API on Wheels: Ein Roadtrip voller riskanter Sicherheitslücken
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
%20(1).avif)
.avif)
