Εικόνα: Midjourney
Το
Γραφείο
του Λευκού Οίκου του Εθνικού Διευθυντή Cyber (ONCD) προέτρεψε σήμερα τις
εταιρείες
τεχνολογίας να στραφούν σε γλώσσες προγραμματισμού
που
είναι ασφαλείς για τη μνήμη, όπως η Rust, για να βελτιώσουν την ασφάλεια λογισμικού μειώνοντας τον αριθμό των τρωτών σημείων ασφάλειας της μνήμης.
Τέτοια τρωτά σημεία είναι σφάλματα κωδικοποίησης ή αδυναμίες στο λογισμικό που μπορεί να οδηγήσουν σε προβλήματα διαχείρισης μνήμης όταν είναι δυνατή η πρόσβαση, η εγγραφή, η εκχώρηση ή η εκχώρηση της μνήμης.
Εμφανίζονται όταν το λογισμικό αποκτά πρόσβαση στη μνήμη με ακούσιους ή μη ασφαλείς τρόπους, με αποτέλεσμα διάφορους κινδύνους ασφαλείας και ζητήματα όπως υπερχείλιση buffer, χρήση μετά την ελεύθερη χρήση, χρήση μη αρχικοποιημένης μνήμης και διπλό ελεύθερο που μπορούν να εκμεταλλευτούν οι εισβολείς.
Η επιτυχής εκμετάλλευση ενέχει σοβαρούς κινδύνους, επιτρέποντας δυνητικά στους παράγοντες απειλών να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε δεδομένα ή να εκτελέσουν κακόβουλο κώδικα με τα προνόμια του κατόχου του συστήματος.
“Για πάνω από 35 χρόνια, αυτή η ίδια κατηγορία ευπάθειας έχει ταλαιπωρήσει το ψηφιακό οικοσύστημα. Η πρόκληση της εξάλειψης ολόκληρων κατηγοριών τρωτών σημείων λογισμικού είναι ένα επείγον και περίπλοκο πρόβλημα. Προσβλέποντας στο μέλλον, πρέπει να ληφθούν νέες προσεγγίσεις για να μετριαστεί αυτός ο κίνδυνος”, αναφέρει η έκθεση του ONCD
λέει
.
“Η μέθοδος με την υψηλότερη μόχλευση για τη μείωση των τρωτών σημείων ασφάλειας της μνήμης είναι η διασφάλιση ενός από τα δομικά στοιχεία του κυβερνοχώρου: της γλώσσας προγραμματισμού. Η χρήση γλωσσών προγραμματισμού που είναι ασφαλείς για τη μνήμη μπορεί να εξαλείψει τα περισσότερα σφάλματα ασφάλειας της μνήμης.”
Η σημερινή έκθεση βασίζεται στην Εθνική Στρατηγική Κυβερνοασφάλειας που υπεγράφη από τον Πρόεδρο Μπάιντεν τον Μάρτιο του 2023, η οποία μετατόπισε το βάρος της υπεράσπισης του κυβερνοχώρου της χώρας προς τους προμηθευτές λογισμικού και τους παρόχους υπηρεσιών.
Η Υπηρεσία Εθνικής Ασφάλειας (NSA) επίσης
δημοσιευμένη καθοδήγηση
τον Νοέμβριο του 2022 σχετικά με τον τρόπο με τον οποίο οι προγραμματιστές λογισμικού μπορούν να αποτρέψουν ζητήματα ασφάλειας της μνήμης λογισμικού.
ΕΝΑ
παρόμοια έκθεση
ακολούθησε η CISA και οι διεθνείς συνεργάτες τον Δεκέμβριο του 2023, ζητώντας τη μετάβαση σε γλώσσες προγραμματισμού που είναι ασφαλείς για τη μνήμη για να μειωθεί η επιφάνεια επίθεσης των προϊόντων λογισμικού εξαλείφοντας τα τρωτά σημεία που σχετίζονται με τη μνήμη.
Ως Microsoft
ανακαλύφθηκε
πριν από χρόνια, έως και το 70 τοις εκατό των τρωτών σημείων ασφαλείας που εντοπίστηκαν σε λογισμικό που αναπτύχθηκε χρησιμοποιώντας γλώσσες που δεν είναι ασφαλείς για τη μνήμη προέρχονται από ανησυχίες για την ασφάλεια της μνήμης. Αυτό εξακολουθεί να ισχύει ακόμη και μετά από ενδελεχείς ελέγχους κώδικα και πρόσθετα μέτρα πρόληψης και ανίχνευσης, όπως διαπίστωσε περαιτέρω η εταιρεία.
Ωστόσο, ευρήματα από την έρευνα της Google
προβολή
ότι η χρήση μιας γλώσσας που είναι ασφαλής για τη μνήμη μπορεί να μειώσει σημαντικά τον αριθμό των ελαττωμάτων ασφαλείας της μνήμης ακόμη και σε μεγάλες βάσεις κώδικα και, σε ορισμένες περιπτώσεις, να τα εξαλείψει εντελώς.
«Επί τριάντα πέντε χρόνια, οι ευπάθειες στην ασφάλεια της μνήμης ταλαιπωρούν το ψηφιακό οικοσύστημα, αλλά δεν χρειάζεται να είναι έτσι», δήλωσε η Anjana Rajan, Assistant National Cyber Director for Technology Security.
«Αυτή η έκθεση δημιουργήθηκε για μηχανικούς από μηχανικούς επειδή γνωρίζουμε ότι μπορούν να λάβουν αποφάσεις αρχιτεκτονικής και σχεδιασμού σχετικά με τα δομικά στοιχεία που καταναλώνουν – και αυτό θα έχει τεράστια επίδραση στην ικανότητά μας να μειώσουμε την επιφάνεια απειλής, να προστατεύσουμε το ψηφιακό οικοσύστημα και τελικά το έθνος.”
VIA:
bleepingcomputer.com
