在工業和消費環境中,通過連接設備聽到安全漏洞和黑客攻擊似乎很常見。我們從銷售安全解決方案(無論是硬件還是軟件)的供應商那里聽到的一個共同主題是,安全通常是嵌入式系統開發過程中的事后考慮,或者他們的設計團隊中沒有足夠的安全專業知識,特別是在擁有實施安全的正確知識和技能。
我們最近強調了物聯網 (IoT) 設備的安全性是如何被忽視的,盡管連接設備的巨大增長。正如幫助提高開發人員安全編碼技能的公司 Secure Code Warrior 的聯合創始人兼首席技術官 Matias Madou 最近指出的那樣,解決這個問題的一個關鍵部分是開發安全的嵌入式代碼。他評論說:“軟件就在我們身邊,我們很容易忘記我們是多么依賴代碼行來完成所有這些聰明的事情,這些事情為我們提供了如此多的創新和便利。就像基于 Web 的軟件、API 和移動設備一樣,如果嵌入式系統中的易受攻擊的代碼被攻擊者在野外發現,它就可以被利用。”
馬蒂亞斯·馬杜
他認為,就像所有其他類型的軟件一樣,物聯網設備中的代碼可能成為潛在的常見漏洞的溫床,這些漏洞在產品上線之前可能未被發現。他說:“開發人員不是安全專家,任何公司也不應該期望他們扮演這個角色,但他們可以配備更強大的武器庫來應對與他們相關的威脅。隨著我們的技術需求不斷發展,嵌入式系統(通常用 C 和 C++ 編寫)將得到更頻繁的使用,并且在這種環境中為開發人員提供有關工具的專門安全培訓至關重要。”
一個真實的例子是今年早些時候強調的配置服務器代碼漏洞,它可以對 Cosori 智能空氣炸鍋進行遠程代碼執行攻擊,這是一種支持 WiFi 的廚房電器,允許用戶遠程激活設備、查找食譜指南和通過移動應用程序監控烹飪狀態。風險在于威脅行為者可以遠程將溫度升高到危險水平。
代碼安全性至關重要的不僅僅是空氣炸鍋和連接 Wi-Fi 的設備。例如,車輛特別復雜,具有多個車載嵌入式系統來處理多種功能:從自動雨刷到發動機和制動功能的一切。除此之外,還有越來越多的通信技術,如 Wi-Fi、藍牙和 GPS;因此,聯網車輛代表了一個復雜的數字基礎設施,該基礎設施暴露于多種攻擊媒介。
麻豆強調,雖然 C 和 C++ 編程語言“按照今天的標準來看是老生常談”,但它們仍然廣泛用于當今大多數聯網設備中。他評論道:“盡管這些語言有著相當古老的根源——并且在注入缺陷和緩沖區溢出等常見問題方面表現出類似的漏洞行為——但開發人員要想真正成功地緩解嵌入式系統中的安全漏洞,他們必須親身體驗“
為了滿足這一需求,Secure Code Warrior 為開發人員發布了新的培訓內容,讓他們能夠親身體驗汽車、醫療和國防行業常用的嵌入式 C 和 C++ 語言的代碼漏洞。該公司已將其添加到其學習平臺中,允許使用嵌入式系統的組織提高他們的開發人員群體的技能,幫助他們在日常任務中安全地編碼。
該平臺符合 MISRA 等關鍵嵌入式系統安全組織詳細說明的指導方針,以實現現實世界的安全編碼技能,并從開發過程的一開始就將軟件安全放在首位。
麻豆說:“從聯網的冰箱和烤面包機到我們駕駛的汽車,一切都是由嵌入式系統驅動的。如果該軟件易受攻擊且可能被利用可能會造成災難性的后果,我們很高興能夠提供實用的、真正的解決方案來減少這些應用程序編碼時的漏洞。開發人員是使用高質量、安全代碼構建出色軟件的關鍵,他們需要被授權這樣做。”
除了一系列旨在開發人員體驗和建立積極安全文化的安全工具外,Secure Code Warrior 的嵌入式系統模塊現已上市。“我們已經幫助世界各地的組織利用我們的旗艦學習平臺為他們的安全技術開發人員提供支持,我們相信這是開發人員近距離接觸嵌入式系統安全的最全面的解決方案,”麻豆總結道。
審核編輯 黃昊宇
-
嵌入式
+關注
關注
5082文章
19111瀏覽量
304882 -
編碼
+關注
關注
6文章
942瀏覽量
54816 -
軟件安全
+關注
關注
0文章
23瀏覽量
9199
發布評論請先 登錄
相關推薦
評論