Tudo está indo muito

Existe um pouco de tecnologia incorporada para se conectar à Internet em quase todos os novos dispositivos. Os tipos de “coisas” habilitadas para a Internet incluem chaleiras (sério), tênis (tênis) e televisores.

Além disso, coisas que podem não estar conectadas à Internet, mas geralmente estão conectadas a uma rede local, incluem dispositivos médicos como marca-passos e bombas de insulina. Essa tendência, diz Art Dahnert, consultor administrativo da Synopsys, Inc. , vem ocorrendo há vários anos e não parece que vai parar em breve.

O problema é que muitas coisas na Internet das Coisas (IoT) também estão sendo hackeadas.

Você não precisa ir muito longe para ver histórias sobre câmeras de segurança sendo transformadas em um botnet ou sua TV sendo usada para espionar você, ou um monitor de fitness sendo usado para identificar bases militares secretas. O problema com todos esses ataques é que o software que dá suporte a esses dispositivos não está sendo desenvolvido com a segurança em mente. Freqüentemente, ninguém pensa em segurança até que seja tarde demais e seu dispositivo IoT esteja em todos os noticiários.

Veículos vulneráveis ​​

Em nenhum lugar isso é mais óbvio do que com os carros de hoje. O veículo moderno hoje tem mais de 100 CPUs (unidades de co-processador) e usa milhões de linhas de código. Todo esse código é necessário para oferecer suporte a tecnologias avançadas, como controle de cruzeiro adaptável, assistência para manter a faixa, autoparqueamento e recursos de frenagem de emergência, nenhum dos quais existia há 10 anos.

A combinação de novo código e novos recursos junto com pressões de velocidade para o mercado significa que alguns cantos provavelmente foram cortados - incluindo controles de segurança. Também é possível que os requisitos de segurança não tenham sido considerados altos o suficiente para serem incluídos no produto final. Seja qual for o motivo para não incluir a segurança no início, um veículo inseguro está pronto para ser explorado e controlado pelos invasores.

E foi exatamente isso o que aconteceu. A maioria dos bandidos que atacam softwares automotivos não está olhando para bater milhares de carros enquanto dirigem na estrada; eles vão fazer o que os bandidos fazem, roubar coisas. Ou seja, roubar o veículo, ou pelo menos o que está dentro do veículo. Foi exatamente o que aconteceu em Houston em 2016, com uma gangue roubando mais de 30 jipes aproveitando a falta de controles de segurança no software do veículo.

O que pode ser feito?

Primeiro, as empresas precisam levar a segurança a sério e incorporar segurança em seus produtos desde o início, usando as melhores práticas de segurança. Isso começa com o treinamento da equipe de desenvolvimento sobre como escrever software seguro e inclui o desenvolvimento ou uso de uma arquitetura que integra a segurança ao sistema geral. Uma coisa é ter módulos ou componentes gravados com segurança, mas se o sistema passar dados (senhas) em texto não criptografado, você ainda terá um compromisso eventualmente.

Além de código e arquitetura seguros, as empresas precisarão investir em um SDLC que integre a segurança em pontos específicos do processo. Isso pode incluir uma ferramenta de análise de código estático que varre a fonte sempre que uma compilação é iniciada. E, por fim, realizar uma avaliação de segurança (teste de penetração) no produto antes de enviá-lo para a produção costuma ser usado para validar os requisitos de segurança.

A segurança de software é uma jornada e essas etapas são apenas o começo. Com tudo indo para a IoT, todas as “coisas” na Internet das Coisas precisam ser protegidas.

O autor deste blog é Art Dahnert, consultor administrativo da Synopsys, Inc.

Sobre o autor:

Art Dahnert é consultor de segurança da informação com mais de 19 anos de experiência em tecnologia da informação, com mais de 9 anos em testes de penetração de aplicativos. O Sr. Dahnert completou centenas de avaliações de risco de segurança, testes de penetração e avaliações de vulnerabilidade de aplicativos da web, aplicativos de desktop e aplicativos móveis.

Ele avaliou a segurança de sistemas e infraestruturas que variam em tamanho de pequeno a grande, incluindo; aplicativos simples da web, aplicativos bancários corporativos de grande porte e sistemas de implantação específicos para as forças armadas dos EUA totalmente funcionais.