Recherche des contacts liés à la COVID-19 : quelle est la situation en matière de codage sécurisé ?
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
%20(1).avif)
.avif)
