Valkoinen talo kehottaa kehittäjiä välttämään C- ja C++-kieliä "turvallisten" ohjelmointikielten hyväksi

У uusi raportti Valkoisen talon National Cyber ​​​​Directorin (ONCD) toimisto kehotti kehittäjiä käyttämään "kevyitä ohjelmointikieliä" - luokkaa, joka sulkee pois suositut kielet. Neuvo on osa Yhdysvaltain presidentti Bidenin kyberturvallisuusstrategiaa ja on askel kohti "kyberavaruuden rakennuspalikoiden suojaamista".

Ohjelmistokoodin virheellinen muistinhallinta voi johtaa vakaviin haavoittuvuuksiin, jolloin hyökkääjät voivat suorittaa kyberhyökkäyksiä. Ohjelmointikieliä, kuten Java, pidetään ajonaikaisten virheiden havaitsemismekanismiensa ansiosta turvallisina muistinhallinnan kannalta. Sitä vastoin C ja C++ antavat kehittäjille mahdollisuuden suorittaa osoitintoimintoja ja osoittaa osoitteita suoraan tietokoneen muistissa. Tämä sisältää tietojen lukemisen ja kirjoittamisen mihin tahansa muistipaikkaan, johon he pääsevät osoittimen kautta.

Vuonna 2019 turvallisuusinsinöörit Microsoft raportoi, että noin 70 % haavoittuvuuksista johtui muistin tietoturvaongelmista. Vuonna 2020 Google raportoi saman luvun, mutta Chromium-selaimesta löytyneiden vikojen osalta.

"Asiantuntijat ovat tunnistaneet useita ohjelmointikieliä, joista puuttuu muistin turvallisuuteen liittyviä ominaisuuksia, vaan ne ovat myös laajalle levinneitä kriittisissä järjestelmissä, kuten C ja C++", raportissa sanotaan. "Muistiturvallisten ohjelmointikielten valitseminen alusta alkaen, kuten Cybersecurity and Infrastructure Security Agencyn (CISA) avoimen lähdekoodin ohjelmistoturvallisuussuunnitelmassa suositellaan, on yksi esimerkki suojattujen ohjelmistojen kehittämisestä alusta alkaen vuoden loppuun mennessä".

19-sivuisen raportin tavoitteena on varmistaa, että vastuu kyberturvallisuudesta ei jää yksinomaan yksityishenkilöille ja pienyrityksille. Sen sijaan vastuu on suurilla organisaatioilla, teknologiayrityksillä ja viime kädessä valtiolla.

Raportti ei ainoastaan ​​tuo esiin ongelmia C:n ja C++:n kanssa, vaan tarjoaa myös joukon vaihtoehtoja - ohjelmointikieliä, jotka on tunnustettu "muistiturvallisiksi". National Security Agencyn (NSA) suosittelemia kieliä ovat: Rust, Go, C#, Java, Swift, JavaScript ja Ruby. Nämä kielet sisältävät mekanismeja, jotka estävät yleisimmät muistihyökkäykset ja lisäävät näin kehitettävien järjestelmien turvallisuutta.

ONCD pyytää yrityksiä ja insinöörejä soveltamaan parhaita käytäntöjä ohjelmistokehityksessä ja käyttämään muistiturvallisia laitteita vähentämään hyökkäyspintaa, jonka kautta hyökkääjät voivat hyökätä. Itse raportissa ei kerrottu tarkemmin, mitä tarkalleen pidetään muistiturvallisena ohjelmointikielenä. Kuitenkin marraskuussa 2022 National Security Agency (NSA) julkaisi kyberturvallisuusuutiskirje, jossa kerrottiin yksityiskohtaisesti ohjelmointikielet, joiden hän uskoi olevan muistiturvallisia.

Raportti kehottaa myös mittaamaan paremmin ohjelmistojen turvallisuutta. ONCD uskoo, että parempien mittareiden avulla teknologian tarjoajat voivat paremmin suunnitella, ennakoida ja lieventää haavoittuvuuksia ennen kuin niistä tulee ongelmia.

Tämä raportti on viimeisin Yhdysvaltojen hallituksen toteuttamien toimien sarjassa. Maaliskuussa 2023 presidentti Biden allekirjoitti Cybersecurity Executive Orderin, joka käynnisti prosessit ohjelmistojen ja laitteistojen suojaamiseksi sekä teknologiateollisuuden siteiden luomiseksi.

Lue myös:

• Microsoft löysi hakkereita Kiinasta ja Venäjältä, jotka käyttivät sen tekoälytyökaluja
• Pentagon käytti Googlen tekoälyä ilmaiskujen kohteiden tunnistamiseen