O escritório da Casa Branca do Diretor Nacional de Cibersegurança (ONCD) instou as empresas de tecnologia hoje a mudar para linguagens de programação seguras em memória, como Rust, para melhorar a segurança do software reduzindo o número de vulnerabilidades de segurança de memória.
Tais vulnerabilidades são erros de codificação ou fraquezas dentro do software que podem levar a problemas de gerenciamento de memória quando a memória pode ser acessada, escrita, alocada ou desalocada.
Elas ocorrem quando o software acessa a memória de maneiras inintencionais ou inseguras, resultando em vários riscos de segurança e problemas como estouro de buffer, uso após liberação, uso de memória não inicializada e liberação dupla que os atacantes podem explorar.
A exploração bem-sucedida traz riscos graves, potencialmente permitindo que os atores de ameaça ganhem acesso não autorizado a dados ou executem código malicioso com os privilégios do proprietário do sistema.
"Há mais de 35 anos, essa mesma classe de vulnerabilidade tem perturbado o ecossistema digital.
O desafio de eliminar classes inteiras de vulnerabilidades de software é um problema urgente e complexo.
Olhando para frente, novas abordagens devem ser tomadas para mitigar esse risco," diz o relatório do ONCD.
"O método de maior alavancagem para reduzir as vulnerabilidades de segurança de memória é garantir um dos blocos de construção do ciberespaço: a linguagem de programação.
O uso de linguagens de programação seguras de memória pode eliminar a maioria dos erros de segurança de memória."
O relatório de hoje se baseia na Estratégia Nacional de Cibersegurança assinada pelo presidente Biden em março de 2023, que transferiu o ônus de defender o ciberespaço do país para os fornecedores de software e provedores de serviço.
A Agência de Segurança Nacional (NSA) também publicou um guia em novembro de 2022 sobre como os desenvolvedores de software podem evitar problemas de segurança de memória no software.
Um relatório similar da CISA e parceiros internacionais seguiu em dezembro de 2023, pedindo uma transição para linguagens de programação seguras em memória para reduzir a superfície de ataque dos produtos de software eliminando vulnerabilidades relacionadas à memória.
Conforme a Microsoft descobriu anos atrás, até 70 por cento das vulnerabilidades de segurança identificadas em software desenvolvido usando linguagens inseguras em memória derivam de preocupações com a segurança da memória.
Isso permanece verdadeiro mesmo após revisões de código minuciosas e medidas preventivas e de detecção adicionais, como a empresa ainda descobriu.
Porém, descobertas de pesquisas do Google mostram que usar uma linguagem segura em memória pode reduzir significativamente o número de falhas de segurança de memória, mesmo em grandes bases de código e, em alguns casos, eliminá-las completamente.
"Por trinta e cinco anos, as vulnerabilidades de segurança da memória têm assolado o ecossistema digital, mas não precisa ser assim", disse Anjana Rajan, Diretora Assistente Nacional de Cibersegurança para Segurança de Tecnologia.
"Este relatório foi criado para engenheiros por engenheiros porque sabemos que eles podem tomar as decisões de arquitetura e design sobre os blocos que consomem - e isso terá um efeito tremendo em nossa capacidade de reduzir a superfície de ameaça, proteger o ecossistema digital e, em última análise, a Nação."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...