Tournament :ASRG致力于推动汽车行业的软件安全
汽车安全研究小组是一家 非营利组织,致力于提升汽车行业的安全意识并推动安全技术发展。其核心使命在于探索并推广能使汽车产品更安全可靠的解决方案。当前,汽车产业正经历深刻变革,迎来互联化、自动驾驶、共享出行、电动化及软件定义车辆的全新革命浪潮。 在迈向这个行业崭新的技术世界过程中,随着对驱动车辆和生态系统应用的软件依赖性急剧增强,ASRG等组织在引导并持续关注汽车行业的软件安全方面发挥着关键作用。
这种意识,尤其是对此作出反应的制造商,将具有决定性意义——随着新型汽车技术在消费市场日益普及,潜在攻击途径和网络风险也在不断增加。联邦调查局近期警告称,攻击者正瞄准美国汽车产业,其中绝大多数安全漏洞源于未加密的敏感数据。除暴力破解、数据库配置不当等攻击外,此类漏洞可能引发严重甚至致命的后果。在寻求有助于制定和遵守汽车产品软件安全标准的解决方案与工具时,ASRG团队测试Secure Code Warrior竞赛功能。 ASRG平台专为开发者设计,通过友好竞技的竞赛模式提升安全意识,强化安全编码能力。该团队重点Secure Code Warrior 激发开发者对安全的Secure Code Warrior ,并赋予其弥补汽车软件常见安全漏洞的能力——这些漏洞往往会为不可接受的风险敞开大门。
让我们来看看
行业现状、
我们需要解决的
我们需要解决的问题、
以及来自
数以百计的挑战
在安全
代码勇士平台上进行的数百次挑战的真实统计。
汽车软件中典型的攻击途径有哪些?
在分析攻击者入侵汽车软件的潜在途径时,存在多种可能性,如在 Allot的全面报告所揭示的那样。
无论开发者多么注重安全,他们都不得不抵御所有威胁(这也不应被期待——应用安全专家的存在自有其道理!),但经验丰富的开发者可以在后门演变成严重问题之前,通过封堵代码中的常见漏洞来防范,例如:
→ 网络界面和移动应用程序接口
可利用的网络应用程序和应用程序接口可以让攻击者访问敏感的凭证,而简单的安全配置错误或业务逻辑漏洞都可能导致严重的隐私泄露--或者至少,在连接的应用程序中,软件之间传递的信息比预期的要多。
→ 移动应用程序
我们中的许多人都喜欢通过车载界面享受现代便捷的汽车连接。但是,如果某个漏洞提供了非预期的访问权限,甚至像收音机这样简单的东西,都有可能遭到恶意攻击。远程文件包含将允许恶意软件在车载多媒体应用程序中播放。
→ 在娱乐系统中注入代码
在可被利用的系统上,攻击者有可能创建可更改系统内代码的多媒体文件。这就为利用甚至远程监控联网汽车的其他部分打开了通道。
→ 无线媒体
威胁行为者可以攻击蓝牙或 Wi-Fi 等无线信道中的漏洞,从而绕过管理权限。
→ 外部传感器接口
威胁者可以欺骗外部传感器,迫使车辆采取不必要的行动。
→ 无线钥匙输入
存在漏洞的应用程序可用于利用无线钥匙输入,攻击者可在钥匙和汽车之间使用代理桥接,从而随意锁定或打开汽车。这一点已在对多辆汽车的攻击中得到证实。
→ 通过 OBD-II 端口访问外部设备
对车辆内部系统的潜在访问。
→ 对汽车供应商云服务的攻击
易受攻击的云基础设施--即使是简单的配置错误--也有可能使威胁者同时攻击许多联网车辆。
存在许多常见的后门漏洞,经验丰富的开发者可以在它们演变成严重问题之前将其封堵。
车辆被入侵的状况有多严重?
对于普通民众而言,很明显大多数车辆并非百分之百安全,使用时必然存在一定风险。机动车故障、交通事故、酒后驾驶……这些都可能对道路使用者造成致命后果。
但如果这场灾难性的车辆故障,其实是源于一次特别恶意的网络攻击所致呢?人们长期以来一直认为,只有当面临危及生命的后果时,世界才会认真对待网络安全问题。但现实是,我们早已深陷其中,若不采取干预措施,事态只会愈演愈烈。
2015年,安全研究人员成功在高速公路上"瘫痪"了一辆行驶中的吉普切诺基发动机。他们利用系统软件中已知的零日漏洞,通过无线方式控制了车辆的空调、收音机、转向系统、制动系统和变速箱。 尽管存在危险,但这仍是一次受控实验,却证明了攻击者对车辆及其乘员可能施加的致命控制。自此事件以来,数百万联网汽车已驶上我们的道路。每辆车都意味着数百万行代码需要被保护。
自动驾驶汽车技术(及其应用)正以惊人速度发展,这给开发者带来了巨大压力,尤其是负责编写代码的团队——正是这些代码将实现未来的便利生活。 汽车行业的软件开发者亟需共同承担安全责任,而ASRG正是众多从业者获取最新安全资讯、工具、建议及同行支持的社区枢纽。 其全球Secure Code Warrior旨在汇聚、评估并激励来自全球各地ASRG分会的逾百名开发者。参赛者通过友好竞赛与培训,致力于解决安全编码领域的挑战——这些挑战与汽车行业主流软件面临的实际问题直接相关。
自动驾驶汽车技术(及其推广应用)正以惊人的速度发展,这给开发者带来了巨大压力,尤其是那些负责编写代码的团队——正是这些代码将实现未来的便利生活。
锦标赛与训练测试的数据与事实
这表明了高度的投入度和继续游戏的意愿——这两者都是游戏化技术在教育和培训领域中极为有益的副产品。
培训和竞赛可采用每位开发者偏好的语言和框架进行。这确保了挑战高度相关且使用真实代码——即他们在日常工作中会遇到的代码。这种基于情境的小规模学习方法,能快速提供解决企业软件开发生命周期中最常见问题所需的关键内容。
参与者中最常见的开发者类型
Tournaments 是
是
引入安全
标准
质量基准
质量和
责任
学习如何
解决常见的
安全漏洞
代码中的常见安全漏洞
其他重要结果:
Globales ASRG虚拟安全编程Tournament:按语言划分的安全代码评分
Globales ASRG虚拟安全编码Tournament:安全代码评分系统(针对安全漏洞)
尽管所有参与者都展示了对所选语言和框架的掌握能力,但没有任何一个薄弱环节被评定为"100%安全"或完全攻克,平均准确率仅为67%。 我们并不要求开发者成为安全专家,但竞赛是引入安全标准、建立质量基准、培养学习责任感的绝佳途径——尤其当代码可能导致远程控制他人车辆甚至引发更严重后果时,更应学会如何消除常见的安全漏洞。
基于脆弱性和能力因素的锦标赛风险因素洞察
ASRG锦标赛及培训计划聚焦于若干影响联网车辆的关键安全漏洞,具体包括:
经过数千分钟的训练和数百次挑战后,我们明确认识到:核心关注点仍应聚焦于访问控制、敏感数据存储,以及首要的存储错误引发的安全漏洞。后者不仅是高度互联车辆中已知的潜在漏洞,在众多物联网设备中同样存在。
思科客户体验Assessment 渗透团队(CX APT)近期在GNU Glibc库中发现了一个漏洞,该库被用于Linux-ARMv7系统。 该漏洞将导致系统存在内存损坏风险,直至补丁开发并部署完成。在当前传感器密集型设备需实时采集多环境节点数据的时代,即便攻击者无法远程操控设备,其造成的危害仍可能极为严重。
ASRG团队通过其经过测试的工具和解决方案目录、全面的维基百科以及强大的全球社区,为必须从事汽车安全领域的开发人员汇集了令人惊叹的资源。 正是这些独立的团体倡议推动着基层变革,他们勇于尝试新事物并强化成员安全意识基础的决心,成为防止高敏感设备反复出现安全漏洞的关键因素。
资本回报率,当您现在投资于经过验证的安全编码最佳实践时
由国际汽车工程师学会(SAE International)与新思科技软件完整性集团联合发布的研究报告显示,在保障联网技术安全及防范现有与新兴网络威胁方面,汽车行业明显落后于其他众多行业。
这一趋势令人担忧,但并非不可逆转——尤其考虑到像ASRG这样的组织正努力将安全置于行业核心地位,同时为汽车企业所需的解决方案、工具和培训提供指引,以建立坚不可摧的安全体系。
通过举办这场极具吸引力的Secure Code Warrior他们得以识别开发团队中的主要风险领域,发掘进一步学习的机会,获取安全编程挑战的准确性统计数据,并确定应重点关注的关键安全漏洞——这些漏洞需与行业需求密切相关。
那么,在组织内部实施安全计划转型,从软件开发生命周期(SDLC)初期就强化安全意识并采取相应措施,其预估效益究竟有多大?让我们来看看:
对于在安全审计中发现哪怕数量有限的年度安全漏洞的企业而言,检测和修复的潜在成本可能相当可观。 而根据这些烦人的缺陷在流程中被发现的位置,修复成本可能急剧攀升——即使是"简单的"修正,其成本也可能达到后期修复成本的三十倍,相比在初期就发现并修复的解决方案而言。
忽略常见的
在可能的最迟
是浪费预算和错过关键发布时间的不二法门
和错过关键的发布
日期。从左侧开始
授权开发人员
消除数十年之久的
如 SQL 注入、XSS 和
安全配置错误、
成本,更不用说
更不用说节省时间了。
资本回报率
这项三点评估Secure Code Warrior 培训、竞赛和文化变革Secure Code Warrior 的三项不同节约措施,其潜在的财务影响与日常影响。
可能的年度节省
%20(1).avif)