Beyaz Saray, bellek bozulması güvenlik açıklarının dijital ekosisteme girmesini önlemek için teknik topluluktan Rust, Python, Swift, C#, Java ve Go gibi bellek açısından güvenli programlama dillerini kullanmaya geçmelerini istiyor.
2023’te istismar edilen güvenlik açıklarına ilişkin yakın zamanda yapılan Horizon3.ai analizine göre (CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’nda listelendiği gibi), bellek güvenliği sorunları güvenlik açıklarının ikinci önde gelen nedeniydi ve bunların %75’i tehdit aktörleri tarafından 0 gün olarak istismar edildi .
Horizon3.ai Baş Saldırı Mühendisi Zach Hanley, “Ek olarak %25’i güvenlik araştırmacıları tarafından keşfedildi ve geriye dönük olarak 0 gün olarak istismar edildiği keşfedildi” dedi.
Bellek açısından güvenli programlama dilleri ve donanımı için durum
Geçişe yardımcı olmak için, Beyaz Saray Ulusal Siber Direktör Ofisi (ONCD), bellek açısından güvenli programlama dillerine ve bellek açısından güvenli donanıma neden ihtiyaç duyulduğunu açıklayan ve yazılım geliştiricilere tüm sınıfların daha fazla güvence vermesi için resmi yöntemlerin ana hatlarını çizen bir rapor yayınladı. Yalnızca bellek güvenliği hataları değil, pek çok güvenlik açığı da mevcut değil.
Trail of Bits CEO’su Dan Guido, “Deneyimlerimiz, bellek korumalı programlama dilleriyle birleştirilmiş resmi yöntemlerin, güvenlik açıklarını benzersiz bir hassasiyetle ortadan kaldırmak için sağlam bir çerçeve sağladığını gösterdi” dedi.
Teknoloji Güvenliği Ulusal Siber Direktör Yardımcısı Anjana Rajan, 1988’deki Morris solucanının, 2003’teki Slammer solucanının, 2014’teki Heartbleed güvenlik açığının, 2016’daki Trident istismarının, 2023’teki Blastpass istismarının hepsinin ortak bir temel nedeni olduğuna dikkat çekti. : Bellek güvenliği açıkları.
“Otuz beş yıldır hafıza güvenliği açıkları dijital ekosistemin başına bela oldu ama bu böyle olmak zorunda değil. [The ONCD report] mühendisler için mühendisler için yaratıldı çünkü tükettikleri yapı taşlarıyla ilgili mimari ve tasarım kararlarını verebileceklerini biliyoruz ve bu, tehdit yüzeyini azaltma, dijital ekosistemi ve nihayetinde Ulus’u koruma becerimiz üzerinde muazzam bir etkiye sahip olacak. ”
Beyaz Saray ayrıca raporun “siber güvenlik sorumluluğunu bireylerden ve küçük işletmelerden teknoloji şirketleri ve Federal Hükümet gibi büyük kuruluşlara kaydırmaya yönelik önemli bir adım” olduğunu belirtti.
ONCD raporunda, “CISA, NSA, FBI ve uluslararası siber güvenlik kuruluşları tarafından yazılan The Case for Memory Safe Roadmaps (Bellek Güvenli Yol Haritaları Örneği) başlıklı yakın tarihli bir rapor, üreticilere, ürünlerindeki bellek güvenliği açıklarını ortadan kaldırmak için gerekli değişiklikleri uygulama adımları konusunda rehberlik sağlıyor” deniyor.
Ayrıca, akademik topluluğun siber güvenlik kalitesini ölçmek için daha iyi teşhis araçları geliştirerek çözüme yardımcı olması için yararlandığı yazılım ölçülebilirliğiyle ilgili bir bölüm de içeriyor.
Hoş bir adım
Honeywell Connected Enterprises CTO’su Jason Urso, yazılım tasarım sürecinin bir parçası olarak bellek güvenli programlamanın eklenmesinin, ağ ayrımı, yüksek güvenlik modelleri ve gerçek zamanlı tehdit ve güvenlik açığı değerlendirmelerini içeren siber savunma araç setine değerli bir katkı olacağını belirtti.
Stanford Üniversitesi Bilgisayar Bilimleri Profesörü Dan Boneh, bir şekilde sihirli bir değnek sallayabilirsek ve mevcut tüm yazılımları hafıza açısından güvenli bir dile çevirebilirsek yazılım kalitesinin büyük ölçüde artacağını, ancak ne yazık ki böyle bir sihirli değneğin henüz gerçekleşmediğini söyledi. var olmak.
“Beyaz Saray pragmatik bir yaklaşım benimsiyor ve bu dönüşüme, önerilen yaklaşım için iyi bir test alanı olan kritik uzay sistemleriyle başlamayı teklif ediyor. Bellek güvenliği hatalarının önlenmesi, daha güvenli yazılıma doğru uzun bir yolculuğun yalnızca başlangıcıdır. Resmi doğrulama ve sınırlama teknolojileri cephaneliğimizdeki önemli araçlardır ve Beyaz Saray’ın bu teknolojilere daha fazla yatırım yapılması yönünde çağrı yaptığını görmek beni mutlu etti” diye ekledi.