Yönetişim ve Risk Yönetimi , Devlet , Sektöre Özgü
CISA Direktörü, Programlama Dili Takasının Bellek Güvenlik Açıklarını Sonlandıracağını Söyledi
Micheal Novinson (Michael Novinson) •
27 Şubat 2023
Üst düzey bir ABD hükümet yetkilisi, ürünler gönderilmeden önce güvenlik açıklarının birikmesini önleyerek endüstriyi siber güvenlik konusunda daha dikkatli olmaya çağırdı.
Ayrıca bakınız: Adres Dolandırıcılığı: Kurumlar Yılda 300 Milyon Dolar İsraf Ediyor
Siber Güvenlik ve Altyapı Güvenliği Dairesi başkanı Jen Easterly, Pazartesi günü Pittsburgh’daki Carnegie Mellon Üniversitesi’nde toplanan bir dinleyici kitlesine, “düzinelerce, yüzlerce veya binlerce kusurlu” halka sunulan ürünler çağının sona ermesi gerektiğini söyledi. Microsoft ve Twitter kullanıcı tabanları arasında MFA’nın ele alınmasını “hayal kırıklığı yaratan” olarak nitelendirirken, kullanıcıları çok faktörlü kimlik doğrulamayı etkinleştirmeye teşvik ettiği için Apple’a övgüde bulundu (bkz:: ABD CISA Yetkilisi: Kullanıcıları MFA’yı Benimsemeleri İçin ‘Zorla Dürtün’).
Aylık bir ‘Salı Yaması’nı normal olarak kabul etmemiz, tehlikeli bir şekilde çalışmaya istekli olduğumuzun bir başka kanıtıdır,’ dedi ve Microsoft da dahil olmak üzere büyük teknoloji şirketlerinde her ay bir dizi düzeltme yayınladı. onun işletim sistemi.
Easterly, siber güvenlikte hükümetin daha güçlü bir rolü olduğunu savundu; bu, Washington’daki on yıllık siber güvenlik mutabakatının, kurumlar ve özel sektör arasındaki gönüllü ortaklıklar meselesi olarak yerini hükümetin daha iddialı olması gerektiği görüşüne bıraktığının ek bir işareti.
Biden yönetimi, yakın gözlemcilerin daha fazla düzenleme gerektireceğini umduğu, siber uzay için yenilenmiş bir ulusal strateji yayınlamaya yakın. Yönetim yetkilileri, daha fazla düzenlemeye ihtiyaç olduğunu söylediler ve eleştirmenleri, hükümetin yetkilerinin maliyetlerinden çok faydalarını düşünmeye çağırdılar.
Easterly, hükümetin “sorumluluğu siber güvenlik bakım yükümlülüğünü yerine getiremeyen şirketlere kaydırmada rol oynaması” gerektiğini söyledi ve yasa koyucuları “teknoloji üreticilerinin sözleşme yoluyla sorumluluğu reddetmesini engellemeye” çağırdı.
Yine de düzenleme “her derde deva değil” dedi.
Easterly, bilinen yazılım açıklarının yaklaşık üçte ikisinin bilgisayar belleğine nasıl erişildiğine ilişkin kötü uygulamalardan yararlanan hatalardan kaynaklandığını gösteren istatistiklere atıfta bulunarak, özel sektörün bellek açısından güvenli dillere geçerek siber güvenliği iyileştirebileceğini söyledi.
Bilgisayar korsanları, kodlayıcıların bellek hataları vermesini önleyecek mekanizmalara sahip olmayan C ve C++ gibi programlama dillerini kullanan kuruluşlardan yararlanır.
Easterly, bu güvenlik açıklarının yalnızca Rust, Go, Python ve Java gibi bellek açısından güvenli programlama dillerine geçerek ortadan kaldırılabileceğini söyledi.
‘Paramızı Ağzımızın Olduğu Yere Koymak’
Easterly, Google’ın Ağustos 2022’deki ilk Android sürümü olan ve sürüme eklenen yeni kodun çoğunun bellek için güvenli bir dilde olduğu ilk Android sürümü olan Android 13’ü özellikle çağırdı. Easterly, Android 13’e eklenen Rust kodunda keşfedilen tek bir bellek güvenlik açığı olmadığını söyledi.
Açık kaynaklı yazılım topluluğu Mozilla, Rust’ı 2015 yılında oluşturdu ve şu anda Rust’ı Firefox web tarayıcısına entegre etme projesine sahip. Amazon Web Services, Rust’ta kritik hizmetler oluşturmaya başladı ve Easterly bunun hem güvenlik avantajları hem de genel bulut devi için zaman ve maliyet tasarrufu sağladığını söyledi.
Easterly, bellek açısından güvenli dilleri üniversiteler içinde her yerde yaygın hale getirmenin, anahtar kitaplıklarını bellek açısından güvenli dillere geçiren şirketler için bir yapı taşı görevi göreceğini söyledi. Bu çaba, teknoloji endüstrisinin kilit sistemlerde C ve C++ yaygınlığını kontrol altına almasına ve nihayetinde geri almasına bağlıdır. C ve C++, onlardan uzaklaşmanın performansa zarar vereceği inancı nedeniyle hala yazılmakta ve öğretilmektedir.
Easterly, “Söylediğimiz şeyler, güvenliği gerçekten önemsiyormuşuz gibi gösteriyor,” dedi. “Fakat aslında pazara yeni bir ürün çıkarmak için rekabet baskısı nedeniyle paramızı ağzımızın olduğu yere koyan endüstriler arasında değiliz.”
Easterly, ülkenin en iyi bilgisayar bilimi programlarını lisans mezuniyet şartı olarak tek bir güvenlik dersi gerektirmediği için azarladı. Easterly’ye göre, Amerika’nın en iyi 20 bilgisayar bilimi programından yalnızca University of California San Diego bir güvenlik kursu istiyor.
Easterly, “Çoğu okulda, bir öğrenci emniyet ve güvenliğin temellerini öğrenmeden bilgisayar bilimi diploması alabilir” dedi. “Her üniversiteyi, bir güvenlik dersi almayı tüm bilgisayar bilimleri öğrencileri için bir mezuniyet şartı haline getirmeye çağırıyorum.”