El impulso de ASRG a favor de la seguridad del software automotriz
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Explore este completo estudio de caso para obtener más información sobre cómo utilizaron los torneos de Secure Code Warrior para involucrar a los desarrolladores, aumentar la conciencia sobre las principales vulnerabilidades que afectan al software automotriz y obtener métricas en varios idiomas y marcos.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Secure Code Warrior 사용해 보고 싶으신가요 Secure Code Warrior 아직 계정이 없으신가요 Secure Code Warrior 지금 바로 등록하여 무료 체험 계정을 받아 시작해 보세요.
지금 바로 사용해 보세요Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
%20(1).avif)
.avif)
