API on Wheels: Ein Roadtrip voller riskanter Sicherheitslücken
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
%20(1).avif)
.avif)
