Oficiul Directorului Național pentru Cyber al Casei Albe (ONCD) a îndemnat astăzi companiile de tehnologie să treacă la limbaje de programare sigure din punct de vedere al memoriei, cum ar fi Rust, pentru a îmbunătăți securitatea software-ului prin reducerea numărului de vulnerabilități legate de siguranța memoriei.
Astfel de vulnerabilități sunt erori de cod sau slăbiciuni în software care pot duce la probleme de gestionare a memoriei atunci când memoria poate fi accesată, scrisă, alocată sau dealocată.
Ele apar atunci când software-ul accesează memoria în moduri nedorite sau nesigure, rezultând în diverse riscuri de securitate și probleme cum ar fi depășirea buffer-ului, utilizarea după eliberare, utilizarea memoriei neinițializate și eliberarea dublă pe care atacatorii le pot exploata.
Exploatarea cu succes prezintă riscuri severe, permițând potențial actorilor amenințării să obțină acces neautorizat la date sau să execute coduri malitioase cu privilegiile proprietarului sistemului.
„Timp de peste 35 de ani, aceeași clasă de vulnerabilitate a provocat probleme ecosistemului digital. Provocarea de a elimina întreaga clasă de vulnerabilități software este o problemă urgentă și complexă. Privind înainte, trebuie adoptate abordări noi pentru a reduce acest risc”, spune raportul ONCD.
„Metoda cu cel mai mare efect pentru reducerea vulnerabilităților legate de siguranța memoriei este securizarea unuia dintre pilonii ciberspațiului: limbajul de programare. Utilizarea limbajelor de programare sigure din punct de vedere al memoriei poate elimina cele mai multe erori de siguranță a memoriei.”
Raportul de astăzi se bazează pe Strategia Națională de Cybersecuritate semnată de președintele Biden în martie 2023, care a transferat responsabilitatea apărării ciberspațiului țării către furnizorii de software și servicii.
Agensia de Securitate Națională (NSA) a publicat, de asemenea, îndrumări în noiembrie 2022 cu privire la modul în care dezvoltatorii de software pot preveni problemele de siguranță a memoriei software-ului.
Un raport similar din partea CISA și a partenerilor internaționali în decembrie 2023 a cerut trecerea la limbaje de programare sigure din punct de vedere al memoriei pentru a reduce suprafața de atac a produselor software eliminând vulnerabilitățile legate de memorie.
Cum a descoperit Microsoft acum ani, până la 70% dintre vulnerabilitățile de securitate identificate în software-ul dezvoltat folosind limbaje nesigure din punct de vedere al memoriei provin din problemele de siguranța a memoriei. Acest lucru rămâne valabil chiar și după revizuiri amănunțite ale codului și măsuri preventive și de detectare suplimentare, așa cum a constatat compania.
Cu toate acestea, descoperirile din cercetarea Google arată că utilizarea unui limbaj sigur din punct de vedere al memoriei poate reduce semnificativ numărul de erori de siguranță a memoriei chiar și în bazele mari de cod și, în unele cazuri, le pot elimina complet.
„Timp de treizeci și cinci de ani, vulnerabilitățile de siguranță a memoriei au afectat ecosistemul digital, dar nu trebuie să fie așa”, a declarat Anjana Rajan, Director Național Adjunct pentru Securitatea Tehnologică.
„Acest raport a fost creat pentru ingineri de către ingineri deoarece știm că ei pot lua deciziile de arhitectură și design în legătură cu blocurile de construcție pe care le consumă – și acest lucru va avea un efect imens asupra abilității noastre de a reduce suprafața de amenințare, de a proteja ecosistemul digital și, în ultimă instanță, națiunea.”
Leave a Reply