Ο Λευκός Οίκος προτρέπει τους προγραμματιστές να αποφύγουν τα C και C++

У νέα έκθεση Το Γραφείο του Εθνικού Διευθυντή του Λευκού Οίκου (ONCD) προέτρεψε τους προγραμματιστές να χρησιμοποιήσουν "ελαφριές γλώσσες προγραμματισμού" - μια κατηγορία που εξαιρεί τις δημοφιλείς γλώσσες. Η συμβουλή είναι μέρος της στρατηγικής κυβερνοασφάλειας του Προέδρου των ΗΠΑ Μπάιντεν και αποτελεί ένα βήμα προς την «προστασία των δομικών στοιχείων του κυβερνοχώρου».

Η ακατάλληλη διαχείριση μνήμης στον κώδικα λογισμικού μπορεί να οδηγήσει σε σοβαρά τρωτά σημεία, επιτρέποντας στους εισβολείς να πραγματοποιούν επιθέσεις στον κυβερνοχώρο. Οι γλώσσες προγραμματισμού όπως η Java, λόγω των μηχανισμών ανίχνευσης σφαλμάτων χρόνου εκτέλεσης, θεωρούνται ασφαλείς όσον αφορά τη διαχείριση της μνήμης. Αντίθετα, η C και η C++ επιτρέπουν στους προγραμματιστές να εκτελούν λειτουργίες δείκτη και να διευθύνουν απευθείας διευθύνσεις στη μνήμη του υπολογιστή. Αυτό περιλαμβάνει ανάγνωση και εγγραφή δεδομένων σε οποιαδήποτε θέση μνήμης στην οποία μπορούν να έχουν πρόσβαση μέσω ενός δείκτη.

- Διαφήμιση -

Το 2019, μηχανικοί ασφαλείας Microsoft ανέφερε ότι περίπου το 70% των τρωτών σημείων προκλήθηκαν από ζητήματα ασφάλειας της μνήμης. Το 2020, η Google ανέφερε τον ίδιο αριθμό, αλλά για σφάλματα που βρέθηκαν στο πρόγραμμα περιήγησης Chromium.

«Οι ειδικοί έχουν εντοπίσει πολλές γλώσσες προγραμματισμού που όχι μόνο στερούνται χαρακτηριστικών που σχετίζονται με την ασφάλεια της μνήμης, αλλά είναι επίσης ευρέως διαδεδομένες σε κρίσιμα για την αποστολή συστήματα όπως το C και το C++», ανέφερε η έκθεση. "Η επιλογή γλωσσών προγραμματισμού ασφαλών για μνήμη από την αρχή, όπως προτείνεται από τον Οδικό Χάρτη Ανοιχτού Κώδικα Ασφάλειας Λογισμικού της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), είναι ένα παράδειγμα ανάπτυξης ασφαλούς λογισμικού από την αρχή μέχρι το τέλος του "".

Στόχος της έκθεσης 19 σελίδων είναι να διασφαλίσει ότι η ευθύνη για την ασφάλεια στον κυβερνοχώρο δεν βαρύνει αποκλειστικά τα άτομα και τις μικρές επιχειρήσεις. Αντίθετα, η ευθύνη βαρύνει τους μεγάλους οργανισμούς, τις εταιρείες τεχνολογίας και τελικά την κυβέρνηση.

Η έκθεση όχι μόνο επισημαίνει τα προβλήματα με τη C και τη C++, αλλά προσφέρει επίσης μια σειρά εναλλακτικών λύσεων - γλώσσες προγραμματισμού που αναγνωρίζονται ως "ασφαλείς στη μνήμη". Οι γλώσσες που συνιστώνται από την Υπηρεσία Εθνικής Ασφάλειας (NSA) περιλαμβάνουν: Rust, Go, C#, Java, Swift, JavaScript και Ruby. Αυτές οι γλώσσες περιέχουν μηχανισμούς που αποτρέπουν κοινούς τύπους επιθέσεων μνήμης, αυξάνοντας έτσι την ασφάλεια των συστημάτων που αναπτύσσονται.

Το ONCD ζητά από εταιρείες και μηχανικούς να εφαρμόσουν βέλτιστες πρακτικές στην ανάπτυξη λογισμικού και να χρησιμοποιήσουν υλικό που είναι ασφαλές για μνήμη για να μειώσει την επιφάνεια επίθεσης μέσω της οποίας μπορούν να επιτεθούν οι εισβολείς. Η ίδια η έκθεση δεν αναφέρει λεπτομερώς τι ακριβώς θεωρείται γλώσσα προγραμματισμού ασφαλή για μνήμη. Ωστόσο, τον Νοέμβριο του 2022, η Υπηρεσία Εθνικής Ασφάλειας (NSA) κυκλοφόρησε ενημερωτικό δελτίο για την ασφάλεια στον κυβερνοχώρο, ποιες λεπτομερείς γλώσσες προγραμματισμού που πίστευε ότι ήταν ασφαλείς για τη μνήμη.

Η έκθεση ζητά επίσης καλύτερη μέτρηση της ασφάλειας του λογισμικού. Το ONCD πιστεύει ότι οι καλύτερες μετρήσεις επιτρέπουν στους παρόχους τεχνολογίας να σχεδιάζουν καλύτερα, να προβλέπουν και να μετριάζουν τα τρωτά σημεία προτού γίνουν πρόβλημα.

Αυτή η έκθεση είναι η τελευταία από μια σειρά βημάτων που έλαβε η κυβέρνηση των ΗΠΑ. Τον Μάρτιο του 2023, ο Πρόεδρος Μπάιντεν υπέγραψε το εκτελεστικό διάταγμα για την ασφάλεια στον κυβερνοχώρο, το οποίο ξεκίνησε διαδικασίες για την προστασία του λογισμικού και του υλικού, καθώς και για τη δημιουργία δεσμών στον κλάδο της τεχνολογίας.

Διαβάστε επίσης:

Ο Λευκός Οίκος προτρέπει τους προγραμματιστές να αποφύγουν τη C και τη C++ υπέρ των «ασφαλών» γλωσσών προγραμματισμού