API on Wheels : Un voyage rempli de vulnérabilités de sécurité
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Laisser la sécurité des API au hasard est un moyen infaillible de provoquer des problèmes ultérieurs qui, dans le pire des cas, peuvent avoir des conséquences désastreuses et, dans le meilleur des cas, entraîner des retouches frustrantes et de mauvaises performances.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
