世界的重要组成,嵌入式C/C++正焕发着现代化的光彩。
尽管这些语言根源久远,且在注入漏洞、缓冲区溢出等常见问题上展现出相似的安全特性,但开发者若想真正有效修复嵌入式系统中的安全漏洞,必须通过模拟实际工作环境的代码进行实践训练。 泛泛的通用C语言安全培训,远不如投入额外时间和精力在嵌入式C环境中实践来得有效且令人印象深刻。
现代车辆中嵌入了从十几个到上百个嵌入式系统,因此开发人员必须在集成开发环境(IDE)中接受专业培训,明确需要关注的要点以及如何解决问题。
从底层开始保护嵌入式系统是所有人的责任。
许多组织当前的现状是,开发速度比安全性更重要——至少在开发人员的职责范畴内如此。他们很少因编写安全代码的能力而受到评价,但快速开发出卓越功能却被奉为黄金标准。软件需求只会持续增长,但这种文化已使我们陷入与安全漏洞及由此引发的网络攻击之间的一场必败之战。
如果开发人员未受过培训,这并非他们的过错,而是应用安全团队必须填补的空白——通过向整个开发者社区推荐正确、易获取(更不用说可评估)的进修计划来弥补这一缺口。 在软件开发项目启动之初,安全就必须被置于首要位置,每个人——尤其是开发人员——都必须清楚自己需要具备哪些能力才能贡献力量。
嵌入式系统安全问题的实际处理方法
缓冲区溢出、注入错误和业务逻辑错误都是嵌入式系统开发中常见的陷阱。当这些漏洞深埋在单一车辆或设备中错综复杂的微控制器网络里时,可能引发灾难性的安全后果。
缓冲区溢出尤为常见。若想深入了解它如何导致前文提及的热风炸锅设备被攻破(从而实现远程代码执行),请参阅CVE-2020-28592的详细报告。
现在是时候在真实的嵌入式C/C++代码中实践缓冲区溢出漏洞了。参与这个挑战,看看你能否定位、识别并修复导致此恶意漏洞的糟糕编码模式:
你表现如何?访问www.securecodewarrior.com获取精准高效的嵌入式系统安全培训。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
