Το Γραφείο του Εθνικού Διευθυντή Κυβερνοασφάλειας του Λευκού Οίκου (ONCD) προέτρεψε τις τεχνολογικές εταιρείες να μεταβούν σε γλώσσες προγραμματισμού με ασφάλεια μνήμης, όπως η Rust, για τη βελτίωση της ασφάλειας λογισμικού με τη μείωση του αριθμού των ευπαθειών ασφάλειας μνήμης.
Δείτε επίσης: Πώς να αναβαθμίσετε τη μνήμη RAM;
Τέτοιες ευπάθειες είναι προγραμματιστικά σφάλματα ή αδυναμίες εντός λογισμικού που μπορεί να οδηγήσουν σε θέματα διαχείρισης μνήμης όταν η μνήμη μπορεί να προσπελαστεί, εγγραφεί, εκχωρηθεί ή αποδοθεί.
Αυτά συμβαίνουν όταν το λογισμικό έχει πρόσβαση στη μνήμη με ανεπιθύμητους ή μη ασφαλείς τρόπους, με αποτέλεσμα να προκύπτουν διάφοροι κίνδυνοι ασφάλειας και προβλήματα όπως υπερχείλιση buffer, χρήση μετά την απελευθέρωση μνήμης, χρήση μη αρχικοποιημένης μνήμης που οι επιτιθέμενοι μπορούν να εκμεταλλευτούν.
Η επιτυχής εκμετάλλευση ενέχει σοβαρούς κινδύνους, ενδεχομένως επιτρέποντας σε εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε δεδομένα ή να εκτελέσουν κακόβουλο κώδικα με τα προνόμια του ιδιοκτήτη του συστήματος.
“Για πάνω από 35 χρόνια, αυτή η ίδια κατηγορία ευπάθειας ταλαιπωρεί το ψηφιακό οικοσύστημα. Η πρόκληση της εξάλειψης ολόκληρων κατηγοριών ευπαθειών λογισμικού είναι ένα επείγον και πολύπλοκο πρόβλημα. Κοιτώντας προς το μέλλον, πρέπει να ακολουθηθούν νέες προσεγγίσεις για τη μείωση αυτού του κινδύνου“, όπως αναφέρει η έκθεση του ONCD.
“Η υψηλότερη μέθοδος μεγιστοποίησης για τη μείωση των ευπάθειων της μνήμης είναι να ασφαλίσετε έναν από τους θεμέλιους λίθους του κυβερνοχώρου: τη γλώσσα προγραμματισμού. Η χρήση γλωσσών προγραμματισμού ασφαλείας μνήμης μπορεί να εξαλείψει τα περισσότερα λάθη ασφάλειας μνήμης.“
Δείτε ακόμα: Η μνήμη RAM του υπολογιστή έχει τη μεγαλύτερη αναβάθμιση των τελευταίων 25 ετών
Η σημερινή έκθεση στηρίζεται στη Στρατηγική Εθνικής Κυβερνοασφάλειας που υπογράφηκε από τον Πρόεδρο Biden τον Μάρτιο του 2023, η οποία μετέθεσε το βάρος της προστασίας του κυβερνοχώρου της χώρας προς τους προμηθευτές λογισμικού και τους παροχείς υπηρεσιών.
Το Εθνικό Συμβούλιο Ασφάλειας (NSA) δημοσίευσε επίσης οδηγίες τον Νοέμβριο του 2022 σχετικά με το πώς μπορούν οι προγραμματιστές λογισμικού να αποτρέψουν προβλήματα μνήμης λογισμικού.
Μία παρόμοια έκθεση από την CISA και διεθνείς εταίρους τον Δεκέμβριο του 2023 ζητούσε μια μετάβαση σε γλώσσες προγραμματισμού ασφαλείας μνήμης για να μειωθεί η επιφάνεια επίθεσης των προϊόντων λογισμικού με την εξάλειψη των ευπαθειών που σχετίζονται με τη μνήμη.
Όπως ανακάλυψε η Microsoft πριν από χρόνια, μέχρι και το 70% των ευπαθειών ασφάλειας που εντοπίζονται σε λογισμικό που αναπτύσσεται χρησιμοποιώντας γλώσσες που δεν έχουν ασφάλεια μνήμης, οφείλονται σε ανησυχίες ασφάλειας της μνήμης. Αυτό παραμένει αληθές ακόμα και μετά από λεπτομερείς ελέγχους κώδικα και επιπλέον προληπτικά και ανιχνευτικά μέτρα, όπως ανέφερε περαιτέρω η εταιρεία.
Ωστόσο, έρευνες της Google δείχνουν ότι η χρήση γλώσσας προγραμματισμού με ασφάλεια μνήμης μπορεί να μειώσει σημαντικά τον αριθμό των ευπαθειών ασφάλειας μνήμης ακόμη και σε μεγάλες βάσεις κώδικα και, σε κάποιες περιπτώσεις, να τις εξαλείψει εντελώς.
Δείτε επίσης: ChatGPT: Δοκιμάζει μακροπρόθεσμη μνήμη στη συνομιλία
Πώς μπορείτε να προστατευτείτε από διάφορες μορφές κυβερνοεπιθέσεων;
Εκτός από τις γλώσσες προγραμματισμού με ασφάλεια μνήμης, για να προστατευτεί κάποιος από διάφορες μορφές κυβερνοεπιθέσεων, θα πρέπει πρώτα απ’ όλα να διατηρεί το λογισμικό και το λειτουργικό σύστημα του υπολογιστή του ενημερωμένα. Επίσης, είναι σημαντικό να χρησιμοποιείται ένα αξιόπιστο πρόγραμμα antivirus. Αυτά τα προγράμματα παρέχουν προστασία από διάφορες μορφές κυβερνοεπιθέσεων, συμπεριλαμβανομένων των ιών, των trojans και των ransomware. Η χρήση δυνατών κωδικών πρόσβασης είναι άλλη μια βασική στρατηγική για την προστασία από τις κυβερνοεπιθέσεις. Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη.
Πηγή: bleepingcomputer
