El impulso de ASRG a favor de la seguridad del software automotriz
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Explore este completo estudio de caso para obtener más información sobre cómo utilizaron los torneos de Secure Code Warrior para involucrar a los desarrolladores, aumentar la conciencia sobre las principales vulnerabilidades que afectan al software automotriz y obtener métricas en varios idiomas y marcos.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
¿Está interesado en probar Secure Code Warrior aún no tiene una cuenta? Regístrese hoy mismo para obtener una cuenta de prueba gratuita y empezar.
Pruébalo ahoraTournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Tabla de contenido
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
