Cuando las microondas avanzadas fallan: por qué la seguridad de los sistemas integrados se convierte en el próximo gran reto para los desarrolladores.
En la cultura pop hay muchas referencias a IA malvada, robots y electrodomésticos que atacan a sus dueños humanos. Aunque la ciencia ficción y la fantasía están profundamente arraigadas,a medida que el IoT y los dispositivos conectados se extienden por los hogares, también debería extenderse el debate sobre la ciberseguridad y la seguridad. El software está presente en todos los aspectos de nuestra vida y tendemos a olvidar lo mucho que dependemos de las líneas de código para llevar a cabo todas esas cosas ingeniosas que nos aportan innovación y comodidad. Al igual que el software basado en web, las API y los dispositivos móviles, el código vulnerable de los sistemas integrados puede ser explotado por los atacantes si lo descubren.
Aunque es poco probable que un ejército de microondas esclavice a la humanidad (aunque Teslabot me preocupa un poco), sigue existiendo la posibilidad de que se produzcan ciberataques maliciosos como resultado de ciberataques. Algunos de nuestros automóviles, aviones y dispositivos médicos dependen de códigos de sistemas integrados complejos para realizar tareas importantes, por lo que la posibilidad de que estos objetos sean vulnerables no solo es preocupante, sino que también puede poner en peligro la vida.
Al igual que con otros tipos de software disponibles en el mercado, los desarrolladores entran en contacto con el código al inicio de la fase de creación. Y, al igual que con todos los demás tipos de software, este código también puede convertirse en un foco de vulnerabilidades ocultas y comunes que podrían pasar desapercibidas antes de que el producto se lance al mercado.
Los desarrolladores no son expertos en seguridad, por lo que ninguna empresa debería esperar que desempeñen esa función. Sin embargo, los desarrolladores pueden adquirir armas mucho más poderosas para hacer frente a los tipos de amenazas que les afectan. A medida que las necesidades tecnológicas siguen evolucionando, los sistemas integrados (normalmente escritos en C o C++) se utilizan con mayor frecuencia, por lo que es imprescindible que los desarrolladores reciban formación especializada en seguridad sobre las herramientas de este entorno.
Una freidora que explota, un vehículo malvado... ¿Es un pato el que está sentado?
Sin embargo, para garantizar nuestra seguridad, es necesario lograr avances más precisos y significativos en todo tipo de seguridad de software, más allá de las normas y regulaciones existentes sobre desarrollo seguro. Puede parecer descabellado pensar en los problemas que podría causar el hackeo de un Air Fryer, pero lo mismo ocurre con la vulnerabilidad que permite el secuestro de un vehículo mediante un ataque de ejecución remota de código (que permite al atacante elevar la temperatura a niveles peligrosos).
Los vehículos son especialmente complejos, ya que incorporan múltiples sistemas integrados, cada uno de los cuales gestiona todo tipo de funciones minuciosas, desde los limpiaparabrisas automáticos hasta el motor y los frenos. Los vehículos conectados, que se entrelazan con una pila de tecnologías de comunicación en constante crecimiento, como Wi-Fi, Bluetooth y GPS, se han convertido en una infraestructura digital compleja expuesta a múltiples vectores de ataque. se prevé que en 2023 habrá 76,3 millones de vehículos conectados circulando por las carreteras de todo el mundo, lo que supone un reto para la seguridad.
Misra es una organización líder que promueve la seguridad, la fiabilidad y la portabilidad del código en los sistemas integrados mediante la elaboración de directrices y la lucha activa contra las amenazas que afectan a estos sistemas. Estas directrices son la guía que todas las empresas deben seguir en sus proyectos de sistemas integrados.
Sin embargo, para crear y ejecutar código que cumpla con este estándar de oro, es necesario contar con ingenieros de sistemas integrados que no solo sean conscientes de la seguridad, sino que también confíen en las herramientas que utilizan.
¿Por qué es tan concreto el aumento de las habilidades de seguridad de los sistemas integrados?
Los lenguajes de programación C y C++ son lenguajes antiguos según los estándares actuales, pero siguen siendo muy utilizados. El C/C++ integrado constituye el núcleo funcional de la base de código de los sistemas integrados, y el C/C++ integrado sigue teniendo una vida moderna y brillante como parte del mundo de los dispositivos conectados.
Estos lenguajes tienen raíces bastante antiguas y muestran un comportamiento de vulnerabilidad similar en lo que respecta a problemas comunes como los fallos de inyección y el desbordamiento del búfer, pero para que los desarrolladores puedan reducir realmente los errores de seguridad de los sistemas integrados, deben utilizar código que imite su entorno de trabajo.La formación general en C en las prácticas de seguridad habituales no es tan eficaz ni memorable como dedicar tiempo y esfuerzo adicionales al trabajo en contextos C integrados.
Los vehículos modernos incorporan entre varias decenas y más de cien sistemas integrados, por lo que es esencial que los desarrolladores reciban una formación precisa sobre qué deben buscar en el IDE y cómo deben realizar las correcciones.
Proteger el sistema integrado desde el primer piso es responsabilidad de todos.
En muchas organizaciones, al menos en lo que respecta a las responsabilidades de los desarrolladores, la velocidad de desarrollo tiene prioridad sobre la seguridad. Rara vez se valora la capacidad de crear código seguro, sino que el estándar de oro es desarrollar rápidamente funciones excelentes. La demanda de software no deja de aumentar, pero esta cultura es la causa de que perdamos la batalla contra las vulnerabilidades y los ciberataques que estas provocan.
Aunque los desarrolladores no hayan recibido formación, no es culpa suya, sino que alguien del equipo de AppSec debe ayudar a suplir esa carencia recomendando a toda la comunidad de desarrolladores un programa de mejora de habilidades adecuado y accesible (por supuesto, evaluable). En las primeras fases de un proyecto de desarrollo de software, la seguridad debe ser una prioridad absoluta y todos, especialmente los desarrolladores, deben recibir lo necesario para desempeñar su función.
Experimentar de primera mano los problemas de seguridad de los sistemas integrados.
El desbordamiento del búfer, los defectos de inyección y los errores de lógica empresarial son todos ellos errores comunes en el desarrollo de sistemas integrados. Si se ocultan en lo más profundo del laberinto de un microcontrolador instalado en un vehículo o dispositivo, pueden provocar una catástrofe desde el punto de vista de la seguridad.
Los desbordamientos de búfer son especialmente frecuentes. Si desea obtener más información sobre cómo se vio expuesto a peligro el AirFlyer (que permite la ejecución remota de código), consulte el siguiente informe sobre CVE-2020-28592.
Entonces, veamos cómo funciona realmente la vulnerabilidad de desbordamiento de búfer en el código C/C++ integrado. Juega a este desafío y comprueba si puedes encontrar, identificar y corregir el patrón de codificación deficiente que causa este molesto error.
.png)
¿Qué tal? Visita www.securecodewarrior.com Impartimos formación precisa y eficaz sobre la seguridad de los sistemas integrados.
Al igual que el software basado en web, las API y los dispositivos móviles, el código vulnerable de los sistemas integrados puede ser explotado por los atacantes si lo descubren.
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
En la cultura pop hay muchas referencias a IA malvada, robots y electrodomésticos que atacan a sus dueños humanos. Aunque la ciencia ficción y la fantasía están profundamente arraigadas,a medida que el IoT y los dispositivos conectados se extienden por los hogares, también debería extenderse el debate sobre la ciberseguridad y la seguridad. El software está presente en todos los aspectos de nuestra vida y tendemos a olvidar lo mucho que dependemos de las líneas de código para llevar a cabo todas esas cosas ingeniosas que nos aportan innovación y comodidad. Al igual que el software basado en web, las API y los dispositivos móviles, el código vulnerable de los sistemas integrados puede ser explotado por los atacantes si lo descubren.
Aunque es poco probable que un ejército de microondas esclavice a la humanidad (aunque Teslabot me preocupa un poco), sigue existiendo la posibilidad de que se produzcan ciberataques maliciosos como resultado de ciberataques. Algunos de nuestros automóviles, aviones y dispositivos médicos dependen de códigos de sistemas integrados complejos para realizar tareas importantes, por lo que la posibilidad de que estos objetos sean vulnerables no solo es preocupante, sino que también puede poner en peligro la vida.
Al igual que con otros tipos de software disponibles en el mercado, los desarrolladores entran en contacto con el código al inicio de la fase de creación. Y, al igual que con todos los demás tipos de software, este código también puede convertirse en un foco de vulnerabilidades ocultas y comunes que podrían pasar desapercibidas antes de que el producto se lance al mercado.
Los desarrolladores no son expertos en seguridad, por lo que ninguna empresa debería esperar que desempeñen esa función. Sin embargo, los desarrolladores pueden adquirir armas mucho más poderosas para hacer frente a los tipos de amenazas que les afectan. A medida que las necesidades tecnológicas siguen evolucionando, los sistemas integrados (normalmente escritos en C o C++) se utilizan con mayor frecuencia, por lo que es imprescindible que los desarrolladores reciban formación especializada en seguridad sobre las herramientas de este entorno.
Una freidora que explota, un vehículo malvado... ¿Es un pato el que está sentado?
Sin embargo, para garantizar nuestra seguridad, es necesario lograr avances más precisos y significativos en todo tipo de seguridad de software, más allá de las normas y regulaciones existentes sobre desarrollo seguro. Puede parecer descabellado pensar en los problemas que podría causar el hackeo de un Air Fryer, pero lo mismo ocurre con la vulnerabilidad que permite el secuestro de un vehículo mediante un ataque de ejecución remota de código (que permite al atacante elevar la temperatura a niveles peligrosos).
Los vehículos son especialmente complejos, ya que incorporan múltiples sistemas integrados, cada uno de los cuales gestiona todo tipo de funciones minuciosas, desde los limpiaparabrisas automáticos hasta el motor y los frenos. Los vehículos conectados, que se entrelazan con una pila de tecnologías de comunicación en constante crecimiento, como Wi-Fi, Bluetooth y GPS, se han convertido en una infraestructura digital compleja expuesta a múltiples vectores de ataque. se prevé que en 2023 habrá 76,3 millones de vehículos conectados circulando por las carreteras de todo el mundo, lo que supone un reto para la seguridad.
Misra es una organización líder que promueve la seguridad, la fiabilidad y la portabilidad del código en los sistemas integrados mediante la elaboración de directrices y la lucha activa contra las amenazas que afectan a estos sistemas. Estas directrices son la guía que todas las empresas deben seguir en sus proyectos de sistemas integrados.
Sin embargo, para crear y ejecutar código que cumpla con este estándar de oro, es necesario contar con ingenieros de sistemas integrados que no solo sean conscientes de la seguridad, sino que también confíen en las herramientas que utilizan.
¿Por qué es tan concreto el aumento de las habilidades de seguridad de los sistemas integrados?
Los lenguajes de programación C y C++ son lenguajes antiguos según los estándares actuales, pero siguen siendo muy utilizados. El C/C++ integrado constituye el núcleo funcional de la base de código de los sistemas integrados, y el C/C++ integrado sigue teniendo una vida moderna y brillante como parte del mundo de los dispositivos conectados.
Estos lenguajes tienen raíces bastante antiguas y muestran un comportamiento de vulnerabilidad similar en lo que respecta a problemas comunes como los fallos de inyección y el desbordamiento del búfer, pero para que los desarrolladores puedan reducir realmente los errores de seguridad de los sistemas integrados, deben utilizar código que imite su entorno de trabajo.La formación general en C en las prácticas de seguridad habituales no es tan eficaz ni memorable como dedicar tiempo y esfuerzo adicionales al trabajo en contextos C integrados.
Los vehículos modernos incorporan entre varias decenas y más de cien sistemas integrados, por lo que es esencial que los desarrolladores reciban una formación precisa sobre qué deben buscar en el IDE y cómo deben realizar las correcciones.
Proteger el sistema integrado desde el primer piso es responsabilidad de todos.
En muchas organizaciones, al menos en lo que respecta a las responsabilidades de los desarrolladores, la velocidad de desarrollo tiene prioridad sobre la seguridad. Rara vez se valora la capacidad de crear código seguro, sino que el estándar de oro es desarrollar rápidamente funciones excelentes. La demanda de software no deja de aumentar, pero esta cultura es la causa de que perdamos la batalla contra las vulnerabilidades y los ciberataques que estas provocan.
Aunque los desarrolladores no hayan recibido formación, no es culpa suya, sino que alguien del equipo de AppSec debe ayudar a suplir esa carencia recomendando a toda la comunidad de desarrolladores un programa de mejora de habilidades adecuado y accesible (por supuesto, evaluable). En las primeras fases de un proyecto de desarrollo de software, la seguridad debe ser una prioridad absoluta y todos, especialmente los desarrolladores, deben recibir lo necesario para desempeñar su función.
Experimentar de primera mano los problemas de seguridad de los sistemas integrados.
El desbordamiento del búfer, los defectos de inyección y los errores de lógica empresarial son todos ellos errores comunes en el desarrollo de sistemas integrados. Si se ocultan en lo más profundo del laberinto de un microcontrolador instalado en un vehículo o dispositivo, pueden provocar una catástrofe desde el punto de vista de la seguridad.
Los desbordamientos de búfer son especialmente frecuentes. Si desea obtener más información sobre cómo se vio expuesto a peligro el AirFlyer (que permite la ejecución remota de código), consulte el siguiente informe sobre CVE-2020-28592.
Entonces, veamos cómo funciona realmente la vulnerabilidad de desbordamiento de búfer en el código C/C++ integrado. Juega a este desafío y comprueba si puedes encontrar, identificar y corregir el patrón de codificación deficiente que causa este molesto error.
¿Qué tal? Visita www.securecodewarrior.com Impartimos formación precisa y eficaz sobre la seguridad de los sistemas integrados.
En la cultura pop hay muchas referencias a IA malvada, robots y electrodomésticos que atacan a sus dueños humanos. Aunque la ciencia ficción y la fantasía están profundamente arraigadas,a medida que el IoT y los dispositivos conectados se extienden por los hogares, también debería extenderse el debate sobre la ciberseguridad y la seguridad. El software está presente en todos los aspectos de nuestra vida y tendemos a olvidar lo mucho que dependemos de las líneas de código para llevar a cabo todas esas cosas ingeniosas que nos aportan innovación y comodidad. Al igual que el software basado en web, las API y los dispositivos móviles, el código vulnerable de los sistemas integrados puede ser explotado por los atacantes si lo descubren.
Aunque es poco probable que un ejército de microondas esclavice a la humanidad (aunque Teslabot me preocupa un poco), sigue existiendo la posibilidad de que se produzcan ciberataques maliciosos como resultado de ciberataques. Algunos de nuestros automóviles, aviones y dispositivos médicos dependen de códigos de sistemas integrados complejos para realizar tareas importantes, por lo que la posibilidad de que estos objetos sean vulnerables no solo es preocupante, sino que también puede poner en peligro la vida.
Al igual que con otros tipos de software disponibles en el mercado, los desarrolladores entran en contacto con el código al inicio de la fase de creación. Y, al igual que con todos los demás tipos de software, este código también puede convertirse en un foco de vulnerabilidades ocultas y comunes que podrían pasar desapercibidas antes de que el producto se lance al mercado.
Los desarrolladores no son expertos en seguridad, por lo que ninguna empresa debería esperar que desempeñen esa función. Sin embargo, los desarrolladores pueden adquirir armas mucho más poderosas para hacer frente a los tipos de amenazas que les afectan. A medida que las necesidades tecnológicas siguen evolucionando, los sistemas integrados (normalmente escritos en C o C++) se utilizan con mayor frecuencia, por lo que es imprescindible que los desarrolladores reciban formación especializada en seguridad sobre las herramientas de este entorno.
Una freidora que explota, un vehículo malvado... ¿Es un pato el que está sentado?
Sin embargo, para garantizar nuestra seguridad, es necesario lograr avances más precisos y significativos en todo tipo de seguridad de software, más allá de las normas y regulaciones existentes sobre desarrollo seguro. Puede parecer descabellado pensar en los problemas que podría causar el hackeo de un Air Fryer, pero lo mismo ocurre con la vulnerabilidad que permite el secuestro de un vehículo mediante un ataque de ejecución remota de código (que permite al atacante elevar la temperatura a niveles peligrosos).
Los vehículos son especialmente complejos, ya que incorporan múltiples sistemas integrados, cada uno de los cuales gestiona todo tipo de funciones minuciosas, desde los limpiaparabrisas automáticos hasta el motor y los frenos. Los vehículos conectados, que se entrelazan con una pila de tecnologías de comunicación en constante crecimiento, como Wi-Fi, Bluetooth y GPS, se han convertido en una infraestructura digital compleja expuesta a múltiples vectores de ataque. se prevé que en 2023 habrá 76,3 millones de vehículos conectados circulando por las carreteras de todo el mundo, lo que supone un reto para la seguridad.
Misra es una organización líder que promueve la seguridad, la fiabilidad y la portabilidad del código en los sistemas integrados mediante la elaboración de directrices y la lucha activa contra las amenazas que afectan a estos sistemas. Estas directrices son la guía que todas las empresas deben seguir en sus proyectos de sistemas integrados.
Sin embargo, para crear y ejecutar código que cumpla con este estándar de oro, es necesario contar con ingenieros de sistemas integrados que no solo sean conscientes de la seguridad, sino que también confíen en las herramientas que utilizan.
¿Por qué es tan concreto el aumento de las habilidades de seguridad de los sistemas integrados?
Los lenguajes de programación C y C++ son lenguajes antiguos según los estándares actuales, pero siguen siendo muy utilizados. El C/C++ integrado constituye el núcleo funcional de la base de código de los sistemas integrados, y el C/C++ integrado sigue teniendo una vida moderna y brillante como parte del mundo de los dispositivos conectados.
Estos lenguajes tienen raíces bastante antiguas y muestran un comportamiento de vulnerabilidad similar en lo que respecta a problemas comunes como los fallos de inyección y el desbordamiento del búfer, pero para que los desarrolladores puedan reducir realmente los errores de seguridad de los sistemas integrados, deben utilizar código que imite su entorno de trabajo.La formación general en C en las prácticas de seguridad habituales no es tan eficaz ni memorable como dedicar tiempo y esfuerzo adicionales al trabajo en contextos C integrados.
Los vehículos modernos incorporan entre varias decenas y más de cien sistemas integrados, por lo que es esencial que los desarrolladores reciban una formación precisa sobre qué deben buscar en el IDE y cómo deben realizar las correcciones.
Proteger el sistema integrado desde el primer piso es responsabilidad de todos.
En muchas organizaciones, al menos en lo que respecta a las responsabilidades de los desarrolladores, la velocidad de desarrollo tiene prioridad sobre la seguridad. Rara vez se valora la capacidad de crear código seguro, sino que el estándar de oro es desarrollar rápidamente funciones excelentes. La demanda de software no deja de aumentar, pero esta cultura es la causa de que perdamos la batalla contra las vulnerabilidades y los ciberataques que estas provocan.
Aunque los desarrolladores no hayan recibido formación, no es culpa suya, sino que alguien del equipo de AppSec debe ayudar a suplir esa carencia recomendando a toda la comunidad de desarrolladores un programa de mejora de habilidades adecuado y accesible (por supuesto, evaluable). En las primeras fases de un proyecto de desarrollo de software, la seguridad debe ser una prioridad absoluta y todos, especialmente los desarrolladores, deben recibir lo necesario para desempeñar su función.
Experimentar de primera mano los problemas de seguridad de los sistemas integrados.
El desbordamiento del búfer, los defectos de inyección y los errores de lógica empresarial son todos ellos errores comunes en el desarrollo de sistemas integrados. Si se ocultan en lo más profundo del laberinto de un microcontrolador instalado en un vehículo o dispositivo, pueden provocar una catástrofe desde el punto de vista de la seguridad.
Los desbordamientos de búfer son especialmente frecuentes. Si desea obtener más información sobre cómo se vio expuesto a peligro el AirFlyer (que permite la ejecución remota de código), consulte el siguiente informe sobre CVE-2020-28592.
Entonces, veamos cómo funciona realmente la vulnerabilidad de desbordamiento de búfer en el código C/C++ integrado. Juega a este desafío y comprueba si puedes encontrar, identificar y corregir el patrón de codificación deficiente que causa este molesto error.
¿Qué tal? Visita www.securecodewarrior.com Impartimos formación precisa y eficaz sobre la seguridad de los sistemas integrados.
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
En la cultura pop hay muchas referencias a IA malvada, robots y electrodomésticos que atacan a sus dueños humanos. Aunque la ciencia ficción y la fantasía están profundamente arraigadas,a medida que el IoT y los dispositivos conectados se extienden por los hogares, también debería extenderse el debate sobre la ciberseguridad y la seguridad. El software está presente en todos los aspectos de nuestra vida y tendemos a olvidar lo mucho que dependemos de las líneas de código para llevar a cabo todas esas cosas ingeniosas que nos aportan innovación y comodidad. Al igual que el software basado en web, las API y los dispositivos móviles, el código vulnerable de los sistemas integrados puede ser explotado por los atacantes si lo descubren.
Aunque es poco probable que un ejército de microondas esclavice a la humanidad (aunque Teslabot me preocupa un poco), sigue existiendo la posibilidad de que se produzcan ciberataques maliciosos como resultado de ciberataques. Algunos de nuestros automóviles, aviones y dispositivos médicos dependen de códigos de sistemas integrados complejos para realizar tareas importantes, por lo que la posibilidad de que estos objetos sean vulnerables no solo es preocupante, sino que también puede poner en peligro la vida.
Al igual que con otros tipos de software disponibles en el mercado, los desarrolladores entran en contacto con el código al inicio de la fase de creación. Y, al igual que con todos los demás tipos de software, este código también puede convertirse en un foco de vulnerabilidades ocultas y comunes que podrían pasar desapercibidas antes de que el producto se lance al mercado.
Los desarrolladores no son expertos en seguridad, por lo que ninguna empresa debería esperar que desempeñen esa función. Sin embargo, los desarrolladores pueden adquirir armas mucho más poderosas para hacer frente a los tipos de amenazas que les afectan. A medida que las necesidades tecnológicas siguen evolucionando, los sistemas integrados (normalmente escritos en C o C++) se utilizan con mayor frecuencia, por lo que es imprescindible que los desarrolladores reciban formación especializada en seguridad sobre las herramientas de este entorno.
Una freidora que explota, un vehículo malvado... ¿Es un pato el que está sentado?
Sin embargo, para garantizar nuestra seguridad, es necesario lograr avances más precisos y significativos en todo tipo de seguridad de software, más allá de las normas y regulaciones existentes sobre desarrollo seguro. Puede parecer descabellado pensar en los problemas que podría causar el hackeo de un Air Fryer, pero lo mismo ocurre con la vulnerabilidad que permite el secuestro de un vehículo mediante un ataque de ejecución remota de código (que permite al atacante elevar la temperatura a niveles peligrosos).
Los vehículos son especialmente complejos, ya que incorporan múltiples sistemas integrados, cada uno de los cuales gestiona todo tipo de funciones minuciosas, desde los limpiaparabrisas automáticos hasta el motor y los frenos. Los vehículos conectados, que se entrelazan con una pila de tecnologías de comunicación en constante crecimiento, como Wi-Fi, Bluetooth y GPS, se han convertido en una infraestructura digital compleja expuesta a múltiples vectores de ataque. se prevé que en 2023 habrá 76,3 millones de vehículos conectados circulando por las carreteras de todo el mundo, lo que supone un reto para la seguridad.
Misra es una organización líder que promueve la seguridad, la fiabilidad y la portabilidad del código en los sistemas integrados mediante la elaboración de directrices y la lucha activa contra las amenazas que afectan a estos sistemas. Estas directrices son la guía que todas las empresas deben seguir en sus proyectos de sistemas integrados.
Sin embargo, para crear y ejecutar código que cumpla con este estándar de oro, es necesario contar con ingenieros de sistemas integrados que no solo sean conscientes de la seguridad, sino que también confíen en las herramientas que utilizan.
¿Por qué es tan concreto el aumento de las habilidades de seguridad de los sistemas integrados?
Los lenguajes de programación C y C++ son lenguajes antiguos según los estándares actuales, pero siguen siendo muy utilizados. El C/C++ integrado constituye el núcleo funcional de la base de código de los sistemas integrados, y el C/C++ integrado sigue teniendo una vida moderna y brillante como parte del mundo de los dispositivos conectados.
Estos lenguajes tienen raíces bastante antiguas y muestran un comportamiento de vulnerabilidad similar en lo que respecta a problemas comunes como los fallos de inyección y el desbordamiento del búfer, pero para que los desarrolladores puedan reducir realmente los errores de seguridad de los sistemas integrados, deben utilizar código que imite su entorno de trabajo.La formación general en C en las prácticas de seguridad habituales no es tan eficaz ni memorable como dedicar tiempo y esfuerzo adicionales al trabajo en contextos C integrados.
Los vehículos modernos incorporan entre varias decenas y más de cien sistemas integrados, por lo que es esencial que los desarrolladores reciban una formación precisa sobre qué deben buscar en el IDE y cómo deben realizar las correcciones.
Proteger el sistema integrado desde el primer piso es responsabilidad de todos.
En muchas organizaciones, al menos en lo que respecta a las responsabilidades de los desarrolladores, la velocidad de desarrollo tiene prioridad sobre la seguridad. Rara vez se valora la capacidad de crear código seguro, sino que el estándar de oro es desarrollar rápidamente funciones excelentes. La demanda de software no deja de aumentar, pero esta cultura es la causa de que perdamos la batalla contra las vulnerabilidades y los ciberataques que estas provocan.
Aunque los desarrolladores no hayan recibido formación, no es culpa suya, sino que alguien del equipo de AppSec debe ayudar a suplir esa carencia recomendando a toda la comunidad de desarrolladores un programa de mejora de habilidades adecuado y accesible (por supuesto, evaluable). En las primeras fases de un proyecto de desarrollo de software, la seguridad debe ser una prioridad absoluta y todos, especialmente los desarrolladores, deben recibir lo necesario para desempeñar su función.
Experimentar de primera mano los problemas de seguridad de los sistemas integrados.
El desbordamiento del búfer, los defectos de inyección y los errores de lógica empresarial son todos ellos errores comunes en el desarrollo de sistemas integrados. Si se ocultan en lo más profundo del laberinto de un microcontrolador instalado en un vehículo o dispositivo, pueden provocar una catástrofe desde el punto de vista de la seguridad.
Los desbordamientos de búfer son especialmente frecuentes. Si desea obtener más información sobre cómo se vio expuesto a peligro el AirFlyer (que permite la ejecución remota de código), consulte el siguiente informe sobre CVE-2020-28592.
Entonces, veamos cómo funciona realmente la vulnerabilidad de desbordamiento de búfer en el código C/C++ integrado. Juega a este desafío y comprueba si puedes encontrar, identificar y corregir el patrón de codificación deficiente que causa este molesto error.
¿Qué tal? Visita www.securecodewarrior.com Impartimos formación precisa y eficaz sobre la seguridad de los sistemas integrados.
Índice
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
