優れたマイクロ波が故障した場合: 組み込みシステムのセキュリティが開発者にとって次なるボス戦となる理由
ポップカルチャーには、悪党AIやロボット、そして人間の主人を攻撃する電化製品についての言及がたくさんあります。サイエンスフィクションの面白さとファンタジーが深く染み込んでいますが、IoTやコネクテッドデバイスが家庭で普及するにつれ、サイバーセキュリティと安全に関する会話も普及すべきです。ソフトウェアは私たちの身の回りのいたるところにあり、イノベーションと利便性をもたらすような巧妙なことをすべて実行するために、どれほどコード行に頼っているかを忘れがちです。Webベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードは、攻撃者が実際に発見すると悪用される可能性があります。
マイクロ波の軍隊が人類を奴隷にする可能性は低いですが(ただし、テスラボットは少し心配です)、サイバー攻撃の結果、悪意のあるサイバーイベントが発生する可能性は依然としてあります。私たちの自動車、飛行機、医療機器の中には、重要なタスクを実行するために複雑な組み込みシステムコードに依存しているものもあり、これらのオブジェクトが侵害される可能性は憂慮すべきだけでなく、生命を脅かす可能性があります。
世に出回っている他の種類のソフトウェアと同様に、開発者は作成段階の最初にコードに触れます。そして、他のすべての種類のソフトウェアと同様に、このコードも、製品が公開される前に検出されない可能性のある、陰湿で一般的な脆弱性の温床になりかねません。
開発者はセキュリティの専門家ではないため、どの企業もそのような役割を担うことを期待すべきではありません。しかし、開発者は自分に関係のある種類の脅威に対処するための、はるかに強力な武器を身につけることができます。技術ニーズが進化し続けるにつれ、組み込みシステム(通常はCやC++で書かれている)がより頻繁に使用されるようになり、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。
爆発するエアフライヤー、悪党車両…座っているのはアヒルか?
一部のセキュア開発に関する標準と規制は、あらゆる種類のソフトウェアセキュリティに向けて、より正確で有意義な進歩を遂げる必要があります。誰かがエアフライヤーをハッキングしたことによって引き起こされる問題を考えるのはとてつもなく思えるかもしれませんが、それが実際に起こったのです。リモートコード実行攻撃(攻撃者が温度を危険なレベルまで上昇させることを可能にする)という形で、車両の乗っ取りにつながる脆弱性も同様です。
特に車両は極めて複雑で、複数の組み込みシステムを搭載しており、それぞれが自動ワイパーからエンジンやブレーキ機能に至るまで、あらゆる微細な機能を処理します。Wi-Fi、Bluetooth、GPSなど、増え続ける通信技術のスタックと絡み合うコネクテッドビークルは、複数の攻撃ベクトルに晒される複雑なデジタルインフラストラクチャとなっています。そして、2023年までに世界中で7,630万台のコネクテッドカーが道路を走ると予想されています。これは真の安全を築くための防御基盤の一枚岩です。
ミスラは、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定し、組み込みシステムの脅威との戦いに積極的に取り組んでいる主要組織です。これらのガイドラインは、すべての企業が組み込みシステムプロジェクトで目指すべき基準の北極星です。
ただし、このゴールドスタンダードに準拠したコードを作成して実行するには、セキュリティを意識していることは言うまでもなく、ツールに自信を持っている組み込みシステムエンジニアが必要です。
組込みシステムのセキュリティスキルアップはなぜそれほど具体的ですか?
CおよびC++プログラミング言語は、今日の標準では老年向けの言語ですが、今でも広く使用されています。Embedded C/C++ は組み込みシステムのコードベースの機能の中核を形成し、Embedded C/C++ はコネクテッドデバイスの世界の一部として現代的で輝かしい生活を送っています。
これらの言語にはかなり古いルーツがあり、インジェクションの欠陥やバッファオーバーフローなどの一般的な問題に関しては同様の脆弱性挙動を示していますが、開発者が組み込みシステムのセキュリティバグを真に軽減するには、開発者が作業環境を模倣するコードを実際に使用しなければなりません。一般的なセキュリティプラクティスにおける一般的な C トレーニングは、組み込み C コンテキストでの作業に余分な時間と労力を費やす場合ほど強力で記憶に残るものではありません。
現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
組み込みシステムを1階から保護することは全員の責任です
多くの組織では、少なくとも開発者の責任に関して、開発のスピードがセキュリティよりも優先されるのが現状です。安全なコードを作成する能力が評価されることはめったにありませんが、優れた機能を迅速に開発することがゴールドスタンダードです。ソフトウェアに対する需要は増加の一途をたどっていますが、この文化が、私たちが脆弱性とそれに続くサイバー攻撃との戦いに負ける原因となっています。
開発者がトレーニングを受けていなくても、それは開発者の責任ではなく、AppSecチームの誰かが、開発コミュニティ全体に対して適切でアクセスしやすい(評価可能であることは言うまでもない)スキルアッププログラムを推奨することで、その不足を補う手助けをする必要があります。ソフトウェア開発プロジェクトの初期段階では、セキュリティは最優先の考慮事項であり、すべての関係者、特に開発者が自らの役割を果たすために必要なものを与えられる必要があります。
組み込みシステムのセキュリティ問題を実際に体験する
バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながる恐れがあります。
バッファオーバーフローは特に頻繁に発生しています。前に説明したエアフライヤーがどのように危険にさらされたか(リモートコード実行を可能にする)について詳しく知りたい場合は、以下のレポートCVE-2020-28592 をご確認ください。
それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
.png)
、どうでしたか?訪問www.securecodewarrior.com、組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
ポップカルチャーには、悪党AIやロボット、そして人間の主人を攻撃する電化製品についての言及がたくさんあります。サイエンスフィクションの面白さとファンタジーが深く染み込んでいますが、IoTやコネクテッドデバイスが家庭で普及するにつれ、サイバーセキュリティと安全に関する会話も普及すべきです。ソフトウェアは私たちの身の回りのいたるところにあり、イノベーションと利便性をもたらすような巧妙なことをすべて実行するために、どれほどコード行に頼っているかを忘れがちです。Webベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードは、攻撃者が実際に発見すると悪用される可能性があります。
マイクロ波の軍隊が人類を奴隷にする可能性は低いですが(ただし、テスラボットは少し心配です)、サイバー攻撃の結果、悪意のあるサイバーイベントが発生する可能性は依然としてあります。私たちの自動車、飛行機、医療機器の中には、重要なタスクを実行するために複雑な組み込みシステムコードに依存しているものもあり、これらのオブジェクトが侵害される可能性は憂慮すべきだけでなく、生命を脅かす可能性があります。
世に出回っている他の種類のソフトウェアと同様に、開発者は作成段階の最初にコードに触れます。そして、他のすべての種類のソフトウェアと同様に、このコードも、製品が公開される前に検出されない可能性のある、陰湿で一般的な脆弱性の温床になりかねません。
開発者はセキュリティの専門家ではないため、どの企業もそのような役割を担うことを期待すべきではありません。しかし、開発者は自分に関係のある種類の脅威に対処するための、はるかに強力な武器を身につけることができます。技術ニーズが進化し続けるにつれ、組み込みシステム(通常はCやC++で書かれている)がより頻繁に使用されるようになり、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。
爆発するエアフライヤー、悪党車両…座っているのはアヒルか?
一部のセキュア開発に関する標準と規制は、あらゆる種類のソフトウェアセキュリティに向けて、より正確で有意義な進歩を遂げる必要があります。誰かがエアフライヤーをハッキングしたことによって引き起こされる問題を考えるのはとてつもなく思えるかもしれませんが、それが実際に起こったのです。リモートコード実行攻撃(攻撃者が温度を危険なレベルまで上昇させることを可能にする)という形で、車両の乗っ取りにつながる脆弱性も同様です。
特に車両は極めて複雑で、複数の組み込みシステムを搭載しており、それぞれが自動ワイパーからエンジンやブレーキ機能に至るまで、あらゆる微細な機能を処理します。Wi-Fi、Bluetooth、GPSなど、増え続ける通信技術のスタックと絡み合うコネクテッドビークルは、複数の攻撃ベクトルに晒される複雑なデジタルインフラストラクチャとなっています。そして、2023年までに世界中で7,630万台のコネクテッドカーが道路を走ると予想されています。これは真の安全を築くための防御基盤の一枚岩です。
ミスラは、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定し、組み込みシステムの脅威との戦いに積極的に取り組んでいる主要組織です。これらのガイドラインは、すべての企業が組み込みシステムプロジェクトで目指すべき基準の北極星です。
ただし、このゴールドスタンダードに準拠したコードを作成して実行するには、セキュリティを意識していることは言うまでもなく、ツールに自信を持っている組み込みシステムエンジニアが必要です。
組込みシステムのセキュリティスキルアップはなぜそれほど具体的ですか?
CおよびC++プログラミング言語は、今日の標準では老年向けの言語ですが、今でも広く使用されています。Embedded C/C++ は組み込みシステムのコードベースの機能の中核を形成し、Embedded C/C++ はコネクテッドデバイスの世界の一部として現代的で輝かしい生活を送っています。
これらの言語にはかなり古いルーツがあり、インジェクションの欠陥やバッファオーバーフローなどの一般的な問題に関しては同様の脆弱性挙動を示していますが、開発者が組み込みシステムのセキュリティバグを真に軽減するには、開発者が作業環境を模倣するコードを実際に使用しなければなりません。一般的なセキュリティプラクティスにおける一般的な C トレーニングは、組み込み C コンテキストでの作業に余分な時間と労力を費やす場合ほど強力で記憶に残るものではありません。
現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
組み込みシステムを1階から保護することは全員の責任です
多くの組織では、少なくとも開発者の責任に関して、開発のスピードがセキュリティよりも優先されるのが現状です。安全なコードを作成する能力が評価されることはめったにありませんが、優れた機能を迅速に開発することがゴールドスタンダードです。ソフトウェアに対する需要は増加の一途をたどっていますが、この文化が、私たちが脆弱性とそれに続くサイバー攻撃との戦いに負ける原因となっています。
開発者がトレーニングを受けていなくても、それは開発者の責任ではなく、AppSecチームの誰かが、開発コミュニティ全体に対して適切でアクセスしやすい(評価可能であることは言うまでもない)スキルアッププログラムを推奨することで、その不足を補う手助けをする必要があります。ソフトウェア開発プロジェクトの初期段階では、セキュリティは最優先の考慮事項であり、すべての関係者、特に開発者が自らの役割を果たすために必要なものを与えられる必要があります。
組み込みシステムのセキュリティ問題を実際に体験する
バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながる恐れがあります。
バッファオーバーフローは特に頻繁に発生しています。前に説明したエアフライヤーがどのように危険にさらされたか(リモートコード実行を可能にする)について詳しく知りたい場合は、以下のレポートCVE-2020-28592 をご確認ください。
それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
、どうでしたか?訪問www.securecodewarrior.com、組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。
ポップカルチャーには、悪党AIやロボット、そして人間の主人を攻撃する電化製品についての言及がたくさんあります。サイエンスフィクションの面白さとファンタジーが深く染み込んでいますが、IoTやコネクテッドデバイスが家庭で普及するにつれ、サイバーセキュリティと安全に関する会話も普及すべきです。ソフトウェアは私たちの身の回りのいたるところにあり、イノベーションと利便性をもたらすような巧妙なことをすべて実行するために、どれほどコード行に頼っているかを忘れがちです。Webベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードは、攻撃者が実際に発見すると悪用される可能性があります。
マイクロ波の軍隊が人類を奴隷にする可能性は低いですが(ただし、テスラボットは少し心配です)、サイバー攻撃の結果、悪意のあるサイバーイベントが発生する可能性は依然としてあります。私たちの自動車、飛行機、医療機器の中には、重要なタスクを実行するために複雑な組み込みシステムコードに依存しているものもあり、これらのオブジェクトが侵害される可能性は憂慮すべきだけでなく、生命を脅かす可能性があります。
世に出回っている他の種類のソフトウェアと同様に、開発者は作成段階の最初にコードに触れます。そして、他のすべての種類のソフトウェアと同様に、このコードも、製品が公開される前に検出されない可能性のある、陰湿で一般的な脆弱性の温床になりかねません。
開発者はセキュリティの専門家ではないため、どの企業もそのような役割を担うことを期待すべきではありません。しかし、開発者は自分に関係のある種類の脅威に対処するための、はるかに強力な武器を身につけることができます。技術ニーズが進化し続けるにつれ、組み込みシステム(通常はCやC++で書かれている)がより頻繁に使用されるようになり、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。
爆発するエアフライヤー、悪党車両…座っているのはアヒルか?
一部のセキュア開発に関する標準と規制は、あらゆる種類のソフトウェアセキュリティに向けて、より正確で有意義な進歩を遂げる必要があります。誰かがエアフライヤーをハッキングしたことによって引き起こされる問題を考えるのはとてつもなく思えるかもしれませんが、それが実際に起こったのです。リモートコード実行攻撃(攻撃者が温度を危険なレベルまで上昇させることを可能にする)という形で、車両の乗っ取りにつながる脆弱性も同様です。
特に車両は極めて複雑で、複数の組み込みシステムを搭載しており、それぞれが自動ワイパーからエンジンやブレーキ機能に至るまで、あらゆる微細な機能を処理します。Wi-Fi、Bluetooth、GPSなど、増え続ける通信技術のスタックと絡み合うコネクテッドビークルは、複数の攻撃ベクトルに晒される複雑なデジタルインフラストラクチャとなっています。そして、2023年までに世界中で7,630万台のコネクテッドカーが道路を走ると予想されています。これは真の安全を築くための防御基盤の一枚岩です。
ミスラは、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定し、組み込みシステムの脅威との戦いに積極的に取り組んでいる主要組織です。これらのガイドラインは、すべての企業が組み込みシステムプロジェクトで目指すべき基準の北極星です。
ただし、このゴールドスタンダードに準拠したコードを作成して実行するには、セキュリティを意識していることは言うまでもなく、ツールに自信を持っている組み込みシステムエンジニアが必要です。
組込みシステムのセキュリティスキルアップはなぜそれほど具体的ですか?
CおよびC++プログラミング言語は、今日の標準では老年向けの言語ですが、今でも広く使用されています。Embedded C/C++ は組み込みシステムのコードベースの機能の中核を形成し、Embedded C/C++ はコネクテッドデバイスの世界の一部として現代的で輝かしい生活を送っています。
これらの言語にはかなり古いルーツがあり、インジェクションの欠陥やバッファオーバーフローなどの一般的な問題に関しては同様の脆弱性挙動を示していますが、開発者が組み込みシステムのセキュリティバグを真に軽減するには、開発者が作業環境を模倣するコードを実際に使用しなければなりません。一般的なセキュリティプラクティスにおける一般的な C トレーニングは、組み込み C コンテキストでの作業に余分な時間と労力を費やす場合ほど強力で記憶に残るものではありません。
現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
組み込みシステムを1階から保護することは全員の責任です
多くの組織では、少なくとも開発者の責任に関して、開発のスピードがセキュリティよりも優先されるのが現状です。安全なコードを作成する能力が評価されることはめったにありませんが、優れた機能を迅速に開発することがゴールドスタンダードです。ソフトウェアに対する需要は増加の一途をたどっていますが、この文化が、私たちが脆弱性とそれに続くサイバー攻撃との戦いに負ける原因となっています。
開発者がトレーニングを受けていなくても、それは開発者の責任ではなく、AppSecチームの誰かが、開発コミュニティ全体に対して適切でアクセスしやすい(評価可能であることは言うまでもない)スキルアッププログラムを推奨することで、その不足を補う手助けをする必要があります。ソフトウェア開発プロジェクトの初期段階では、セキュリティは最優先の考慮事項であり、すべての関係者、特に開発者が自らの役割を果たすために必要なものを与えられる必要があります。
組み込みシステムのセキュリティ問題を実際に体験する
バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながる恐れがあります。
バッファオーバーフローは特に頻繁に発生しています。前に説明したエアフライヤーがどのように危険にさらされたか(リモートコード実行を可能にする)について詳しく知りたい場合は、以下のレポートCVE-2020-28592 をご確認ください。
それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
、どうでしたか?訪問www.securecodewarrior.com、組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
ポップカルチャーには、悪党AIやロボット、そして人間の主人を攻撃する電化製品についての言及がたくさんあります。サイエンスフィクションの面白さとファンタジーが深く染み込んでいますが、IoTやコネクテッドデバイスが家庭で普及するにつれ、サイバーセキュリティと安全に関する会話も普及すべきです。ソフトウェアは私たちの身の回りのいたるところにあり、イノベーションと利便性をもたらすような巧妙なことをすべて実行するために、どれほどコード行に頼っているかを忘れがちです。Webベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードは、攻撃者が実際に発見すると悪用される可能性があります。
マイクロ波の軍隊が人類を奴隷にする可能性は低いですが(ただし、テスラボットは少し心配です)、サイバー攻撃の結果、悪意のあるサイバーイベントが発生する可能性は依然としてあります。私たちの自動車、飛行機、医療機器の中には、重要なタスクを実行するために複雑な組み込みシステムコードに依存しているものもあり、これらのオブジェクトが侵害される可能性は憂慮すべきだけでなく、生命を脅かす可能性があります。
世に出回っている他の種類のソフトウェアと同様に、開発者は作成段階の最初にコードに触れます。そして、他のすべての種類のソフトウェアと同様に、このコードも、製品が公開される前に検出されない可能性のある、陰湿で一般的な脆弱性の温床になりかねません。
開発者はセキュリティの専門家ではないため、どの企業もそのような役割を担うことを期待すべきではありません。しかし、開発者は自分に関係のある種類の脅威に対処するための、はるかに強力な武器を身につけることができます。技術ニーズが進化し続けるにつれ、組み込みシステム(通常はCやC++で書かれている)がより頻繁に使用されるようになり、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。
爆発するエアフライヤー、悪党車両…座っているのはアヒルか?
一部のセキュア開発に関する標準と規制は、あらゆる種類のソフトウェアセキュリティに向けて、より正確で有意義な進歩を遂げる必要があります。誰かがエアフライヤーをハッキングしたことによって引き起こされる問題を考えるのはとてつもなく思えるかもしれませんが、それが実際に起こったのです。リモートコード実行攻撃(攻撃者が温度を危険なレベルまで上昇させることを可能にする)という形で、車両の乗っ取りにつながる脆弱性も同様です。
特に車両は極めて複雑で、複数の組み込みシステムを搭載しており、それぞれが自動ワイパーからエンジンやブレーキ機能に至るまで、あらゆる微細な機能を処理します。Wi-Fi、Bluetooth、GPSなど、増え続ける通信技術のスタックと絡み合うコネクテッドビークルは、複数の攻撃ベクトルに晒される複雑なデジタルインフラストラクチャとなっています。そして、2023年までに世界中で7,630万台のコネクテッドカーが道路を走ると予想されています。これは真の安全を築くための防御基盤の一枚岩です。
ミスラは、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定し、組み込みシステムの脅威との戦いに積極的に取り組んでいる主要組織です。これらのガイドラインは、すべての企業が組み込みシステムプロジェクトで目指すべき基準の北極星です。
ただし、このゴールドスタンダードに準拠したコードを作成して実行するには、セキュリティを意識していることは言うまでもなく、ツールに自信を持っている組み込みシステムエンジニアが必要です。
組込みシステムのセキュリティスキルアップはなぜそれほど具体的ですか?
CおよびC++プログラミング言語は、今日の標準では老年向けの言語ですが、今でも広く使用されています。Embedded C/C++ は組み込みシステムのコードベースの機能の中核を形成し、Embedded C/C++ はコネクテッドデバイスの世界の一部として現代的で輝かしい生活を送っています。
これらの言語にはかなり古いルーツがあり、インジェクションの欠陥やバッファオーバーフローなどの一般的な問題に関しては同様の脆弱性挙動を示していますが、開発者が組み込みシステムのセキュリティバグを真に軽減するには、開発者が作業環境を模倣するコードを実際に使用しなければなりません。一般的なセキュリティプラクティスにおける一般的な C トレーニングは、組み込み C コンテキストでの作業に余分な時間と労力を費やす場合ほど強力で記憶に残るものではありません。
現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
組み込みシステムを1階から保護することは全員の責任です
多くの組織では、少なくとも開発者の責任に関して、開発のスピードがセキュリティよりも優先されるのが現状です。安全なコードを作成する能力が評価されることはめったにありませんが、優れた機能を迅速に開発することがゴールドスタンダードです。ソフトウェアに対する需要は増加の一途をたどっていますが、この文化が、私たちが脆弱性とそれに続くサイバー攻撃との戦いに負ける原因となっています。
開発者がトレーニングを受けていなくても、それは開発者の責任ではなく、AppSecチームの誰かが、開発コミュニティ全体に対して適切でアクセスしやすい(評価可能であることは言うまでもない)スキルアッププログラムを推奨することで、その不足を補う手助けをする必要があります。ソフトウェア開発プロジェクトの初期段階では、セキュリティは最優先の考慮事項であり、すべての関係者、特に開発者が自らの役割を果たすために必要なものを与えられる必要があります。
組み込みシステムのセキュリティ問題を実際に体験する
バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながる恐れがあります。
バッファオーバーフローは特に頻繁に発生しています。前に説明したエアフライヤーがどのように危険にさらされたか(リモートコード実行を可能にする)について詳しく知りたい場合は、以下のレポートCVE-2020-28592 をご確認ください。
それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
、どうでしたか?訪問www.securecodewarrior.com、組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
