Les problèmes de sécurité de Huawei au Royaume-Uni démontrent la nécessité d'un codage sécurisé
Publié à l'origine dans L'ère de l'information. Il s'agit d'une version mise à jour qui corrige le positionnement autour du support de sécurité continu de Wind River Systems pour son produit de système d'exploitation en temps réel, VxWorks.
Un rapport récent du centre d'évaluation de la cybersécurité de Huawei au Royaume-Uni a identifié des problèmes de sécurité majeurs dans les processus de génie logiciel de Huawei. Alors qu'une grande partie de l'actualité concernant ce rapport critique se concentre sur des problèmes non résolus survenus l'année précédente, le problème le plus dangereux et le plus négligé est l'absence flagrante de directives et de pratiques de codage sécurisé utilisées par Huawei. Mais c'est un problème qui peut être résolu.
Les nouvelles, pour le géant chinois des télécommunications Huawei, ne font qu'empirer. Alors que les États-Unis ont carrément interdit à l'entreprise de participer à de futurs travaux gouvernementaux, le Royaume-Uni a davantage accepté le fait que bon nombre des failles sous-jacentes des appareils et du code de Huawei peuvent être corrigées. Le Royaume-Uni a créé le Centre d'évaluation de la cybersécurité de Huawei (HCSEC) en 2010 pour évaluer et résoudre les problèmes de sécurité des produits Huawei, et pour produire un rapport annuel à leur sujet. Cependant, cette année, le rapport était particulièrement accablant.
L'attention portée au rapport 2019 de la HCSEC dans les actualités est due en grande partie au fait que pratiquement aucune faille de sécurité de l'année précédente n'a été corrigée. Cela inclut l'utilisation d'une ancienne version du système d'exploitation en temps réel VxWorks de Wind River, qui sera bientôt mise en fin de vie. Huawei a promis de résoudre ce problème (et bénéficiera du soutien continu de Wind River Systems), mais celui-ci reste un élément central de la plupart des infrastructures de télécommunications du Royaume-Uni.
Un facteur critique qui semble avoir été négligé par la plupart des médias grand public est ce qui pourrait être un processus fondamentalement interrompu, existant dans le cadre du développement et du déploiement de nouveaux logiciels et matériels par l'entreprise. Le rapport fait état de « problèmes techniques importants » liés à la manière dont Huawei gère ses méthodes d'ingénierie internes.
Examinons quelques exemples des problèmes techniques décrits dans le rapport. Il faut dire que l'une des meilleures choses que Huawei ait faites a été de créer des directives de codage sécurisées pour aider ses ingénieurs et programmeurs à déployer de nouveaux codes. Ces directives couvrent un large éventail de bonnes pratiques, telles que l'utilisation de versions sûres connues de fonctions et de processus système provenant de bibliothèques fiables, et certainement pas de variantes présentant des vulnérabilités connues. C'est une bonne chose en théorie, mais une évaluation réelle d'un système de production Huawei au Royaume-Uni a révélé que ces directives n'étaient jamais communiquées aux programmeurs, ignorées par eux ou simplement non appliquées.
Le rapport a examiné des fonctions spécifiques de gestion de la mémoire dans les applications destinées au public, en l'occurrence un ensemble de babillards électroniques où les utilisateurs étaient invités, en fonction du programme, à ajouter des informations. Étant donné que les zones de saisie par les utilisateurs ne devraient jamais être considérées comme « fiables », il était prévu que ces zones ne contiennent que du code sécurisé, conformément aux directives internes de Huawei. Plus précisément, les testeurs ont examiné l'invocation directe des fonctions de gestion de la mémoire memcpy (), strcpy () et sprintf () dans ces systèmes de production, connues pour entraîner de graves problèmes de sécurité tels que le débordement de la mémoire tampon depuis 1988 .
Étonnamment, il y a eu 5 000 appels directs de 17 fonctions memcpy () sûres connues, mais également 600 utilisations de 12 variantes non sécurisées. Le ratio était à peu près le même que pour les autres fonctions. Il y a eu 1 400 invocations sécurisées avec strcpy (), mais aussi 400 mauvaises avec des vulnérabilités connues. Et 2 000 utilisations sûres de sprintf () ont été découvertes, contre 200 utilisations dangereuses. Le fait que la plupart des utilisations de ces fonctions aient été sécurisées est une bonne chose, mais cela laisse environ 20 % du code global vulnérable aux attaques connues. Il s'agit d'une zone d'attaque de surface de menace énorme, et elle ne prend en compte que les appels directs des trois fonctions de gestion de la mémoire, et non les cas de leur utilisation indirecte via des pointeurs de fonction. Bien que les auditeurs n'aient examiné que ces fonctions spécifiques, il est peu probable que les trois fonctions de gestion de la mémoire choisies soient les seules à présenter des problèmes.
Bien que Huawei ait créé un guide des meilleures pratiques pour ses programmeurs, il est clair qu'il reste encore beaucoup à faire. Définir les attentes en matière de sécurité ne constitue qu'une étape, mais elles ne sont efficaces que si ces directives sont activement suivies et familières à la cohorte de développement. Huawei pourrait faire des progrès significatifs dans l'amélioration de sa sécurité en s'engageant à former ses programmeurs de manière efficace, et en ne se contentant pas de suivre les directives internes de Huawei. Ils doivent faire un pas supplémentaire en démontrant comment coder de manière plus sécurisée en général. Les codeurs doivent être suffisamment formés aux bons modèles de codage (sécurisés) et aux mauvais modèles (non sécurisés) et avoir la responsabilité de mettre en pratique ce que leur entreprise prêche à chaque fois.
De nombreux problèmes de codage spécifiques décrits dans le rapport de la HCSEC sont abordés et appliqués dans le cadre du Secure Code Warrior plateforme, qui forme les programmeurs et les équipes de cybersécurité à toujours déployer et maintenir un code sécurisé. Des concepts tels que ne jamais se fier aux entrées des utilisateurs, toujours extraire des fonctions des bibliothèques établies, nettoyer toutes les entrées avant de les transmettre à un serveur et de nombreuses autres pratiques de codage sûres sont constamment démontrés sur la plate-forme. Nous examinons également des vulnérabilités très spécifiques et montrons, étape par étape, comment les éviter et les atténuer.
Outre une formation qualifiée, des entreprises comme Huawei pourraient utiliser les solutions DevSecOps. Il ajoute un coaching en temps réel directement dans l'IDE, en utilisant des recettes de codage sécurisées personnalisées selon les directives de sécurité de l'entreprise, agissant en tant que sous-chef du développeur dans la « cuisine » de codage pendant qu'il écrit son code. Une telle approche pourrait aider les programmeurs de Huawei, quel que soit leur niveau de compétence, à écrire un meilleur code et à reconnaître les vulnérabilités potentielles, tout en permettant aux experts en sécurité de Huawei de créer un « livre de recettes » contenant des recettes conformes à leurs politiques et facilitant l'exécution des commandes.
L'une des principales leçons à tirer des problèmes de Huawei est que la création de directives de codage sécurisées n'a aucun sens si les programmeurs ne les connaissent pas ou ne savent tout simplement pas comment suivre les bonnes pratiques de codage. Dans ce cas, les directives internes sur les meilleures pratiques se sont révélées être le zhilaohu propre à Huawei ; ce que l'Occident appellerait »un tigre en papier'. C'était un document plein de style, mais sans substance. Pour lui donner un véritable coup de pouce, il faudrait disposer des bons outils pratiques et d'un véritable programme de formation, qui adopte une approche pratique et développe des connaissances et des compétences continues.
Un rapport récent du centre d'évaluation de la cybersécurité de Huawei au Royaume-Uni a identifié des problèmes de sécurité majeurs dans les processus de génie logiciel de Huawei. Mais c'est un problème qui peut être résolu.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Publié à l'origine dans L'ère de l'information. Il s'agit d'une version mise à jour qui corrige le positionnement autour du support de sécurité continu de Wind River Systems pour son produit de système d'exploitation en temps réel, VxWorks.
Un rapport récent du centre d'évaluation de la cybersécurité de Huawei au Royaume-Uni a identifié des problèmes de sécurité majeurs dans les processus de génie logiciel de Huawei. Alors qu'une grande partie de l'actualité concernant ce rapport critique se concentre sur des problèmes non résolus survenus l'année précédente, le problème le plus dangereux et le plus négligé est l'absence flagrante de directives et de pratiques de codage sécurisé utilisées par Huawei. Mais c'est un problème qui peut être résolu.
Les nouvelles, pour le géant chinois des télécommunications Huawei, ne font qu'empirer. Alors que les États-Unis ont carrément interdit à l'entreprise de participer à de futurs travaux gouvernementaux, le Royaume-Uni a davantage accepté le fait que bon nombre des failles sous-jacentes des appareils et du code de Huawei peuvent être corrigées. Le Royaume-Uni a créé le Centre d'évaluation de la cybersécurité de Huawei (HCSEC) en 2010 pour évaluer et résoudre les problèmes de sécurité des produits Huawei, et pour produire un rapport annuel à leur sujet. Cependant, cette année, le rapport était particulièrement accablant.
L'attention portée au rapport 2019 de la HCSEC dans les actualités est due en grande partie au fait que pratiquement aucune faille de sécurité de l'année précédente n'a été corrigée. Cela inclut l'utilisation d'une ancienne version du système d'exploitation en temps réel VxWorks de Wind River, qui sera bientôt mise en fin de vie. Huawei a promis de résoudre ce problème (et bénéficiera du soutien continu de Wind River Systems), mais celui-ci reste un élément central de la plupart des infrastructures de télécommunications du Royaume-Uni.
Un facteur critique qui semble avoir été négligé par la plupart des médias grand public est ce qui pourrait être un processus fondamentalement interrompu, existant dans le cadre du développement et du déploiement de nouveaux logiciels et matériels par l'entreprise. Le rapport fait état de « problèmes techniques importants » liés à la manière dont Huawei gère ses méthodes d'ingénierie internes.
Examinons quelques exemples des problèmes techniques décrits dans le rapport. Il faut dire que l'une des meilleures choses que Huawei ait faites a été de créer des directives de codage sécurisées pour aider ses ingénieurs et programmeurs à déployer de nouveaux codes. Ces directives couvrent un large éventail de bonnes pratiques, telles que l'utilisation de versions sûres connues de fonctions et de processus système provenant de bibliothèques fiables, et certainement pas de variantes présentant des vulnérabilités connues. C'est une bonne chose en théorie, mais une évaluation réelle d'un système de production Huawei au Royaume-Uni a révélé que ces directives n'étaient jamais communiquées aux programmeurs, ignorées par eux ou simplement non appliquées.
Le rapport a examiné des fonctions spécifiques de gestion de la mémoire dans les applications destinées au public, en l'occurrence un ensemble de babillards électroniques où les utilisateurs étaient invités, en fonction du programme, à ajouter des informations. Étant donné que les zones de saisie par les utilisateurs ne devraient jamais être considérées comme « fiables », il était prévu que ces zones ne contiennent que du code sécurisé, conformément aux directives internes de Huawei. Plus précisément, les testeurs ont examiné l'invocation directe des fonctions de gestion de la mémoire memcpy (), strcpy () et sprintf () dans ces systèmes de production, connues pour entraîner de graves problèmes de sécurité tels que le débordement de la mémoire tampon depuis 1988 .
Étonnamment, il y a eu 5 000 appels directs de 17 fonctions memcpy () sûres connues, mais également 600 utilisations de 12 variantes non sécurisées. Le ratio était à peu près le même que pour les autres fonctions. Il y a eu 1 400 invocations sécurisées avec strcpy (), mais aussi 400 mauvaises avec des vulnérabilités connues. Et 2 000 utilisations sûres de sprintf () ont été découvertes, contre 200 utilisations dangereuses. Le fait que la plupart des utilisations de ces fonctions aient été sécurisées est une bonne chose, mais cela laisse environ 20 % du code global vulnérable aux attaques connues. Il s'agit d'une zone d'attaque de surface de menace énorme, et elle ne prend en compte que les appels directs des trois fonctions de gestion de la mémoire, et non les cas de leur utilisation indirecte via des pointeurs de fonction. Bien que les auditeurs n'aient examiné que ces fonctions spécifiques, il est peu probable que les trois fonctions de gestion de la mémoire choisies soient les seules à présenter des problèmes.
Bien que Huawei ait créé un guide des meilleures pratiques pour ses programmeurs, il est clair qu'il reste encore beaucoup à faire. Définir les attentes en matière de sécurité ne constitue qu'une étape, mais elles ne sont efficaces que si ces directives sont activement suivies et familières à la cohorte de développement. Huawei pourrait faire des progrès significatifs dans l'amélioration de sa sécurité en s'engageant à former ses programmeurs de manière efficace, et en ne se contentant pas de suivre les directives internes de Huawei. Ils doivent faire un pas supplémentaire en démontrant comment coder de manière plus sécurisée en général. Les codeurs doivent être suffisamment formés aux bons modèles de codage (sécurisés) et aux mauvais modèles (non sécurisés) et avoir la responsabilité de mettre en pratique ce que leur entreprise prêche à chaque fois.
De nombreux problèmes de codage spécifiques décrits dans le rapport de la HCSEC sont abordés et appliqués dans le cadre du Secure Code Warrior plateforme, qui forme les programmeurs et les équipes de cybersécurité à toujours déployer et maintenir un code sécurisé. Des concepts tels que ne jamais se fier aux entrées des utilisateurs, toujours extraire des fonctions des bibliothèques établies, nettoyer toutes les entrées avant de les transmettre à un serveur et de nombreuses autres pratiques de codage sûres sont constamment démontrés sur la plate-forme. Nous examinons également des vulnérabilités très spécifiques et montrons, étape par étape, comment les éviter et les atténuer.
Outre une formation qualifiée, des entreprises comme Huawei pourraient utiliser les solutions DevSecOps. Il ajoute un coaching en temps réel directement dans l'IDE, en utilisant des recettes de codage sécurisées personnalisées selon les directives de sécurité de l'entreprise, agissant en tant que sous-chef du développeur dans la « cuisine » de codage pendant qu'il écrit son code. Une telle approche pourrait aider les programmeurs de Huawei, quel que soit leur niveau de compétence, à écrire un meilleur code et à reconnaître les vulnérabilités potentielles, tout en permettant aux experts en sécurité de Huawei de créer un « livre de recettes » contenant des recettes conformes à leurs politiques et facilitant l'exécution des commandes.
L'une des principales leçons à tirer des problèmes de Huawei est que la création de directives de codage sécurisées n'a aucun sens si les programmeurs ne les connaissent pas ou ne savent tout simplement pas comment suivre les bonnes pratiques de codage. Dans ce cas, les directives internes sur les meilleures pratiques se sont révélées être le zhilaohu propre à Huawei ; ce que l'Occident appellerait »un tigre en papier'. C'était un document plein de style, mais sans substance. Pour lui donner un véritable coup de pouce, il faudrait disposer des bons outils pratiques et d'un véritable programme de formation, qui adopte une approche pratique et développe des connaissances et des compétences continues.
Publié à l'origine dans L'ère de l'information. Il s'agit d'une version mise à jour qui corrige le positionnement autour du support de sécurité continu de Wind River Systems pour son produit de système d'exploitation en temps réel, VxWorks.
Un rapport récent du centre d'évaluation de la cybersécurité de Huawei au Royaume-Uni a identifié des problèmes de sécurité majeurs dans les processus de génie logiciel de Huawei. Alors qu'une grande partie de l'actualité concernant ce rapport critique se concentre sur des problèmes non résolus survenus l'année précédente, le problème le plus dangereux et le plus négligé est l'absence flagrante de directives et de pratiques de codage sécurisé utilisées par Huawei. Mais c'est un problème qui peut être résolu.
Les nouvelles, pour le géant chinois des télécommunications Huawei, ne font qu'empirer. Alors que les États-Unis ont carrément interdit à l'entreprise de participer à de futurs travaux gouvernementaux, le Royaume-Uni a davantage accepté le fait que bon nombre des failles sous-jacentes des appareils et du code de Huawei peuvent être corrigées. Le Royaume-Uni a créé le Centre d'évaluation de la cybersécurité de Huawei (HCSEC) en 2010 pour évaluer et résoudre les problèmes de sécurité des produits Huawei, et pour produire un rapport annuel à leur sujet. Cependant, cette année, le rapport était particulièrement accablant.
L'attention portée au rapport 2019 de la HCSEC dans les actualités est due en grande partie au fait que pratiquement aucune faille de sécurité de l'année précédente n'a été corrigée. Cela inclut l'utilisation d'une ancienne version du système d'exploitation en temps réel VxWorks de Wind River, qui sera bientôt mise en fin de vie. Huawei a promis de résoudre ce problème (et bénéficiera du soutien continu de Wind River Systems), mais celui-ci reste un élément central de la plupart des infrastructures de télécommunications du Royaume-Uni.
Un facteur critique qui semble avoir été négligé par la plupart des médias grand public est ce qui pourrait être un processus fondamentalement interrompu, existant dans le cadre du développement et du déploiement de nouveaux logiciels et matériels par l'entreprise. Le rapport fait état de « problèmes techniques importants » liés à la manière dont Huawei gère ses méthodes d'ingénierie internes.
Examinons quelques exemples des problèmes techniques décrits dans le rapport. Il faut dire que l'une des meilleures choses que Huawei ait faites a été de créer des directives de codage sécurisées pour aider ses ingénieurs et programmeurs à déployer de nouveaux codes. Ces directives couvrent un large éventail de bonnes pratiques, telles que l'utilisation de versions sûres connues de fonctions et de processus système provenant de bibliothèques fiables, et certainement pas de variantes présentant des vulnérabilités connues. C'est une bonne chose en théorie, mais une évaluation réelle d'un système de production Huawei au Royaume-Uni a révélé que ces directives n'étaient jamais communiquées aux programmeurs, ignorées par eux ou simplement non appliquées.
Le rapport a examiné des fonctions spécifiques de gestion de la mémoire dans les applications destinées au public, en l'occurrence un ensemble de babillards électroniques où les utilisateurs étaient invités, en fonction du programme, à ajouter des informations. Étant donné que les zones de saisie par les utilisateurs ne devraient jamais être considérées comme « fiables », il était prévu que ces zones ne contiennent que du code sécurisé, conformément aux directives internes de Huawei. Plus précisément, les testeurs ont examiné l'invocation directe des fonctions de gestion de la mémoire memcpy (), strcpy () et sprintf () dans ces systèmes de production, connues pour entraîner de graves problèmes de sécurité tels que le débordement de la mémoire tampon depuis 1988 .
Étonnamment, il y a eu 5 000 appels directs de 17 fonctions memcpy () sûres connues, mais également 600 utilisations de 12 variantes non sécurisées. Le ratio était à peu près le même que pour les autres fonctions. Il y a eu 1 400 invocations sécurisées avec strcpy (), mais aussi 400 mauvaises avec des vulnérabilités connues. Et 2 000 utilisations sûres de sprintf () ont été découvertes, contre 200 utilisations dangereuses. Le fait que la plupart des utilisations de ces fonctions aient été sécurisées est une bonne chose, mais cela laisse environ 20 % du code global vulnérable aux attaques connues. Il s'agit d'une zone d'attaque de surface de menace énorme, et elle ne prend en compte que les appels directs des trois fonctions de gestion de la mémoire, et non les cas de leur utilisation indirecte via des pointeurs de fonction. Bien que les auditeurs n'aient examiné que ces fonctions spécifiques, il est peu probable que les trois fonctions de gestion de la mémoire choisies soient les seules à présenter des problèmes.
Bien que Huawei ait créé un guide des meilleures pratiques pour ses programmeurs, il est clair qu'il reste encore beaucoup à faire. Définir les attentes en matière de sécurité ne constitue qu'une étape, mais elles ne sont efficaces que si ces directives sont activement suivies et familières à la cohorte de développement. Huawei pourrait faire des progrès significatifs dans l'amélioration de sa sécurité en s'engageant à former ses programmeurs de manière efficace, et en ne se contentant pas de suivre les directives internes de Huawei. Ils doivent faire un pas supplémentaire en démontrant comment coder de manière plus sécurisée en général. Les codeurs doivent être suffisamment formés aux bons modèles de codage (sécurisés) et aux mauvais modèles (non sécurisés) et avoir la responsabilité de mettre en pratique ce que leur entreprise prêche à chaque fois.
De nombreux problèmes de codage spécifiques décrits dans le rapport de la HCSEC sont abordés et appliqués dans le cadre du Secure Code Warrior plateforme, qui forme les programmeurs et les équipes de cybersécurité à toujours déployer et maintenir un code sécurisé. Des concepts tels que ne jamais se fier aux entrées des utilisateurs, toujours extraire des fonctions des bibliothèques établies, nettoyer toutes les entrées avant de les transmettre à un serveur et de nombreuses autres pratiques de codage sûres sont constamment démontrés sur la plate-forme. Nous examinons également des vulnérabilités très spécifiques et montrons, étape par étape, comment les éviter et les atténuer.
Outre une formation qualifiée, des entreprises comme Huawei pourraient utiliser les solutions DevSecOps. Il ajoute un coaching en temps réel directement dans l'IDE, en utilisant des recettes de codage sécurisées personnalisées selon les directives de sécurité de l'entreprise, agissant en tant que sous-chef du développeur dans la « cuisine » de codage pendant qu'il écrit son code. Une telle approche pourrait aider les programmeurs de Huawei, quel que soit leur niveau de compétence, à écrire un meilleur code et à reconnaître les vulnérabilités potentielles, tout en permettant aux experts en sécurité de Huawei de créer un « livre de recettes » contenant des recettes conformes à leurs politiques et facilitant l'exécution des commandes.
L'une des principales leçons à tirer des problèmes de Huawei est que la création de directives de codage sécurisées n'a aucun sens si les programmeurs ne les connaissent pas ou ne savent tout simplement pas comment suivre les bonnes pratiques de codage. Dans ce cas, les directives internes sur les meilleures pratiques se sont révélées être le zhilaohu propre à Huawei ; ce que l'Occident appellerait »un tigre en papier'. C'était un document plein de style, mais sans substance. Pour lui donner un véritable coup de pouce, il faudrait disposer des bons outils pratiques et d'un véritable programme de formation, qui adopte une approche pratique et développe des connaissances et des compétences continues.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Publié à l'origine dans L'ère de l'information. Il s'agit d'une version mise à jour qui corrige le positionnement autour du support de sécurité continu de Wind River Systems pour son produit de système d'exploitation en temps réel, VxWorks.
Un rapport récent du centre d'évaluation de la cybersécurité de Huawei au Royaume-Uni a identifié des problèmes de sécurité majeurs dans les processus de génie logiciel de Huawei. Alors qu'une grande partie de l'actualité concernant ce rapport critique se concentre sur des problèmes non résolus survenus l'année précédente, le problème le plus dangereux et le plus négligé est l'absence flagrante de directives et de pratiques de codage sécurisé utilisées par Huawei. Mais c'est un problème qui peut être résolu.
Les nouvelles, pour le géant chinois des télécommunications Huawei, ne font qu'empirer. Alors que les États-Unis ont carrément interdit à l'entreprise de participer à de futurs travaux gouvernementaux, le Royaume-Uni a davantage accepté le fait que bon nombre des failles sous-jacentes des appareils et du code de Huawei peuvent être corrigées. Le Royaume-Uni a créé le Centre d'évaluation de la cybersécurité de Huawei (HCSEC) en 2010 pour évaluer et résoudre les problèmes de sécurité des produits Huawei, et pour produire un rapport annuel à leur sujet. Cependant, cette année, le rapport était particulièrement accablant.
L'attention portée au rapport 2019 de la HCSEC dans les actualités est due en grande partie au fait que pratiquement aucune faille de sécurité de l'année précédente n'a été corrigée. Cela inclut l'utilisation d'une ancienne version du système d'exploitation en temps réel VxWorks de Wind River, qui sera bientôt mise en fin de vie. Huawei a promis de résoudre ce problème (et bénéficiera du soutien continu de Wind River Systems), mais celui-ci reste un élément central de la plupart des infrastructures de télécommunications du Royaume-Uni.
Un facteur critique qui semble avoir été négligé par la plupart des médias grand public est ce qui pourrait être un processus fondamentalement interrompu, existant dans le cadre du développement et du déploiement de nouveaux logiciels et matériels par l'entreprise. Le rapport fait état de « problèmes techniques importants » liés à la manière dont Huawei gère ses méthodes d'ingénierie internes.
Examinons quelques exemples des problèmes techniques décrits dans le rapport. Il faut dire que l'une des meilleures choses que Huawei ait faites a été de créer des directives de codage sécurisées pour aider ses ingénieurs et programmeurs à déployer de nouveaux codes. Ces directives couvrent un large éventail de bonnes pratiques, telles que l'utilisation de versions sûres connues de fonctions et de processus système provenant de bibliothèques fiables, et certainement pas de variantes présentant des vulnérabilités connues. C'est une bonne chose en théorie, mais une évaluation réelle d'un système de production Huawei au Royaume-Uni a révélé que ces directives n'étaient jamais communiquées aux programmeurs, ignorées par eux ou simplement non appliquées.
Le rapport a examiné des fonctions spécifiques de gestion de la mémoire dans les applications destinées au public, en l'occurrence un ensemble de babillards électroniques où les utilisateurs étaient invités, en fonction du programme, à ajouter des informations. Étant donné que les zones de saisie par les utilisateurs ne devraient jamais être considérées comme « fiables », il était prévu que ces zones ne contiennent que du code sécurisé, conformément aux directives internes de Huawei. Plus précisément, les testeurs ont examiné l'invocation directe des fonctions de gestion de la mémoire memcpy (), strcpy () et sprintf () dans ces systèmes de production, connues pour entraîner de graves problèmes de sécurité tels que le débordement de la mémoire tampon depuis 1988 .
Étonnamment, il y a eu 5 000 appels directs de 17 fonctions memcpy () sûres connues, mais également 600 utilisations de 12 variantes non sécurisées. Le ratio était à peu près le même que pour les autres fonctions. Il y a eu 1 400 invocations sécurisées avec strcpy (), mais aussi 400 mauvaises avec des vulnérabilités connues. Et 2 000 utilisations sûres de sprintf () ont été découvertes, contre 200 utilisations dangereuses. Le fait que la plupart des utilisations de ces fonctions aient été sécurisées est une bonne chose, mais cela laisse environ 20 % du code global vulnérable aux attaques connues. Il s'agit d'une zone d'attaque de surface de menace énorme, et elle ne prend en compte que les appels directs des trois fonctions de gestion de la mémoire, et non les cas de leur utilisation indirecte via des pointeurs de fonction. Bien que les auditeurs n'aient examiné que ces fonctions spécifiques, il est peu probable que les trois fonctions de gestion de la mémoire choisies soient les seules à présenter des problèmes.
Bien que Huawei ait créé un guide des meilleures pratiques pour ses programmeurs, il est clair qu'il reste encore beaucoup à faire. Définir les attentes en matière de sécurité ne constitue qu'une étape, mais elles ne sont efficaces que si ces directives sont activement suivies et familières à la cohorte de développement. Huawei pourrait faire des progrès significatifs dans l'amélioration de sa sécurité en s'engageant à former ses programmeurs de manière efficace, et en ne se contentant pas de suivre les directives internes de Huawei. Ils doivent faire un pas supplémentaire en démontrant comment coder de manière plus sécurisée en général. Les codeurs doivent être suffisamment formés aux bons modèles de codage (sécurisés) et aux mauvais modèles (non sécurisés) et avoir la responsabilité de mettre en pratique ce que leur entreprise prêche à chaque fois.
De nombreux problèmes de codage spécifiques décrits dans le rapport de la HCSEC sont abordés et appliqués dans le cadre du Secure Code Warrior plateforme, qui forme les programmeurs et les équipes de cybersécurité à toujours déployer et maintenir un code sécurisé. Des concepts tels que ne jamais se fier aux entrées des utilisateurs, toujours extraire des fonctions des bibliothèques établies, nettoyer toutes les entrées avant de les transmettre à un serveur et de nombreuses autres pratiques de codage sûres sont constamment démontrés sur la plate-forme. Nous examinons également des vulnérabilités très spécifiques et montrons, étape par étape, comment les éviter et les atténuer.
Outre une formation qualifiée, des entreprises comme Huawei pourraient utiliser les solutions DevSecOps. Il ajoute un coaching en temps réel directement dans l'IDE, en utilisant des recettes de codage sécurisées personnalisées selon les directives de sécurité de l'entreprise, agissant en tant que sous-chef du développeur dans la « cuisine » de codage pendant qu'il écrit son code. Une telle approche pourrait aider les programmeurs de Huawei, quel que soit leur niveau de compétence, à écrire un meilleur code et à reconnaître les vulnérabilités potentielles, tout en permettant aux experts en sécurité de Huawei de créer un « livre de recettes » contenant des recettes conformes à leurs politiques et facilitant l'exécution des commandes.
L'une des principales leçons à tirer des problèmes de Huawei est que la création de directives de codage sécurisées n'a aucun sens si les programmeurs ne les connaissent pas ou ne savent tout simplement pas comment suivre les bonnes pratiques de codage. Dans ce cas, les directives internes sur les meilleures pratiques se sont révélées être le zhilaohu propre à Huawei ; ce que l'Occident appellerait »un tigre en papier'. C'était un document plein de style, mais sans substance. Pour lui donner un véritable coup de pouce, il faudrait disposer des bons outils pratiques et d'un véritable programme de formation, qui adopte une approche pratique et développe des connaissances et des compétences continues.
목차
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
