Yönetişim ve Risk Yönetimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Google, Rust Language Initiative’in Siteler Arası Komut Dosyalarını ve Diğer Kusurları Ortadan Kaldırdığını Söyledi
Akşaya Asokan (asokan_akshaya) •
26 Eylül 2024
Bellek açısından güvenli bir dile geçiş, Android sistemlerindeki güvenlik açıklarının sayısını beş yıl içinde %75 oranında azalttı. Google, değişikliğin “güvenliğe nasıl yaklaşılacağı konusunda temel bir değişimi” temsil ettiğini söyledi.
Ayrıca bakınız: Bulut Çağında Uyumluluk Sorunlarını Azaltma
Google’ın Android ekibi, 2019 yılında şirketin Güvenli Kodlama adlı güvenli tasarım programı kapsamında Rust programlama dilini kullanmaya başladı.
Çarşamba günü yapılan bir güncellemede, Android güvenlik araştırmacıları, programlama dili hafıza güvenliğinin benimsenmesinden bu yana, Android cihazlarda ortaya çıkarılan güvenlik açıklarının sayısının 2019’da 200’den 2024’e kadar 50’nin altına düştüğünü söyledi. Bellek güvenliği sorunlarından kaynaklanan güvenlik açıklarının yüzdesi Araştırmacılar, Android sistemlerindeki oranın 2019’daki %76’dan 2024’te %24’e düştüğünü ve bu oranın sektör normu olan %70’in oldukça altına düştüğünü söyledi.
Google, “Bu düşüşü ilk olarak 2022’de bildirdik ve bellek güvenliği açıklarının toplam sayısının azaldığını görmeye devam ediyoruz” dedi.
C veya C++ dillerinde yazılan yüksek performanslı, sistem düzeyinde kod, bellek güvenliğinden yoksundur ve bu da yazılım ekosistemlerindeki kusurların artmasına neden olur. Bu tür güvenlik açıkları genellikle belleğe nasıl erişilebileceğini, yazılabileceğini, tahsis edilebileceğini veya yeniden tahsis edilebileceğini etkiler, ancak iyi haber şu ki, kod yaşlandıkça saldırganlar tarafından ele geçirilme olasılığı azalır. Google, “Sorun büyük ölçüde yeni koddan kaynaklanıyor” dedi.
İleriye dönük olarak, Google ve diğer kuruluşlardaki uzmanlar, arabellek aşımları ve uzaktan kod yürütmeye yönelik güvenlik açıkları gibi uzun süredir devam eden güvenlik sorunlarını gidermek için Rust gibi bellek açısından güvenli dillerin kullanılmasını öneriyor. Mevcut güvenli olmayan kodun bellek açısından güvenli kodla yeniden yazılmasını önlemek için kuruluşlar, programlama dilleri arasında birlikte çalışabilirliği sağlamalıdır.
Girişimin bir parçası olarak Google, Rust, C++ ve Kotlin programlama dilleri arasında birlikte çalışabilirliği kolaylaştırmaya çalıştığını söyledi.
Google araştırmacıları, “Bellek açısından güvenli dillere geçiş, teknolojideki bir değişiklikten daha fazlasını temsil ediyor; bu, güvenliğe nasıl yaklaşılacağı konusunda temel bir değişimi temsil ediyor” dedi ve geçişin siteler arası komut dosyası oluşturma kusurlarını ortadan kaldırdığının zaten gösterildiğini ekledi.
Teknoloji şirketlerinin yanı sıra Birleşik Krallık ve ABD devlet kurumları da kritik altyapılara yönelik siber tehditler nedeniyle hafıza açısından güvenli olmayan güvenlik açıklarına ilişkin endişelerini dile getirdi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın yakın tarihli bir araştırması, açık kaynaklı projelerin çoğunun bellek açısından güvenli olmayan dillerle kodlandığını ortaya çıkardı (bkz.: CISA Raporu Kritik Açık Kaynak Bellek Güvenliği Risklerini Buluyor).
Ulusal Siber Direktör Ofisi’nin Şubat ayındaki bir raporunda, bellek güvenliği kusurlarının azaltılmasının, dijital dayanıklılığın oluşturulmasına yönelik ilk adım olduğu belirtiliyor.
Google ve Arm, ABD ve Birleşik Krallık hükümetlerinin Yetenek Donanımı Geliştirilmiş RISC Talimatları programının (veya CHERI’nin) bir parçası olan ve sınırlı çekirdek erişimi ve izinleri olan özel olarak tasarlanmış donanım yongaları aracılığıyla bellek açısından güvenli olmayan kusurları ortadan kaldırmak üzere tasarlanan bir avuç endüstri oyuncusu arasındadır. (Görmek: Birleşik Krallık Yetkilisi Bellek Güvenli Bilgi İşlem için CHERI’yi Tanıttı).