Beyaz Saray Ulusal Siber Direktör Ofisi (ONCD), bugün teknoloji şirketlerini, bellek güvenliği açıklarının sayısını azaltarak yazılım güvenliğini artırmak için Rust gibi bellek açısından güvenli programlama dillerine geçmeye çağırdı.
Bu tür güvenlik açıkları, belleğe erişildiğinde, belleğe yazıldığında, tahsis edildiğinde veya yeri kaldırıldığında bellek yönetimi sorunlarına yol açabilen yazılım içindeki kodlama hataları veya zayıflıklarıdır.
Yazılım belleğe istenmeyen veya güvenli olmayan yollarla eriştiğinde ortaya çıkar ve arabellek taşması, boş alandan sonra kullanım, başlatılmamış bellek kullanımı ve saldırganların yararlanabileceği çifte serbestlik gibi çeşitli güvenlik risklerine ve sorunlara neden olur.
Başarılı bir şekilde kötüye kullanım ciddi riskler taşır ve potansiyel olarak tehdit aktörlerinin verilere yetkisiz erişim sağlamasına veya sistem sahibinin ayrıcalıklarıyla kötü amaçlı kod çalıştırmasına olanak tanır.
ONCD’nin raporunda “35 yılı aşkın bir süredir aynı güvenlik açığı sınıfı dijital ekosistemi rahatsız ediyor. Yazılım güvenlik açıklarının tüm sınıflarını ortadan kaldırmanın zorluğu acil ve karmaşık bir sorundur. İleriye baktığımızda, bu riski azaltmak için yeni yaklaşımların benimsenmesi gerekiyor” diyor. .
“Bellek güvenliği açıklarını azaltmak için en yüksek kaldıraç yöntemi, siber uzayın yapı taşlarından birinin güvenliğini sağlamaktır: programlama dili. Bellek açısından güvenli programlama dillerinin kullanılması, bellek güvenliği hatalarının çoğunu ortadan kaldırabilir.”
Bugünkü rapor, Başkan Biden tarafından Mart 2023’te imzalanan ve ülkenin siber uzayını savunma yükünü yazılım satıcılarına ve hizmet sağlayıcılara kaydıran Ulusal Siber Güvenlik Stratejisine dayanıyor.
Ulusal Güvenlik Ajansı (NSA) ayrıca Kasım 2022’de yazılım geliştiricilerin yazılım belleği güvenliği sorunlarını nasıl önleyebileceklerine ilişkin kılavuz yayınladı.
CISA ve uluslararası ortaklardan Aralık 2023’te gelen benzer bir rapor, bellekle ilgili güvenlik açıklarını ortadan kaldırarak yazılım ürünlerinin saldırı yüzeyini azaltmak için bellek açısından güvenli programlama dillerine geçiş yapılmasını talep ediyordu.
Microsoft’un yıllar önce keşfettiği gibi, bellek açısından güvenli olmayan diller kullanılarak geliştirilen yazılımlarda tanımlanan güvenlik açıklarının yüzde 70’i bellek güvenliği endişelerinden kaynaklanmaktadır. Şirketin daha sonra tespit ettiği gibi, kapsamlı kod incelemeleri ve ek önleyici ve tespit tedbirlerinden sonra bile bu durum geçerliliğini koruyor.
Ancak Google araştırmalarından elde edilen bulgular, bellek açısından güvenli bir dil kullanmanın, büyük kod tabanlarında bile bellek güvenliği kusurlarının sayısını önemli ölçüde azaltabildiğini ve bazı durumlarda bunları tamamen ortadan kaldırabildiğini gösteriyor.
Teknoloji Güvenliği Ulusal Siber Direktör Yardımcısı Anjana Rajan, “Otuz beş yıldır bellek güvenliği açıkları dijital ekosistemi rahatsız ediyor, ancak bu böyle olmak zorunda değil” dedi.
“Bu rapor, mühendisler tarafından mühendisler için hazırlandı çünkü tükettikleri yapı taşlarıyla ilgili mimari ve tasarım kararlarını verebileceklerini biliyoruz ve bu, tehdit yüzeyini azaltma, dijital ekosistemi koruma ve sonuçta, millet.”