Baltieji rūmai ragina kūrėjus vengti C ir C++, o ne „saugias“ programavimo kalbas.

У nauja ataskaita Baltųjų rūmų Nacionalinio kibernetinio direktoriaus biuras (ONCD) paragino kūrėjus naudoti „lengvas programavimo kalbas“ – kategoriją, kuri neapima populiarių kalbų. Šis patarimas yra JAV prezidento Bideno kibernetinio saugumo strategijos dalis ir yra žingsnis link „apsaugoti kibernetinės erdvės blokus“.

Netinkamas atminties valdymas programinės įrangos kode gali sukelti rimtų pažeidžiamumų, leidžiančių užpuolikams vykdyti kibernetines atakas. Programavimo kalbos, tokios kaip „Java“, dėl jų vykdymo laiko klaidų aptikimo mechanizmų yra laikomos saugiomis atminties valdymo atžvilgiu. Priešingai, C ir C++ leidžia kūrėjams atlikti žymeklio operacijas ir tiesiogiai adresuoti adresus kompiuterio atmintyje. Tai apima duomenų skaitymą ir įrašymą į bet kurią atminties vietą, kurią jie gali pasiekti naudodami žymeklį.

2019 m. saugos inžinieriai Microsoft pranešė, kad apie 70 % pažeidžiamumų sukėlė atminties saugos problemos. 2020 m. „Google“ pranešė apie tą patį skaičių, bet apie „Chromium“ naršyklėje aptiktas klaidas.

„Ekspertai nustatė keletą programavimo kalbų, kuriose ne tik trūksta funkcijų, susijusių su atminties sauga, bet ir kurios yra plačiai paplitusios svarbiose sistemose, tokiose kaip C ir C++“, – teigiama pranešime. „Atminties saugių programavimo kalbų pasirinkimas nuo pat pradžių, kaip rekomenduojama Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) atvirojo kodo programinės įrangos saugos gairėse, yra vienas iš saugios programinės įrangos kūrimo pavyzdžių iki metų pabaigos“.

19 puslapių ataskaitos tikslas – užtikrinti, kad atsakomybė už kibernetinį saugumą netektų tik asmenims ir smulkaus verslo įmonėms. Vietoj to, atsakomybė tenka didelėms organizacijoms, technologijų įmonėms ir galiausiai vyriausybei.

Ataskaitoje ne tik atkreipiamas dėmesys į C ir C++ problemas, bet ir siūloma nemažai alternatyvų – programavimo kalbų, pripažintų „saugia atmintimi“. Nacionalinės saugumo agentūros (NSA) rekomenduojamos kalbos yra: Rust, Go, C#, Java, Swift, JavaScript ir Ruby. Šiose kalbose yra mechanizmų, kurie apsaugo nuo įprastų atminties atakų tipų, taip padidindami kuriamų sistemų saugumą.

ONCD prašo įmonių ir inžinierių taikyti geriausią programinės įrangos kūrimo praktiką ir naudoti atminties saugančią aparatinę įrangą, kad sumažintų atakos paviršių, per kurį užpuolikai gali atakuoti. Pačioje ataskaitoje nenurodyta, kas tiksliai laikoma atminties sauga programavimo kalba. Tačiau 2022 metų lapkritį Nacionalinė saugumo agentūra (NSA) paskelbė kibernetinio saugumo naujienlaiškis, kurioje išsamiai aprašytos programavimo kalbos, kurios, jo manymu, yra saugios atminties.

Ataskaitoje taip pat raginama geriau įvertinti programinės įrangos saugumą. ONCD mano, kad geresnė metrika leidžia technologijų tiekėjams geriau planuoti, numatyti ir sumažinti pažeidžiamumą, kol jie netaps problema.

Ši ataskaita yra naujausia iš daugelio veiksmų, kurių ėmėsi JAV vyriausybė. 2023 m. kovo mėn. prezidentas Bidenas pasirašė kibernetinio saugumo vykdomąjį įsakymą, kuriuo buvo pradėti procesai, skirti apsaugoti programinę ir aparatinę įrangą, taip pat užmegzti ryšius technologijų pramonėje.

Taip pat skaitykite:

• Microsoft aptiko įsilaužėlių iš Kinijos ir Rusijos, kurie naudojo jos AI įrankius
• Pentagonas naudojo „Google“ AI, kad nustatytų oro antskrydžių taikinius