在工业和消费环境中,通过连接设备听到安全漏洞和黑客攻击似乎很常见。我们从销售安全解决方案(无论是硬件还是软件)的供应商那里听到的一个共同主题是,安全通常是嵌入式系统开发过程中的事后考虑,或者他们的设计团队没有足够的安全专业知识,特别是在拥有实施安全的正确知识和技能。
我们最近强调了尽管连接设备的巨大增长,但物联网 (IoT) 设备的安全性却被忽视了。解决这个问题的一个关键部分是开发安全的嵌入式代码,正如 Secure Code Warrior 的联合创始人兼首席技术官 Matias Madou 最近指出的那样,Secure Code Warrior 是一家帮助提高开发人员安全编码技能的公司。他评论说:“软件就在我们身边,很容易忘记我们是多么依赖代码行来完成所有那些为我们提供了如此多的创新和便利的聪明事情。就像基于 Web 的软件、API 和移动设备一样,嵌入式系统中的易受攻击的代码如果被攻击者在野外发现,就会被利用。”
Matias Madou - 安全代码战士
马蒂亚斯·马杜
他认为,就像所有其他类型的软件一样,物联网设备中的代码可能是阴险的、常见的漏洞的滋生地,这些漏洞可能在产品上线之前未被发现。他说:“开发人员不是安全专家,任何公司也不应该指望他们扮演这个角色,但他们可以配备更强大的武器库来应对与他们相关的威胁。随着我们技术需求的不断发展,嵌入式系统——通常是用 C 和 C++ 编写的——将得到更频繁的使用,并且针对这种环境中的工具对开发人员进行专门的安全培训是必不可少的。”
一个真实的例子是今年早些时候突出显示的配置服务器代码漏洞,它可以对 Cosori 智能空气炸锅进行远程代码执行攻击,这是一种支持 WiFi 的厨房设备,允许用户远程激活设备、查找食谱指南和通过移动应用程序监控烹饪状态。风险在于威胁行为者可以远程将温度升高到危险水平。
不仅仅是空气炸锅和 Wi-Fi 连接设备,代码安全性至关重要。例如,车辆特别复杂,车上有多个嵌入式系统来实现多种功能:从自动雨刷到发动机和制动功能的一切。最重要的是不断增加的通信技术堆栈,如 Wi-Fi、蓝牙和 GPS;因此,联网车辆代表了一个复杂的数字基础设施,它暴露于多种攻击媒介。
麻豆强调,虽然 C 和 C++ 编程语言“以今天的标准来看已经过时了”,但它们仍然广泛用于当今大多数连接设备中。他评论说:“尽管这些语言有着相当古老的根源——并且在注入缺陷和缓冲区溢出等常见问题方面表现出类似的漏洞行为——但开发人员要想真正成功地缓解嵌入式系统中的安全漏洞,他们必须亲自动手模拟他们工作环境的代码。一般安全实践中的通用 C 培训根本不会像在嵌入式 C 上下文中花费额外的时间和精力那样有效和令人难忘。”
为了满足这一需求,Secure Code Warrior 为开发人员发布了新的培训内容,让他们能够亲身体验汽车、医疗和国防行业常用的嵌入式 C 和 C++ 语言的代码漏洞。该公司已将其添加到其学习平台中,允许使用嵌入式系统的组织提高其开发人员群体的技能,帮助他们在日常任务中安全地编码。
该平台符合关键嵌入式系统安全组织(如 MISRA)详细说明的指导方针,以实现现实世界的安全编码技能,并从开发过程开始就将软件安全放在首位。
麻豆说:“从联网冰箱和烤面包机到我们驾驶的汽车,一切都由嵌入式系统提供动力。如果该软件易受攻击且可能被利用,可能会产生灾难性的后果,我们很高兴能够在这些应用程序被编码时提供实际操作的真实解决方案来减少漏洞。开发人员是使用高质量、安全代码构建优秀软件的关键,他们需要被授权来做到这一点”。
相关实战:https://www.99qibang.cn/information/712d63afdcc045b1ae6e139b680ac582.html
https://www.99qibang.cn/information/712d63afdcc045b1ae6e139b680ac582.html
4002
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
