Службата на националния кибердиректор на Белия дом (ONCD) призова днес технологичните компании да преминат към езици за програмиране, които са безопасни за паметта, като например Rust, за да подобрят сигурността на софтуера, като намалят броя на уязвимостите, свързани с безопасността на паметта.
Такива уязвимости са грешки в кодирането или слабости в софтуера, които могат да доведат до проблеми с управлението на паметта, когато тя може да бъде достъпна, записана, локализирана или разпределена.
Те се появяват, когато софтуерът осъществява достъп до паметта по непреднамерен или опасен начин, което води до различни рискове и проблеми за сигурността, като препълване на буфера, използване след освобождаване, използване на неинициализирана памет и двойно освобождаване, които нападателите могат да използват.
Успешната експлоатация крие сериозни рискове, като потенциално позволява на заплахата да получи неоторизиран достъп до данни или да изпълни зловреден код с привилегиите на собственика на системата.
„Повече от 35 години един и същ клас уязвимости тормози цифровата екосистема. Предизвикателството да се елиминират цели класове софтуерни уязвимости е спешен и сложен проблем. В перспектива трябва да се предприемат нови подходи за намаляване на този риск“, се казва в доклада на ONCD.
„Методът с най-висок коефициент на полезно действие за намаляване на уязвимостите, свързани с безопасността на паметта, е да се защити един от градивните елементи на киберпространството: езикът за програмиране. Използването на езици за програмиране, които са безопасни за паметта, може да елиминира повечето грешки, свързани с безопасността на паметта.“
Днешният доклад се основава на Националната стратегия за киберсигурност, подписана от президента Байдън през март 2023 г., която прехвърли тежестта на защитата на киберпространството на страната върху производителите на софтуер и доставчиците на услуги.
През ноември 2022 г. Агенцията за национална сигурност (АНС) също публикува насоки за това как разработчиците на софтуер могат да предотвратят проблеми с безопасността на паметта на софтуера.
Последва подобен доклад от CISA и международни партньори през декември 2023 г., в който се искаше преминаване към езици за програмиране, осигуряващи безопасност на паметта, за да се намали повърхността на атака на софтуерните продукти чрез премахване на уязвимостите, свързани с паметта.
Както Microsoft откри преди години, цели 70 % от уязвимостите в сигурността, идентифицирани в софтуер, разработен с използване на езици, които не са безопасни за паметта, произтичат от проблеми, свързани с безопасността на паметта. Това остава вярно дори и след задълбочени прегледи на кода и допълнителни мерки за превенция и откриване, както установи още компанията.
И все пак резултатите от изследването на Google показват, че използването на език, който не е безопасен за паметта, може значително да намали броя на пропуските в безопасността на паметта дори в големи бази от кодове, а в някои случаи и да ги елиминира напълно.
„В продължение на тридесет и пет години уязвимостите, свързани с безопасността на паметта, тормозят цифровата екосистема, но не е задължително да е така“, заяви Анжана Раджан, помощник-директор на Националната служба за киберсигурност по въпросите на технологичната сигурност.
„Този доклад е създаден за инженери от инженери, защото знаем, че те могат да вземат решения за архитектурата и дизайна на градивните елементи, които използват – и това ще има огромен ефект върху способността ни да намалим повърхността на заплахите, да защитим цифровата екосистема и в крайна сметка – нацията.“
