El impulso de ASRG a la seguridad del software de automoción
Tournament Torsión: El impulso de ASRG a la seguridad del software de automoción
El Automotive Security Research Group es una organización sin ánimo de lucro dedicada a concienciar y apoyar el desarrollo de la seguridad para el sector de la automoción, centrándose en encontrar y promover soluciones que hagan que los productos de automoción sean más seguros y protegidos. En estos momentos, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y valiente mundo tecnológico para la industria, con una enorme dependencia cada vez mayor del software que impulsa los vehículos y las aplicaciones del ecosistema, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención y defender la seguridad del software dentro de la industria de la automoción.
Esta concienciación, y lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los vectores potenciales de ataque y el riesgo cibernético se amplíen con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI ha advertido recientemente de que los atacantes tienen como objetivo la industria automovilística estadounidense, y que la gran mayoría de las infracciones son el resultado de datos confidenciales sin cifrar. Esto, sumado a ataques como la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a dar forma y mantener las normas de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma Secure Code Warrior, concretamente la función Tournaments . Diseñada para atraer a los desarrolladores a través de una competición amistosa y gamificada, aumentar su concienciación sobre la seguridad y ayudarles a perfeccionar sus habilidades de codificación segura, ASRG estudió cómo Secure Code Warrior podía despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las compuertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías de acceso de los atacantes al software de automoción, existen muchas posibilidades, como detalla informe exhaustivo de Allot.
Por muy concienciados que estén con la seguridad, los desarrolladores no pueden ayudar a defenderse de todas ellas (ni se debería esperar que lo hicieran: para algo existen los especialistas en AppSec), pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, como por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave
¿Hasta qué punto es grave la situación de un vehículo comprometido?
Es bastante obvio para el ciudadano de a pie que la mayoría de los vehículos no son seguros al 100%, y que se asume un elemento de riesgo al utilizarlos. Las averías de los vehículos, los accidentes, la conducción bajo los efectos del alcohol... todo ello puede tener consecuencias mortales para el usuario.
Pero, ¿y si esa avería catastrófica del vehículo hubiera sido causada a distancia, como resultado de un ciberataque especialmente malintencionado? Durante mucho tiempo se ha sugerido que el mundo se tomará en serio la ciberseguridad cuando haya consecuencias que pongan en peligro la vida, pero la realidad es que ya estamos en ese territorio y, sin intervención, la situación no hará más que agravarse.
En 2015, unos investigadores de seguridad consiguieron "apagar" el motor de un Jeep Cherokee mientras circulaba por una autopista; utilizando un conocido exploit de día cero en el software del sistema, pudieron controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante puede tener sobre un vehículo y sus ocupantes. Desde entonces, millones de vehículos conectados han llegado a nuestras carreteras, y cada uno de ellos representa millones de líneas de código que deben protegerse.
La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa presión sobre sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria del automóvil compartan la responsabilidad de la seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones y apoyo en materia de seguridad. Su sitio web global Secure Code Warrior tournament pretendía implicar, evaluar e inspirar a más de 100 desarrolladores representantes de las secciones de ASRG de todo el mundo. Participando en competiciones amistosas y en actividades de formación, trataron de resolver retos de codificación segura directamente relacionados con los problemas a los que se enfrenta el software predominante en su sector.
La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa tensión para sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana.

Datos y cifras de tournament y ensayos de formación
Esto indica un alto grado de compromiso y el deseo de seguir jugando, dos subproductos enormemente beneficiosos de las técnicas de gamificación en la formación y la educación.
La formación y tournaments pueden impartirse en los lenguajes y frameworks que desee cada desarrollador, garantizando que los retos sean hiperrelevantes y utilizando código del mundo real con el que se encontrarían en su trabajo diario. Este enfoque contextual del aprendizaje garantiza una entrega rápida de los contenidos más importantes para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de promotor más común entre los participantes

Otros hallazgos significativos:
Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por idioma

Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por vulnerabilidad


Aunque todos los participantes mostraron cierto dominio de los lenguajes y marcos de trabajo elegidos, no hubo ningún área de vulnerabilidad que se considerara "100% segura" o dominada, y la puntuación media de precisión fue del 67%. No se espera que ningún desarrollador se convierta en un experto en seguridad, pero tournaments es una excelente manera de introducir normas de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a aplastar errores de seguridad comunes en el código... especialmente cuando ese código puede conducir al control de acceso remoto del vehículo de alguien, o algo peor.
Tournament perspectivas sobre la vulnerabilidad y los factores de riesgo basados en las competencias
El ASRG tournament y las iniciativas de formación se centraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:

Después de miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de atención deben seguir siendo el control de acceso, el almacenamiento de datos sensibles y, como prioridad, las vulnerabilidades de corrupción de memoria. Esta última es un potencial exploit conocido no solo en los vehículos ultraconectados, sino en muchos otros dispositivos IoT.
Un fallo de este tipo fue descubierto recientemente por el Equipo de Experiencia del Cliente Assessment & Penetration Team (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, dejándolos vulnerables a la corrupción de memoria hasta que se cree y aplique un parche. En estos tiempos de dispositivos con muchos sensores que recopilan datos en tiempo real de múltiples puntos del entorno, el botín podría ser importante para un atacante, incluso si no es posible el control remoto del dispositivo.
El equipo de ASRG ha creado unos recursos increíbles para los desarrolladores que necesitan actuar en el ámbito de la seguridad del automóvil, con su directorio de herramientas y soluciones probadas, su completa wiki y su potente comunidad global. Estas iniciativas de grupos independientes son lo que se necesita para impulsar el cambio a nivel popular, y su voluntad de probar cosas nuevas y forjar las bases de la concienciación sobre seguridad en sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión al invertir ahora en las mejores prácticas de codificación segura
Un estudio publicado por SAE International y el Software IntegrityGroup de Synopsys reveló que, en lo que se refiere a garantizar la seguridad de las tecnologías conectadas y protegerlas de las ciberamenazas existentes y emergentes, el sector de la automoción iba muy por detrás de muchos otros.
Se trata de una tendencia preocupante, pero no irreversible, sobre todo si tenemos en cuenta que organizaciones como ASRG luchan por mantener la seguridad en el primer plano de la industria, al tiempo que arrojan luz sobre las soluciones, herramientas y formación necesarias para que las empresas automovilísticas construyan un programa de seguridad blindado.
Su experiencia en la dirección de un sitio web muy atractivo y global Secure Code Warrior Tournament les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades para seguir aprendiendo, las estadísticas de precisión de los retos de codificación segura y las vulnerabilidades clave en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuál sería la rentabilidad estimada de transformar un programa de seguridad dentro de una organización, inculcando la concienciación y la acción en materia de seguridad desde el principio del SDLC? Veámoslo:
Para una empresa que identifique incluso un número modesto de vulnerabilidades anuales en sus auditorías de seguridad, los costes potenciales de detección y corrección pueden ser significativos. Y, dependiendo de en qué punto del proceso se revelen estos molestos fallos, el precio de la corrección puede aumentar drásticamente, incluso para las correcciones "sencillas": hasta treinta veces el coste de una corrección tardía, frente a una que se detectó y corrigió al principio.

Retorno de la inversión
Esta estimación de tres puntos muestra el impacto potencial, tanto financiero como diario, de tres ahorros diferentes que permite la formación,tournaments y la transformación cultural de SecureCode Warrior.

Ahorro potencial anual



Explore este completo estudio de caso para obtener más información sobre cómo utilizaron Secure Code Warrior's tournaments para involucrar a los desarrolladores, aumentar la concienciación sobre las principales vulnerabilidades que afectan al software de automoción y obtener métricas en varios lenguajes y marcos de trabajo.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración

Tournament Torsión: El impulso de ASRG a la seguridad del software de automoción
El Automotive Security Research Group es una organización sin ánimo de lucro dedicada a concienciar y apoyar el desarrollo de la seguridad para el sector de la automoción, centrándose en encontrar y promover soluciones que hagan que los productos de automoción sean más seguros y protegidos. En estos momentos, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y valiente mundo tecnológico para la industria, con una enorme dependencia cada vez mayor del software que impulsa los vehículos y las aplicaciones del ecosistema, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención y defender la seguridad del software dentro de la industria de la automoción.
Esta concienciación, y lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los vectores potenciales de ataque y el riesgo cibernético se amplíen con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI ha advertido recientemente de que los atacantes tienen como objetivo la industria automovilística estadounidense, y que la gran mayoría de las infracciones son el resultado de datos confidenciales sin cifrar. Esto, sumado a ataques como la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a dar forma y mantener las normas de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma Secure Code Warrior, concretamente la función Tournaments . Diseñada para atraer a los desarrolladores a través de una competición amistosa y gamificada, aumentar su concienciación sobre la seguridad y ayudarles a perfeccionar sus habilidades de codificación segura, ASRG estudió cómo Secure Code Warrior podía despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las compuertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías de acceso de los atacantes al software de automoción, existen muchas posibilidades, como detalla informe exhaustivo de Allot.
Por muy concienciados que estén con la seguridad, los desarrolladores no pueden ayudar a defenderse de todas ellas (ni se debería esperar que lo hicieran: para algo existen los especialistas en AppSec), pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, como por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave
¿Hasta qué punto es grave la situación de un vehículo comprometido?
Es bastante obvio para el ciudadano de a pie que la mayoría de los vehículos no son seguros al 100%, y que se asume un elemento de riesgo al utilizarlos. Las averías de los vehículos, los accidentes, la conducción bajo los efectos del alcohol... todo ello puede tener consecuencias mortales para el usuario.
Pero, ¿y si esa avería catastrófica del vehículo hubiera sido causada a distancia, como resultado de un ciberataque especialmente malintencionado? Durante mucho tiempo se ha sugerido que el mundo se tomará en serio la ciberseguridad cuando haya consecuencias que pongan en peligro la vida, pero la realidad es que ya estamos en ese territorio y, sin intervención, la situación no hará más que agravarse.
En 2015, unos investigadores de seguridad consiguieron "apagar" el motor de un Jeep Cherokee mientras circulaba por una autopista; utilizando un conocido exploit de día cero en el software del sistema, pudieron controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante puede tener sobre un vehículo y sus ocupantes. Desde entonces, millones de vehículos conectados han llegado a nuestras carreteras, y cada uno de ellos representa millones de líneas de código que deben protegerse.
La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa presión sobre sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria del automóvil compartan la responsabilidad de la seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones y apoyo en materia de seguridad. Su sitio web global Secure Code Warrior tournament pretendía implicar, evaluar e inspirar a más de 100 desarrolladores representantes de las secciones de ASRG de todo el mundo. Participando en competiciones amistosas y en actividades de formación, trataron de resolver retos de codificación segura directamente relacionados con los problemas a los que se enfrenta el software predominante en su sector.
La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa tensión para sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana.

Datos y cifras de tournament y ensayos de formación
Esto indica un alto grado de compromiso y el deseo de seguir jugando, dos subproductos enormemente beneficiosos de las técnicas de gamificación en la formación y la educación.
La formación y tournaments pueden impartirse en los lenguajes y frameworks que desee cada desarrollador, garantizando que los retos sean hiperrelevantes y utilizando código del mundo real con el que se encontrarían en su trabajo diario. Este enfoque contextual del aprendizaje garantiza una entrega rápida de los contenidos más importantes para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de promotor más común entre los participantes

Otros hallazgos significativos:
Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por idioma

Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por vulnerabilidad


Aunque todos los participantes mostraron cierto dominio de los lenguajes y marcos de trabajo elegidos, no hubo ningún área de vulnerabilidad que se considerara "100% segura" o dominada, y la puntuación media de precisión fue del 67%. No se espera que ningún desarrollador se convierta en un experto en seguridad, pero tournaments es una excelente manera de introducir normas de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a aplastar errores de seguridad comunes en el código... especialmente cuando ese código puede conducir al control de acceso remoto del vehículo de alguien, o algo peor.
Tournament perspectivas sobre la vulnerabilidad y los factores de riesgo basados en las competencias
El ASRG tournament y las iniciativas de formación se centraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:

Después de miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de atención deben seguir siendo el control de acceso, el almacenamiento de datos sensibles y, como prioridad, las vulnerabilidades de corrupción de memoria. Esta última es un potencial exploit conocido no solo en los vehículos ultraconectados, sino en muchos otros dispositivos IoT.
Un fallo de este tipo fue descubierto recientemente por el Equipo de Experiencia del Cliente Assessment & Penetration Team (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, dejándolos vulnerables a la corrupción de memoria hasta que se cree y aplique un parche. En estos tiempos de dispositivos con muchos sensores que recopilan datos en tiempo real de múltiples puntos del entorno, el botín podría ser importante para un atacante, incluso si no es posible el control remoto del dispositivo.
El equipo de ASRG ha creado unos recursos increíbles para los desarrolladores que necesitan actuar en el ámbito de la seguridad del automóvil, con su directorio de herramientas y soluciones probadas, su completa wiki y su potente comunidad global. Estas iniciativas de grupos independientes son lo que se necesita para impulsar el cambio a nivel popular, y su voluntad de probar cosas nuevas y forjar las bases de la concienciación sobre seguridad en sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión al invertir ahora en las mejores prácticas de codificación segura
Un estudio publicado por SAE International y el Software IntegrityGroup de Synopsys reveló que, en lo que se refiere a garantizar la seguridad de las tecnologías conectadas y protegerlas de las ciberamenazas existentes y emergentes, el sector de la automoción iba muy por detrás de muchos otros.
Se trata de una tendencia preocupante, pero no irreversible, sobre todo si tenemos en cuenta que organizaciones como ASRG luchan por mantener la seguridad en el primer plano de la industria, al tiempo que arrojan luz sobre las soluciones, herramientas y formación necesarias para que las empresas automovilísticas construyan un programa de seguridad blindado.
Su experiencia en la dirección de un sitio web muy atractivo y global Secure Code Warrior Tournament les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades para seguir aprendiendo, las estadísticas de precisión de los retos de codificación segura y las vulnerabilidades clave en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuál sería la rentabilidad estimada de transformar un programa de seguridad dentro de una organización, inculcando la concienciación y la acción en materia de seguridad desde el principio del SDLC? Veámoslo:
Para una empresa que identifique incluso un número modesto de vulnerabilidades anuales en sus auditorías de seguridad, los costes potenciales de detección y corrección pueden ser significativos. Y, dependiendo de en qué punto del proceso se revelen estos molestos fallos, el precio de la corrección puede aumentar drásticamente, incluso para las correcciones "sencillas": hasta treinta veces el coste de una corrección tardía, frente a una que se detectó y corrigió al principio.

Retorno de la inversión
Esta estimación de tres puntos muestra el impacto potencial, tanto financiero como diario, de tres ahorros diferentes que permite la formación,tournaments y la transformación cultural de SecureCode Warrior.

Ahorro potencial anual


Tournament Torsión: El impulso de ASRG a la seguridad del software de automoción
El Automotive Security Research Group es una organización sin ánimo de lucro dedicada a concienciar y apoyar el desarrollo de la seguridad para el sector de la automoción, centrándose en encontrar y promover soluciones que hagan que los productos de automoción sean más seguros y protegidos. En estos momentos, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y valiente mundo tecnológico para la industria, con una enorme dependencia cada vez mayor del software que impulsa los vehículos y las aplicaciones del ecosistema, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención y defender la seguridad del software dentro de la industria de la automoción.
Esta concienciación, y lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los vectores potenciales de ataque y el riesgo cibernético se amplíen con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI ha advertido recientemente de que los atacantes tienen como objetivo la industria automovilística estadounidense, y que la gran mayoría de las infracciones son el resultado de datos confidenciales sin cifrar. Esto, sumado a ataques como la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a dar forma y mantener las normas de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma Secure Code Warrior, concretamente la función Tournaments . Diseñada para atraer a los desarrolladores a través de una competición amistosa y gamificada, aumentar su concienciación sobre la seguridad y ayudarles a perfeccionar sus habilidades de codificación segura, ASRG estudió cómo Secure Code Warrior podía despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las compuertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías de acceso de los atacantes al software de automoción, existen muchas posibilidades, como detalla informe exhaustivo de Allot.
Por muy concienciados que estén con la seguridad, los desarrolladores no pueden ayudar a defenderse de todas ellas (ni se debería esperar que lo hicieran: para algo existen los especialistas en AppSec), pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, como por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave
¿Hasta qué punto es grave la situación de un vehículo comprometido?
Es bastante obvio para el ciudadano de a pie que la mayoría de los vehículos no son seguros al 100%, y que se asume un elemento de riesgo al utilizarlos. Las averías de los vehículos, los accidentes, la conducción bajo los efectos del alcohol... todo ello puede tener consecuencias mortales para el usuario.
Pero, ¿y si esa avería catastrófica del vehículo hubiera sido causada a distancia, como resultado de un ciberataque especialmente malintencionado? Durante mucho tiempo se ha sugerido que el mundo se tomará en serio la ciberseguridad cuando haya consecuencias que pongan en peligro la vida, pero la realidad es que ya estamos en ese territorio y, sin intervención, la situación no hará más que agravarse.
En 2015, unos investigadores de seguridad consiguieron "apagar" el motor de un Jeep Cherokee mientras circulaba por una autopista; utilizando un conocido exploit de día cero en el software del sistema, pudieron controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante puede tener sobre un vehículo y sus ocupantes. Desde entonces, millones de vehículos conectados han llegado a nuestras carreteras, y cada uno de ellos representa millones de líneas de código que deben protegerse.
La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa presión sobre sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria del automóvil compartan la responsabilidad de la seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones y apoyo en materia de seguridad. Su sitio web global Secure Code Warrior tournament pretendía implicar, evaluar e inspirar a más de 100 desarrolladores representantes de las secciones de ASRG de todo el mundo. Participando en competiciones amistosas y en actividades de formación, trataron de resolver retos de codificación segura directamente relacionados con los problemas a los que se enfrenta el software predominante en su sector.
La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa tensión para sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana.

Datos y cifras de tournament y ensayos de formación
Esto indica un alto grado de compromiso y el deseo de seguir jugando, dos subproductos enormemente beneficiosos de las técnicas de gamificación en la formación y la educación.
La formación y tournaments pueden impartirse en los lenguajes y frameworks que desee cada desarrollador, garantizando que los retos sean hiperrelevantes y utilizando código del mundo real con el que se encontrarían en su trabajo diario. Este enfoque contextual del aprendizaje garantiza una entrega rápida de los contenidos más importantes para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de promotor más común entre los participantes

Otros hallazgos significativos:
Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por idioma

Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por vulnerabilidad


Aunque todos los participantes mostraron cierto dominio de los lenguajes y marcos de trabajo elegidos, no hubo ningún área de vulnerabilidad que se considerara "100% segura" o dominada, y la puntuación media de precisión fue del 67%. No se espera que ningún desarrollador se convierta en un experto en seguridad, pero tournaments es una excelente manera de introducir normas de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a aplastar errores de seguridad comunes en el código... especialmente cuando ese código puede conducir al control de acceso remoto del vehículo de alguien, o algo peor.
Tournament perspectivas sobre la vulnerabilidad y los factores de riesgo basados en las competencias
El ASRG tournament y las iniciativas de formación se centraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:

Después de miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de atención deben seguir siendo el control de acceso, el almacenamiento de datos sensibles y, como prioridad, las vulnerabilidades de corrupción de memoria. Esta última es un potencial exploit conocido no solo en los vehículos ultraconectados, sino en muchos otros dispositivos IoT.
Un fallo de este tipo fue descubierto recientemente por el Equipo de Experiencia del Cliente Assessment & Penetration Team (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, dejándolos vulnerables a la corrupción de memoria hasta que se cree y aplique un parche. En estos tiempos de dispositivos con muchos sensores que recopilan datos en tiempo real de múltiples puntos del entorno, el botín podría ser importante para un atacante, incluso si no es posible el control remoto del dispositivo.
El equipo de ASRG ha creado unos recursos increíbles para los desarrolladores que necesitan actuar en el ámbito de la seguridad del automóvil, con su directorio de herramientas y soluciones probadas, su completa wiki y su potente comunidad global. Estas iniciativas de grupos independientes son lo que se necesita para impulsar el cambio a nivel popular, y su voluntad de probar cosas nuevas y forjar las bases de la concienciación sobre seguridad en sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión al invertir ahora en las mejores prácticas de codificación segura
Un estudio publicado por SAE International y el Software IntegrityGroup de Synopsys reveló que, en lo que se refiere a garantizar la seguridad de las tecnologías conectadas y protegerlas de las ciberamenazas existentes y emergentes, el sector de la automoción iba muy por detrás de muchos otros.
Se trata de una tendencia preocupante, pero no irreversible, sobre todo si tenemos en cuenta que organizaciones como ASRG luchan por mantener la seguridad en el primer plano de la industria, al tiempo que arrojan luz sobre las soluciones, herramientas y formación necesarias para que las empresas automovilísticas construyan un programa de seguridad blindado.
Su experiencia en la dirección de un sitio web muy atractivo y global Secure Code Warrior Tournament les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades para seguir aprendiendo, las estadísticas de precisión de los retos de codificación segura y las vulnerabilidades clave en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuál sería la rentabilidad estimada de transformar un programa de seguridad dentro de una organización, inculcando la concienciación y la acción en materia de seguridad desde el principio del SDLC? Veámoslo:
Para una empresa que identifique incluso un número modesto de vulnerabilidades anuales en sus auditorías de seguridad, los costes potenciales de detección y corrección pueden ser significativos. Y, dependiendo de en qué punto del proceso se revelen estos molestos fallos, el precio de la corrección puede aumentar drásticamente, incluso para las correcciones "sencillas": hasta treinta veces el coste de una corrección tardía, frente a una que se detectó y corrigió al principio.

Retorno de la inversión
Esta estimación de tres puntos muestra el impacto potencial, tanto financiero como diario, de tres ahorros diferentes que permite la formación,tournaments y la transformación cultural de SecureCode Warrior.

Ahorro potencial anual


Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
¿Te interesa probar Secure Code Warrior pero aún no tienes una cuenta? Regístrese hoy mismo para obtener una cuenta de prueba gratuita.
Pruebe ahoraTournament Torsión: El impulso de ASRG a la seguridad del software de automoción
El Automotive Security Research Group es una organización sin ánimo de lucro dedicada a concienciar y apoyar el desarrollo de la seguridad para el sector de la automoción, centrándose en encontrar y promover soluciones que hagan que los productos de automoción sean más seguros y protegidos. En estos momentos, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y valiente mundo tecnológico para la industria, con una enorme dependencia cada vez mayor del software que impulsa los vehículos y las aplicaciones del ecosistema, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención y defender la seguridad del software dentro de la industria de la automoción.
Esta concienciación, y lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los vectores potenciales de ataque y el riesgo cibernético se amplíen con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI ha advertido recientemente de que los atacantes tienen como objetivo la industria automovilística estadounidense, y que la gran mayoría de las infracciones son el resultado de datos confidenciales sin cifrar. Esto, sumado a ataques como la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a dar forma y mantener las normas de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma Secure Code Warrior, concretamente la función Tournaments . Diseñada para atraer a los desarrolladores a través de una competición amistosa y gamificada, aumentar su concienciación sobre la seguridad y ayudarles a perfeccionar sus habilidades de codificación segura, ASRG estudió cómo Secure Code Warrior podía despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las compuertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías de acceso de los atacantes al software de automoción, existen muchas posibilidades, como detalla informe exhaustivo de Allot.
Por muy concienciados que estén con la seguridad, los desarrolladores no pueden ayudar a defenderse de todas ellas (ni se debería esperar que lo hicieran: para algo existen los especialistas en AppSec), pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, como por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave
¿Hasta qué punto es grave la situación de un vehículo comprometido?
Es bastante obvio para el ciudadano de a pie que la mayoría de los vehículos no son seguros al 100%, y que se asume un elemento de riesgo al utilizarlos. Las averías de los vehículos, los accidentes, la conducción bajo los efectos del alcohol... todo ello puede tener consecuencias mortales para el usuario.
Pero, ¿y si esa avería catastrófica del vehículo hubiera sido causada a distancia, como resultado de un ciberataque especialmente malintencionado? Durante mucho tiempo se ha sugerido que el mundo se tomará en serio la ciberseguridad cuando haya consecuencias que pongan en peligro la vida, pero la realidad es que ya estamos en ese territorio y, sin intervención, la situación no hará más que agravarse.
En 2015, unos investigadores de seguridad consiguieron "apagar" el motor de un Jeep Cherokee mientras circulaba por una autopista; utilizando un conocido exploit de día cero en el software del sistema, pudieron controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante puede tener sobre un vehículo y sus ocupantes. Desde entonces, millones de vehículos conectados han llegado a nuestras carreteras, y cada uno de ellos representa millones de líneas de código que deben protegerse.
La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa presión sobre sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria del automóvil compartan la responsabilidad de la seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones y apoyo en materia de seguridad. Su sitio web global Secure Code Warrior tournament pretendía implicar, evaluar e inspirar a más de 100 desarrolladores representantes de las secciones de ASRG de todo el mundo. Participando en competiciones amistosas y en actividades de formación, trataron de resolver retos de codificación segura directamente relacionados con los problemas a los que se enfrenta el software predominante en su sector.
La tecnología de los vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una inmensa tensión para sus creadores, especialmente los equipos responsables de enviar el código que impulsa las comodidades del mañana.

Datos y cifras de tournament y ensayos de formación
Esto indica un alto grado de compromiso y el deseo de seguir jugando, dos subproductos enormemente beneficiosos de las técnicas de gamificación en la formación y la educación.
La formación y tournaments pueden impartirse en los lenguajes y frameworks que desee cada desarrollador, garantizando que los retos sean hiperrelevantes y utilizando código del mundo real con el que se encontrarían en su trabajo diario. Este enfoque contextual del aprendizaje garantiza una entrega rápida de los contenidos más importantes para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de promotor más común entre los participantes

Otros hallazgos significativos:
Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por idioma

Global ASRG Virtual Secure Coding Tournament: Puntuación de código seguro por vulnerabilidad


Aunque todos los participantes mostraron cierto dominio de los lenguajes y marcos de trabajo elegidos, no hubo ningún área de vulnerabilidad que se considerara "100% segura" o dominada, y la puntuación media de precisión fue del 67%. No se espera que ningún desarrollador se convierta en un experto en seguridad, pero tournaments es una excelente manera de introducir normas de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a aplastar errores de seguridad comunes en el código... especialmente cuando ese código puede conducir al control de acceso remoto del vehículo de alguien, o algo peor.
Tournament perspectivas sobre la vulnerabilidad y los factores de riesgo basados en las competencias
El ASRG tournament y las iniciativas de formación se centraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:

Después de miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de atención deben seguir siendo el control de acceso, el almacenamiento de datos sensibles y, como prioridad, las vulnerabilidades de corrupción de memoria. Esta última es un potencial exploit conocido no solo en los vehículos ultraconectados, sino en muchos otros dispositivos IoT.
Un fallo de este tipo fue descubierto recientemente por el Equipo de Experiencia del Cliente Assessment & Penetration Team (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, dejándolos vulnerables a la corrupción de memoria hasta que se cree y aplique un parche. En estos tiempos de dispositivos con muchos sensores que recopilan datos en tiempo real de múltiples puntos del entorno, el botín podría ser importante para un atacante, incluso si no es posible el control remoto del dispositivo.
El equipo de ASRG ha creado unos recursos increíbles para los desarrolladores que necesitan actuar en el ámbito de la seguridad del automóvil, con su directorio de herramientas y soluciones probadas, su completa wiki y su potente comunidad global. Estas iniciativas de grupos independientes son lo que se necesita para impulsar el cambio a nivel popular, y su voluntad de probar cosas nuevas y forjar las bases de la concienciación sobre seguridad en sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión al invertir ahora en las mejores prácticas de codificación segura
Un estudio publicado por SAE International y el Software IntegrityGroup de Synopsys reveló que, en lo que se refiere a garantizar la seguridad de las tecnologías conectadas y protegerlas de las ciberamenazas existentes y emergentes, el sector de la automoción iba muy por detrás de muchos otros.
Se trata de una tendencia preocupante, pero no irreversible, sobre todo si tenemos en cuenta que organizaciones como ASRG luchan por mantener la seguridad en el primer plano de la industria, al tiempo que arrojan luz sobre las soluciones, herramientas y formación necesarias para que las empresas automovilísticas construyan un programa de seguridad blindado.
Su experiencia en la dirección de un sitio web muy atractivo y global Secure Code Warrior Tournament les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades para seguir aprendiendo, las estadísticas de precisión de los retos de codificación segura y las vulnerabilidades clave en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuál sería la rentabilidad estimada de transformar un programa de seguridad dentro de una organización, inculcando la concienciación y la acción en materia de seguridad desde el principio del SDLC? Veámoslo:
Para una empresa que identifique incluso un número modesto de vulnerabilidades anuales en sus auditorías de seguridad, los costes potenciales de detección y corrección pueden ser significativos. Y, dependiendo de en qué punto del proceso se revelen estos molestos fallos, el precio de la corrección puede aumentar drásticamente, incluso para las correcciones "sencillas": hasta treinta veces el coste de una corrección tardía, frente a una que se detectó y corrigió al principio.

Retorno de la inversión
Esta estimación de tres puntos muestra el impacto potencial, tanto financiero como diario, de tres ahorros diferentes que permite la formación,tournaments y la transformación cultural de SecureCode Warrior.

Ahorro potencial anual

Índice

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Kit de motivación para el liderazgo en ingeniería
¿Necesita ayuda para conseguir la aprobación de los responsables de ingeniería para su programa SCW? Este folleto proporciona las principales ventajas que le ayudarán a comunicar la importancia de su programa de codificación segura.
La potencia de OpenText Fortify + Secure Code Warrior
OpenText Fortify y Secure Code Warrior unen sus fuerzas para ayudar a las empresas a reducir riesgos, transformar a los desarrolladores en campeones de la seguridad y fomentar la confianza de los clientes. Más información aquí.
Recursos para empezar
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
OWASP Top 10 para aplicaciones LLM: Novedades, cambios y cómo mantenerse seguro
Manténgase a la vanguardia de la seguridad de las aplicaciones LLM con las últimas actualizaciones del Top 10 de OWASP. Descubra qué hay de nuevo, qué ha cambiado y cómo Secure Code Warrior le equipa con recursos de aprendizaje actualizados para mitigar los riesgos en la IA Generativa.
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.