当好的微波炉变坏时:为什么嵌入式系统安全是开发人员的下一场头目战
流行文化中充斥着关于流氓人工智能、机器人以及开启人类宿主的电器等元素。这些内容充满科幻趣味与幻想,但随着物联网和联网设备在家庭中的普及,关于网络安全与防护的讨论也应同步展开。软件无处不在,我们很容易忘记自己有多依赖几行代码来完成所有这些带来巨大创新与便利的精妙事物——正如基于Web的软件和移动设备一样,当攻击者在野外发现嵌入式系统中的漏洞代码时,这些漏洞就会被利用。API和移动设备一样,如果攻击者在野外发现嵌入式系统中的易受攻击代码,就会被利用。
尽管微波大军不太可能来奴役人类(但特斯拉机器人确实令人忧心),网络攻击引发的恶意网络事件仍然可能发生。我们的汽车、飞机和医疗设备仍依赖错综复杂的嵌入式系统代码执行关键任务,这些设备遭受入侵的可能性不仅令人震惊,更可能危及生命。
与所有其他类型的软件一样,开发人员是最早接触代码的人,就在创建阶段的开始。与所有其他类型的软件一样,这可能是潜在常见漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。
开发人员并非安全专家,任何公司都不应指望他们承担这一角色,但他们可以拥有更强大的工具库来应对与自身相关的威胁。随着技术需求的不断发展,嵌入式系统(通常采用C和C++编写)将得到更广泛的应用,因此对开发人员进行该环境中工具的专业安全培训至关重要。
爆炸的空气炸锅、盗贼车辆……我们坐视不管吗?
尽管围绕所有安全开发制定了诸多标准和法规以保障我们的安全,我们仍需在各类软件安全领域取得更精准、更具实质意义的进展。想象有人入侵空气炸锅引发的安全问题或许显得牵强附会,但此类事件确实发生过——它以远程代码执行攻击的形式出现(允许威胁行为者将温度提升至危险水平),车辆接管漏洞同样如此。
特别是车辆,其结构极其复杂,搭载多个嵌入式系统,每个系统负责微功能;从自动雨刮器到发动机和制动功能,应有尽有。联网车辆与日益增多的通信技术(如Wi-Fi、蓝牙和GPS)相互交织,构成了面临多重攻击向量的复杂数字基础设施。预计到2023年,全球将有7630万辆联网汽车上路行驶,这为实现真正的安全奠定了坚实的防御基础。
米斯拉是积极应对嵌入式系统威胁的关键组织,已制定指导方针以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中必须努力实现的标准中的北极星。
。然而,要创建和执行符合这一黄金标准的代码,需要对工具充满信心(更不用说安全意识了)的嵌入式系统工程师。
为什么嵌入式系统安全技能提升如此具体?
以当今标准衡量,C和C++编程语言已显陈旧,却依然被广泛使用。它们构成了嵌入式系统代码库的功能核心,作为联网设备世界的一部分,嵌入式C/C++正享受着光鲜的现代生活。
尽管这些语言有着相当古老的根源,并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为,但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。
由于现代汽车中包含十几个到一百多个嵌入式系统,因此必须对开发人员进行精准培训,使他们了解在集成开发环境(IDE)中需要关注哪些内容以及如何修复问题。
从底层保护嵌入式系统是每个人的责任
许多组织的现状是,开发速度胜过安全,至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估,但快速开发出色的功能却是黄金标准。对软件的需求只会增加,但这种文化使我们为防御漏洞及其随之而来的网络攻击做好了失败的准备。
如果开发人员未接受过培训,这并非他们的过错,而是AppSec团队中某人需要通过向整个开发者社区推荐正确、可访问(更不用说可评估)的技能提升计划来填补这一缺口。在软件开发项目伊始,安全性就必须成为首要任务,每个人——尤其是开发人员——都应意识到自己需要发挥应有的作用。
亲身体验嵌入式系统的安全问题
缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫时,从安全的角度来看,它可能意味着灾难。
缓冲区溢出尤为普遍。若想深入了解其如何危害我们之前讨论过的空气炸锅(允许远程执行代码),请查阅关于CVE-2020-28592的这份报告。
现在,是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛,看看你能否找到、识别和修复导致这个阴险错误的不良编码模式:
.png)
您做得怎么样?访问www.securecodewarrior.com获取精准、高效的嵌入式系统安全培训。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
流行文化中充斥着关于流氓人工智能、机器人以及开启人类宿主的电器等元素。这些内容充满科幻趣味与幻想,但随着物联网和联网设备在家庭中的普及,关于网络安全与防护的讨论也应同步展开。软件无处不在,我们很容易忘记自己有多依赖几行代码来完成所有这些带来巨大创新与便利的精妙事物——正如基于Web的软件和移动设备一样,当攻击者在野外发现嵌入式系统中的漏洞代码时,这些漏洞就会被利用。API和移动设备一样,如果攻击者在野外发现嵌入式系统中的易受攻击代码,就会被利用。
尽管微波大军不太可能来奴役人类(但特斯拉机器人确实令人忧心),网络攻击引发的恶意网络事件仍然可能发生。我们的汽车、飞机和医疗设备仍依赖错综复杂的嵌入式系统代码执行关键任务,这些设备遭受入侵的可能性不仅令人震惊,更可能危及生命。
与所有其他类型的软件一样,开发人员是最早接触代码的人,就在创建阶段的开始。与所有其他类型的软件一样,这可能是潜在常见漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。
开发人员并非安全专家,任何公司都不应指望他们承担这一角色,但他们可以拥有更强大的工具库来应对与自身相关的威胁。随着技术需求的不断发展,嵌入式系统(通常采用C和C++编写)将得到更广泛的应用,因此对开发人员进行该环境中工具的专业安全培训至关重要。
爆炸的空气炸锅、盗贼车辆……我们坐视不管吗?
尽管围绕所有安全开发制定了诸多标准和法规以保障我们的安全,我们仍需在各类软件安全领域取得更精准、更具实质意义的进展。想象有人入侵空气炸锅引发的安全问题或许显得牵强附会,但此类事件确实发生过——它以远程代码执行攻击的形式出现(允许威胁行为者将温度提升至危险水平),车辆接管漏洞同样如此。
特别是车辆,其结构极其复杂,搭载多个嵌入式系统,每个系统负责微功能;从自动雨刮器到发动机和制动功能,应有尽有。联网车辆与日益增多的通信技术(如Wi-Fi、蓝牙和GPS)相互交织,构成了面临多重攻击向量的复杂数字基础设施。预计到2023年,全球将有7630万辆联网汽车上路行驶,这为实现真正的安全奠定了坚实的防御基础。
米斯拉是积极应对嵌入式系统威胁的关键组织,已制定指导方针以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中必须努力实现的标准中的北极星。
。然而,要创建和执行符合这一黄金标准的代码,需要对工具充满信心(更不用说安全意识了)的嵌入式系统工程师。
为什么嵌入式系统安全技能提升如此具体?
以当今标准衡量,C和C++编程语言已显陈旧,却依然被广泛使用。它们构成了嵌入式系统代码库的功能核心,作为联网设备世界的一部分,嵌入式C/C++正享受着光鲜的现代生活。
尽管这些语言有着相当古老的根源,并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为,但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。
由于现代汽车中包含十几个到一百多个嵌入式系统,因此必须对开发人员进行精准培训,使他们了解在集成开发环境(IDE)中需要关注哪些内容以及如何修复问题。
从底层保护嵌入式系统是每个人的责任
许多组织的现状是,开发速度胜过安全,至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估,但快速开发出色的功能却是黄金标准。对软件的需求只会增加,但这种文化使我们为防御漏洞及其随之而来的网络攻击做好了失败的准备。
如果开发人员未接受过培训,这并非他们的过错,而是AppSec团队中某人需要通过向整个开发者社区推荐正确、可访问(更不用说可评估)的技能提升计划来填补这一缺口。在软件开发项目伊始,安全性就必须成为首要任务,每个人——尤其是开发人员——都应意识到自己需要发挥应有的作用。
亲身体验嵌入式系统的安全问题
缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫时,从安全的角度来看,它可能意味着灾难。
缓冲区溢出尤为普遍。若想深入了解其如何危害我们之前讨论过的空气炸锅(允许远程执行代码),请查阅关于CVE-2020-28592的这份报告。
现在,是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛,看看你能否找到、识别和修复导致这个阴险错误的不良编码模式:
您做得怎么样?访问www.securecodewarrior.com获取精准、高效的嵌入式系统安全培训。
流行文化中充斥着关于流氓人工智能、机器人以及开启人类宿主的电器等元素。这些内容充满科幻趣味与幻想,但随着物联网和联网设备在家庭中的普及,关于网络安全与防护的讨论也应同步展开。软件无处不在,我们很容易忘记自己有多依赖几行代码来完成所有这些带来巨大创新与便利的精妙事物——正如基于Web的软件和移动设备一样,当攻击者在野外发现嵌入式系统中的漏洞代码时,这些漏洞就会被利用。API和移动设备一样,如果攻击者在野外发现嵌入式系统中的易受攻击代码,就会被利用。
尽管微波大军不太可能来奴役人类(但特斯拉机器人确实令人忧心),网络攻击引发的恶意网络事件仍然可能发生。我们的汽车、飞机和医疗设备仍依赖错综复杂的嵌入式系统代码执行关键任务,这些设备遭受入侵的可能性不仅令人震惊,更可能危及生命。
与所有其他类型的软件一样,开发人员是最早接触代码的人,就在创建阶段的开始。与所有其他类型的软件一样,这可能是潜在常见漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。
开发人员并非安全专家,任何公司都不应指望他们承担这一角色,但他们可以拥有更强大的工具库来应对与自身相关的威胁。随着技术需求的不断发展,嵌入式系统(通常采用C和C++编写)将得到更广泛的应用,因此对开发人员进行该环境中工具的专业安全培训至关重要。
爆炸的空气炸锅、盗贼车辆……我们坐视不管吗?
尽管围绕所有安全开发制定了诸多标准和法规以保障我们的安全,我们仍需在各类软件安全领域取得更精准、更具实质意义的进展。想象有人入侵空气炸锅引发的安全问题或许显得牵强附会,但此类事件确实发生过——它以远程代码执行攻击的形式出现(允许威胁行为者将温度提升至危险水平),车辆接管漏洞同样如此。
特别是车辆,其结构极其复杂,搭载多个嵌入式系统,每个系统负责微功能;从自动雨刮器到发动机和制动功能,应有尽有。联网车辆与日益增多的通信技术(如Wi-Fi、蓝牙和GPS)相互交织,构成了面临多重攻击向量的复杂数字基础设施。预计到2023年,全球将有7630万辆联网汽车上路行驶,这为实现真正的安全奠定了坚实的防御基础。
米斯拉是积极应对嵌入式系统威胁的关键组织,已制定指导方针以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中必须努力实现的标准中的北极星。
。然而,要创建和执行符合这一黄金标准的代码,需要对工具充满信心(更不用说安全意识了)的嵌入式系统工程师。
为什么嵌入式系统安全技能提升如此具体?
以当今标准衡量,C和C++编程语言已显陈旧,却依然被广泛使用。它们构成了嵌入式系统代码库的功能核心,作为联网设备世界的一部分,嵌入式C/C++正享受着光鲜的现代生活。
尽管这些语言有着相当古老的根源,并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为,但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。
由于现代汽车中包含十几个到一百多个嵌入式系统,因此必须对开发人员进行精准培训,使他们了解在集成开发环境(IDE)中需要关注哪些内容以及如何修复问题。
从底层保护嵌入式系统是每个人的责任
许多组织的现状是,开发速度胜过安全,至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估,但快速开发出色的功能却是黄金标准。对软件的需求只会增加,但这种文化使我们为防御漏洞及其随之而来的网络攻击做好了失败的准备。
如果开发人员未接受过培训,这并非他们的过错,而是AppSec团队中某人需要通过向整个开发者社区推荐正确、可访问(更不用说可评估)的技能提升计划来填补这一缺口。在软件开发项目伊始,安全性就必须成为首要任务,每个人——尤其是开发人员——都应意识到自己需要发挥应有的作用。
亲身体验嵌入式系统的安全问题
缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫时,从安全的角度来看,它可能意味着灾难。
缓冲区溢出尤为普遍。若想深入了解其如何危害我们之前讨论过的空气炸锅(允许远程执行代码),请查阅关于CVE-2020-28592的这份报告。
现在,是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛,看看你能否找到、识别和修复导致这个阴险错误的不良编码模式:
您做得怎么样?访问www.securecodewarrior.com获取精准、高效的嵌入式系统安全培训。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
流行文化中充斥着关于流氓人工智能、机器人以及开启人类宿主的电器等元素。这些内容充满科幻趣味与幻想,但随着物联网和联网设备在家庭中的普及,关于网络安全与防护的讨论也应同步展开。软件无处不在,我们很容易忘记自己有多依赖几行代码来完成所有这些带来巨大创新与便利的精妙事物——正如基于Web的软件和移动设备一样,当攻击者在野外发现嵌入式系统中的漏洞代码时,这些漏洞就会被利用。API和移动设备一样,如果攻击者在野外发现嵌入式系统中的易受攻击代码,就会被利用。
尽管微波大军不太可能来奴役人类(但特斯拉机器人确实令人忧心),网络攻击引发的恶意网络事件仍然可能发生。我们的汽车、飞机和医疗设备仍依赖错综复杂的嵌入式系统代码执行关键任务,这些设备遭受入侵的可能性不仅令人震惊,更可能危及生命。
与所有其他类型的软件一样,开发人员是最早接触代码的人,就在创建阶段的开始。与所有其他类型的软件一样,这可能是潜在常见漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。
开发人员并非安全专家,任何公司都不应指望他们承担这一角色,但他们可以拥有更强大的工具库来应对与自身相关的威胁。随着技术需求的不断发展,嵌入式系统(通常采用C和C++编写)将得到更广泛的应用,因此对开发人员进行该环境中工具的专业安全培训至关重要。
爆炸的空气炸锅、盗贼车辆……我们坐视不管吗?
尽管围绕所有安全开发制定了诸多标准和法规以保障我们的安全,我们仍需在各类软件安全领域取得更精准、更具实质意义的进展。想象有人入侵空气炸锅引发的安全问题或许显得牵强附会,但此类事件确实发生过——它以远程代码执行攻击的形式出现(允许威胁行为者将温度提升至危险水平),车辆接管漏洞同样如此。
特别是车辆,其结构极其复杂,搭载多个嵌入式系统,每个系统负责微功能;从自动雨刮器到发动机和制动功能,应有尽有。联网车辆与日益增多的通信技术(如Wi-Fi、蓝牙和GPS)相互交织,构成了面临多重攻击向量的复杂数字基础设施。预计到2023年,全球将有7630万辆联网汽车上路行驶,这为实现真正的安全奠定了坚实的防御基础。
米斯拉是积极应对嵌入式系统威胁的关键组织,已制定指导方针以促进嵌入式系统环境中的代码安全、保障、可移植性和可靠性。这些指导方针是每个公司在嵌入式系统项目中必须努力实现的标准中的北极星。
。然而,要创建和执行符合这一黄金标准的代码,需要对工具充满信心(更不用说安全意识了)的嵌入式系统工程师。
为什么嵌入式系统安全技能提升如此具体?
以当今标准衡量,C和C++编程语言已显陈旧,却依然被广泛使用。它们构成了嵌入式系统代码库的功能核心,作为联网设备世界的一部分,嵌入式C/C++正享受着光鲜的现代生活。
尽管这些语言有着相当古老的根源,并且在注入缺陷和缓冲区溢出等常见问题方面表现出相似的漏洞行为,但要使开发人员真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲身体验模仿他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像花在嵌入式 C 环境中工作那样强大而令人难忘。
由于现代汽车中包含十几个到一百多个嵌入式系统,因此必须对开发人员进行精准培训,使他们了解在集成开发环境(IDE)中需要关注哪些内容以及如何修复问题。
从底层保护嵌入式系统是每个人的责任
许多组织的现状是,开发速度胜过安全,至少在开发人员责任方面是如此。他们很少根据其生成安全代码的能力进行评估,但快速开发出色的功能却是黄金标准。对软件的需求只会增加,但这种文化使我们为防御漏洞及其随之而来的网络攻击做好了失败的准备。
如果开发人员未接受过培训,这并非他们的过错,而是AppSec团队中某人需要通过向整个开发者社区推荐正确、可访问(更不用说可评估)的技能提升计划来填补这一缺口。在软件开发项目伊始,安全性就必须成为首要任务,每个人——尤其是开发人员——都应意识到自己需要发挥应有的作用。
亲身体验嵌入式系统的安全问题
缓冲区溢出、注入缺陷和业务逻辑错误都是嵌入式系统开发中的常见陷阱。当深埋在单一车辆或设备中的微控制器迷宫时,从安全的角度来看,它可能意味着灾难。
缓冲区溢出尤为普遍。若想深入了解其如何危害我们之前讨论过的空气炸锅(允许远程执行代码),请查阅关于CVE-2020-28592的这份报告。
现在,是时候亲身体验真正的嵌入式 C/C++ 代码中的缓冲区溢出漏洞了。玩这个挑战赛,看看你能否找到、识别和修复导致这个阴险错误的不良编码模式:
您做得怎么样?访问www.securecodewarrior.com获取精准、高效的嵌入式系统安全培训。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
