El impulso de ASRG a favor de la seguridad del software automotriz
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Explore este completo estudio de caso para obtener más información sobre cómo utilizaron los torneos de Secure Code Warrior para involucrar a los desarrolladores, aumentar la conciencia sobre las principales vulnerabilidades que afectan al software automotriz y obtener métricas en varios idiomas y marcos.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Souhaitez-vous essayer Secure Code Warrior vous n'avez pas encore de compte ? Inscrivez-vous dès aujourd'hui pour obtenir un compte d'essai gratuit et commencer.
Veuillez l'essayer dès maintenant.Tournament Torque: el impulso de ASRG a favor de la seguridad del software automotriz
El Grupo de Investigación de Seguridad Automotriz es una organización sin fines de lucro dedicada a crear conciencia y apoyar el desarrollo de la seguridad para la industria automotriz, con un enfoque en encontrar y promover soluciones que hagan que los productos automotrices sean más seguros y protegidos. Por el momento, esta industria está cambiando y atravesando la próxima revolución hacia vehículos conectados, autónomos, compartidos, electrificados y definidos por software. A medida que nos adentramos en este nuevo y desafiante mundo tecnológico para la industria, en el que cada vez dependemos cada vez más del software que impulsa los vehículos y las aplicaciones ecosistémicas, organizaciones como ASRG desempeñan un papel clave a la hora de llamar la atención sobre la seguridad del software en la industria automotriz y defenderla.
Esta toma de conciencia y, lo que es más importante, que los fabricantes actúen en consecuencia, será crucial a medida que los posibles vectores de ataque y el riesgo cibernético se expandan con la creciente adopción de nuevas tecnologías de vehículos en el mercado de consumo. El FBI advirtió recientemente sobre atacantes que tienen como objetivo la industria automotriz estadounidense, y la gran mayoría de las infracciones son el resultado de datos confidenciales no cifrados. Esto, sumado a ataques como el uso de la fuerza bruta en bases de datos mal configuradas, podría tener consecuencias enormes y potencialmente letales. Como parte de su investigación sobre soluciones y herramientas que ayuden a configurar y mantener los estándares de seguridad del software en los productos de automoción, el equipo de ASRG probó la plataforma de Secure Code Warrior, es decir, la función de torneos. Diseñado específicamente para atraer a los desarrolladores a través de una competencia amistosa y gamificada, aumentar su conciencia de seguridad y ayudar a perfeccionar sus habilidades de codificación segura, ASRG analizó cómo Secure Code Warrior podría despertar el interés de los desarrolladores por la seguridad, enseñarles las habilidades necesarias para detener las vulnerabilidades comunes que afectan al software de automoción y abrir las puertas a riesgos inaceptables.
¿Dónde están los vectores de ataque típicos en el software de automoción?
Al analizar las posibles vías para que los atacantes accedan al software automotriz, existen muchas posibilidades, como se detalla en Informe completo de Allot.
Por mucho que se preocupen por la seguridad, los desarrolladores no pueden ayudar a defenderse de todos ellos (ni se debe esperar que lo hagan, ¡los especialistas en AppSec existen por algo!) pero hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave, por ejemplo:
Hay muchas puertas traseras comunes que los ingenieros expertos pueden cerrar en su código antes de que se conviertan en un problema grave.
¿Qué tan grave es la situación de un vehículo comprometido?
Es bastante obvio para la persona promedio que la mayoría de los vehículos no son 100% seguros y que se asume un elemento de riesgo al usarlos. El mal funcionamiento de los vehículos de motor, los accidentes, la conducción en estado de ebriedad... todo esto conlleva un desenlace potencialmente mortal para el usuario de la carretera.
Pero, ¿y si ese catastrófico mal funcionamiento del vehículo se produjera realmente de forma remota, como resultado de un ciberataque particularmente malicioso? Hace tiempo que se viene sugiriendo que el mundo se tomará en serio la ciberseguridad cuando las consecuencias pongan en peligro la vida, pero la realidad es que ya estamos en ese terreno y, sin intervención, la situación no hará más que agravarse a partir de ahora.
En 2015, investigadores de seguridad «mataron» con éxito el motor de un Jeep Cherokee mientras conducía por una autopista; utilizando un conocido exploit de día cero en el software del sistema, podían controlar de forma inalámbrica el aire acondicionado, la radio, la dirección, los frenos y la transmisión. Aunque era peligroso, se trataba de un experimento contenido, pero demostró el control letal que un atacante podía tener sobre un vehículo y sus ocupantes. Desde este suceso, millones de vehículos conectados han salido a nuestras carreteras, cada uno de los cuales representa millones de líneas de código que deben protegerse.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana. Existe una necesidad urgente de que los desarrolladores de software de la industria automotriz compartan la responsabilidad en materia de seguridad, y ASRG es el centro comunitario en el que muchos confían para obtener los últimos conocimientos, herramientas, recomendaciones de pares y apoyo en materia de seguridad. Su torneo mundial Secure Code Warrior pretendía atraer, evaluar e inspirar a más de 100 desarrolladores que representan a las divisiones de ASRG de todo el mundo. Al participar en una competición amistosa y una formación, buscaron resolver los desafíos de codificación segura que estaban directamente relacionados con los problemas a los que se enfrentaba el software que prevalece en su sector.
La tecnología de vehículos autónomos (y su adopción) avanza a un ritmo vertiginoso, y esto puede tener como consecuencia una enorme presión para sus creadores, especialmente para los equipos responsables de lanzar el código que impulsa las comodidades del mañana.
Los datos y las cifras de los torneos y las pruebas de entrenamiento
Esto es un indicio de un gran compromiso y un deseo de seguir jugando, ambos subproductos inmensamente beneficiosos de las técnicas de gamificación en la formación y la educación.
Los entrenamientos y los torneos se pueden jugar en los lenguajes y marcos que desee cada desarrollador individual, garantizando que los desafíos sean muy relevantes y utilizando código del mundo real con el que se encontraría en el trabajo diario. Este enfoque contextual y reducido del aprendizaje garantiza una entrega rápida del contenido más importante para resolver los problemas más frecuentes en el SDLC de la organización.
El perfil de desarrollador más común entre los participantes
Otros hallazgos importantes:
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por idioma
Torneo mundial de codificación segura virtual ASRG: puntuación de código seguro por vulnerabilidad
Si bien todos los participantes demostraron cierto dominio de los idiomas y marcos que eligieron, no había ninguna área de vulnerabilidad que se considerara «100% segura» o dominada, y la puntuación media de precisión fue del 67%. No hay expectativas de que ningún desarrollador se convierta en un experto en seguridad, pero los torneos son una excelente manera de introducir estándares de seguridad, un punto de referencia de calidad y la responsabilidad de aprender a eliminar los errores de seguridad más comunes en el código, especialmente cuando ese código puede llevar al control de acceso remoto de el vehículo de alguien, o algo peor.
Información sobre los torneos sobre la vulnerabilidad y los factores de riesgo basados en la habilidad
El torneo ASRG y las iniciativas de entrenamiento se concentraron en algunas vulnerabilidades clave que afectan a los vehículos conectados, a saber:
Tras miles de minutos de formación y cientos de desafíos, se hizo evidente que las áreas claras de enfoque deberían seguir siendo el control de acceso, el almacenamiento de datos confidenciales y, con carácter prioritario, las vulnerabilidades de corrupción de la memoria. Esta última es una vulnerabilidad potencial conocida no solo en los vehículos ultraconectados, sino también en muchos otros dispositivos de IoT.
Tal bicho fue descubierto recientemente por el equipo de evaluación de la experiencia del cliente y penetración (CX APT) de Cisco en GNU Glibc, una biblioteca utilizada en los sistemas Linux ARMv7, lo que los deja vulnerables a la corrupción de la memoria hasta que se cree y aplique un parche. En estos tiempos en los que los dispositivos con muchos sensores recopilan datos en tiempo real desde varios puntos del entorno, el ataque puede resultar muy rentable para un atacante, incluso si no es posible controlar el dispositivo a distancia.
El equipo de ASRG ha creado recursos increíbles para los desarrolladores que necesitan trabajar en seguridad automotriz, con su directorio de herramientas y soluciones probadas, una wiki completa y una poderosa comunidad global. Estas iniciativas grupales independientes son las que se necesitan para impulsar el cambio a nivel popular, y su disposición a probar cosas nuevas y a sentar las bases de una conciencia de seguridad entre sus miembros es un elemento poderoso para detener las vulnerabilidades recurrentes en dispositivos altamente sensibles.
Retorno de la inversión del gasto actual en mejores prácticas de codificación segura
Un estudio publicado por SAE International y Synopsys Software IntegrityGroup descubrió que, en términos de garantizar que las tecnologías conectadas estuvieran protegidas y protegidas de las ciberamenazas existentes y emergentes, la industria automotriz estaba significativamente a la zaga de muchas otras.
Es una tendencia preocupante, pero no irreversible, especialmente cuando organizaciones como ASRG luchan por mantener la seguridad como prioridad en la industria y, al mismo tiempo, arrojan luz sobre las soluciones, las herramientas y la educación que necesitan las empresas automotrices para crear un programa de seguridad férreo.
Su experiencia en la organización de un torneo global de Secure Code Warrior, altamente atractivo y global, les dio la oportunidad de identificar las principales áreas de riesgo dentro de una cohorte de desarrollo, las oportunidades de seguir aprendiendo, las estadísticas precisas de los desafíos de la codificación segura y las principales vulnerabilidades en las que centrarse, según las necesidades de la industria.
Entonces, ¿cuáles serían los beneficios estimados de la transformación de un programa de seguridad dentro de una organización, inculcando la conciencia y la acción en materia de seguridad desde el principio del SDLC? Vamos a echar un vistazo:
Para una empresa que identifica incluso una cantidad modesta de vulnerabilidades anuales en sus auditorías de seguridad, los posibles costos de detección y reparación pueden ser significativos. Además, según en qué etapa del proceso se descubran estos molestos errores, el precio de la corrección puede aumentar considerablemente, incluso en el caso de las soluciones «simples»: hasta treinta veces más que una solución en fase avanzada, en comparación con una que se encontró y solucionó al principio.
Retorno de la inversión
Esta estimación de tres puntos muestra el posible impacto financiero y diario de tres ahorros diferentes gracias a los entrenamientos, los torneos y la transformación cultural de SecureCode Warrior.
Posibles ahorros anuales
Table des matières
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
