“الترميز الآمن: خط الدفاع الأول في الأنظمة المدمجة”
هناك الكثير من إشارات ثقافة البوب إلى Rogue AI والروبوتات ، والأجهزة التي تحولت إلى أسيادهم البشريين. إنها أشياء من الخيال العلمي والمرح والخيال ، ولكن مع أن إنترنت الأشياء والأجهزة المتصلة أصبحت أكثر انتشارًا في منازلنا ، نحتاج إلى مزيد من النقاش حول الأمن السيبراني والسلامة.البرامج في كل مكان حولنا ، ومن السهل جدًا أن ننسى مدى الاعتماد على خطوط الكود للقيام بكل هذه الأشياء الذكية التي توفر لنا الكثير من الابتكار والراحة
متابعات-ميكسي نيوز
….هناك الكثير من إشارات ثقافة البوب إلى Rogue AI والروبوتات ، والأجهزة التي تحولت إلى أسيادهم البشريين.
إنها أشياء من الخيال العلمي والمرح والخيال ، ولكن مع أن إنترنت الأشياء والأجهزة المتصلة أصبحت أكثر انتشارًا في منازلنا ، نحتاج إلى مزيد من النقاش حول الأمن السيبراني والسلامة.
البرامج في كل مكان حولنا ، ومن السهل جدًا أن ننسى مدى الاعتماد على خطوط الكود للقيام بكل هذه الأشياء الذكية التي توفر لنا الكثير من الابتكار والراحة.
يشبه إلى حد كبير البرامج المستندة إلى الويب ، واجهات برمجة التطبيقات ، والأجهزة المحمولة ، يمكن استغلال التعليمات البرمجية الضعيفة في الأنظمة المدمجة إذا تم اكتشافها من قبل المهاجم.
على الرغم من أنه من غير المحتمل أن يأتي جيش من المحامص لاستعباد الجنس البشري (على الرغم من ذلك ، تيسلا بوت هو أمر يثير القلق قليلاً) كنتيجة للهجمات الإلكترونية ، لا تزال الأحداث الإلكترونية الخبيثة ممكنة.
تعتمد بعض سياراتنا وطائراتنا والأجهزة الطبية أيضًا على رمز الأنظمة المضمّن المعقدة لأداء المهام الرئيسية ، وربما يكون احتمال تعرض هذه الكائنات مهددًا للحياة.
مثل كل نوع آخر من البرامج هناك ، فإن المطورين هم من بين أول من وضع أيديهم على الرمز ، مباشرة في بداية مرحلة الإنشاء.
ومثل كل نوع آخر من البرامج ، يمكن أن يكون هذا هو أرض التكاثر لثغرات الضعف الشائعة التي يمكن أن يتم اكتشافها قبل أن يبدأ المنتج.
المطورين ليسوا خبراء أمن ، ولا ينبغي لأي شركة أن يتوقع منهم أن يلعبوا هذا الدور ، ولكن يمكن تجهيزهم بترسانة أقوى بكثير لمعالجة نوع التهديدات ذات الصلة بهم.
ستكون الأنظمة المدمجة – المكتوبة عادةً في C و C ++ – أكثر تكرارًا مع استمرار احتياجاتنا التقنية في النمو والتغيير ، والتدريب الأمني المتخصص للمطورين على الأدوات في هذه البيئة هو استراتيجية دفاعية أساسية ضد الهجمات الإلكترونية.
تنفجر المقايض الجوية ، والمركبات الضال … هل نحن في خطر حقيقي؟
بينما هناك بعض المعايير واللوائح حول أفضل ممارسات التطوير الآمن للحفاظ على سلامتنا ، نحتاج إلى جعل خطوات أكثر دقة وذات مغزى تجاه جميع أنواع أمن البرمجيات.
قد يبدو بعيد المنال للتفكير في مشكلة يمكن أن تحدثها شخص ما يخترق مقلاة جوية ، ولكن لقد حدث في شكل هجوم تنفيذ رمز عن بعد (السماح لممثل التهديد برفع درجة الحرارة إلى مستويات خطرة) ، مثل نقاط الضعف التي تؤدي إلى عمليات استحواذ المركبات.
المركبات معقدة بشكل خاص ، مع وجود أنظمة مضمنة متعددة على متنها ، كل منها يعتني بالوظائف الصغيرة ؛ كل شيء من المساحات التلقائية ، إلى إمكانات المحرك والكبح.
تمثل السيارة المتصلة ، التي تتشابك مع مجموعة متزايدة من تقنيات الاتصالات مثل Wi-Fi و Bluetooth و GPS ، بنية تحتية رقمية معقدة تتعرض لمتجهات هجوم متعددة.
ومع 76.3 مليون مركبة متصلة من المتوقع أن تصل الطرق على مستوى العالم بحلول عام 2023وهذا يمثل متراصة من الأسس الدفاعية لوضع السلامة الحقيقية.
ميسرا هي مؤسسة رئيسية في المعركة الجيدة ضد تهديدات الأنظمة المدمجة ، حيث وضعت إرشادات لتسهيل سلامة الكود والأمن والموثوقية والموثوقية في سياق الأنظمة المدمجة.
هذه الإرشادات هي نجم شمالي في المعايير التي يجب على كل شركة أن تسعى جاهدة في مشاريعها المدمجة.
ومع ذلك ، لإنشاء وتنفيذ التعليمات البرمجية التي تلتزم بهذا المعيار الذهبي ، يأخذ مهندسي الأنظمة المضمّن الذين يثقون – ناهيك عن الأدوات – على الأدوات.
لماذا يعتبر أمن الأنظمة المدمجة محددة للغاية؟
لغات البرمجة C و C ++ هي مستحضرات الشيخوخة وفقًا لمعايير اليوم ، ومع ذلك تظل تستخدم على نطاق واسع. وهي تشكل جوهر الأداء لقاعدة كود الأنظمة المدمجة ، وتتمتع C/C ++ المضمنة بحياة لامعة وحديثة كجزء من عالم الجهاز المتصل.
على الرغم من أن هذه اللغات لها جذور قديمة إلى حد ما – وعرض سلوكيات مماثلة من حيث المشكلات الشائعة مثل عيوب الحقن وتدفق المخزن المؤقت – للمطورين حققوا نجاحًا حقًا في تخفيف الأخطاء الأمنية في الأنظمة المدمجة ، يجب أن يكونوا على ما يليون بمحاكاة.
مع وجود أي مكان من عشرة أنظمة إلى أكثر من مائة أنظمة مضمنة في مركبة حديثة ، من الضروري أن يتم إعطاء المطورين تدريبًا دقيقًا على ما يبحثون عنه ، وكيفية إصلاحه ، في IDE.
حماية الأنظمة المضمنة من البداية هي مسؤولية الجميع
الوضع الراهن في العديد من المنظمات هو أن سرعة التنمية تتفوق على الأمن ، على الأقل عندما يتعلق الأمر بمسؤولية المطور.
نادراً ما يتم تقييمهم على قدرتهم على إنتاج رمز آمن ، ولكن التطور السريع لميزات رائعة هو علامة النجاح.
سيزداد الطلب على البرامج فقط ، ولكن هذه ثقافة أوضحت لنا معركة خاسرة ضد نقاط الضعف ، والهجمات الإلكترونية اللاحقة التي يسمحون بها.
إذا لم يتم تدريب المطورين ، فهذا ليس خطأهم ، وهو ثقب يحتاج شخص ما في فريق AppSec إلى المساعدة من خلال التوصية ببرامج REGAIN التي يمكن التقييم (ناهيك عن التقييم) لمجتمع التطوير بأكمله.
في بداية مشروع تطوير البرمجيات ، يجب أن يكون الأمن أحد الاعتبارات الأعلى ، مع الجميع – وخاصة المطورين – بالنظر إلى ما يحتاجون إليه للعب دورهم.
الحصول على التدريب العملي مع مشاكل أمن النظم المدمجة
تعتبر الفائض المخزن المؤقت ، وعيوب الحقن ، وعلاج المنطق التجاري كلها عيوب شائعة في تطوير الأنظمة المدمجة.
عندما يتم دفنها في أعماق متاهة من متحكمها في مركبة أو جهاز واحد ، يمكنه توضيح الكارثة من منظور أمان.
الفائض المخزن المؤقت سائد بشكل خاص ، وإذا كنت ترغب في الحصول على غوص عميق حول كيفية تسوية هذه المقلاة الجوية التي تحدثنا عنها من قبل (السماح بتنفيذ الكود البعيد) ، تحقق من هذا التقرير على CVE-2020-28592.
الآن ، حان الوقت للحصول على التدريب العملي مع ضعف الفائض العازلة ، في رمز C/C ++ الحقيقي.
قم بتشغيل هذا التحدي لمعرفة ما إذا كان يمكنك تحديد موقع أنماط الترميز الفقيرة وتحديدها وإصلاحها والتي تؤدي إلى هذا الخطأ الخبيث:
((العب الآن)
كيف فعلت؟ يزور www.securecodewarrior.com للدقة ، التدريب الفعال على أمن النظم المدمجة.
