Η Google έχει χαιρέτισε ο Ραστμια γλώσσα προγραμματισμού ασφαλή για τη μνήμη, ως σημαντικός παράγοντας στην ικανότητά της να περιορίζει τα τρωτά σημεία της Ασφαλής Κωδικοποίηση πρωτοβουλία.
Τα τρωτά σημεία πρόσβασης στη μνήμη εμφανίζονται συχνά σε γλώσσες προγραμματισμού που δεν είναι ασφαλείς για τη μνήμη. Το 2019, τα ζητήματα ασφάλειας της μνήμης αντιπροσώπευαν το 76% όλων των τρωτών σημείων του Android.
Ως απάντηση, πολλοί προγραμματιστές και τεχνολογικοί γίγαντες κινούνται προς τη χρήση γλωσσών που είναι ασφαλείς για τη μνήμη που τους βοηθούν να παράγουν λογισμικό και τεχνολογία ασφαλούς ανά σχεδιασμό.
Τρωτά σημεία Σκουριάζει μακριά
Στο ιστολόγιό της, η Google παρουσίασε μια προσομοίωση της μετάβασης σε γλώσσες που είναι ασφαλείς για τη μνήμη μέσω της σταδιακής χρήσης κώδικα ασφαλούς μνήμης σε νέα έργα και εξελίξεις σε μια περίοδο πέντε ετών. Τα αποτελέσματα έδειξαν ότι παρά τη σταδιακή αύξηση του κώδικα που γράφτηκε σε μη ασφαλείς γλώσσες στη μνήμη, τα τρωτά σημεία ασφάλειας της μνήμης μειώθηκαν σημαντικά.
Αυτό, λέει η Google, συμβαίνει επειδή τα τρωτά σημεία εξασθενούν εκθετικά. Ο νέος κώδικας που είναι γραμμένος σε μη ασφαλείς γλώσσες στη μνήμη συχνά περιέχει σφάλματα και ευπάθειες, αλλά καθώς ο κώδικας εξετάζεται και ανανεώνεται, οι ευπάθειες αφαιρούνται σταδιακά, καθιστώντας τον κώδικα ασφαλέστερο με την πάροδο του χρόνου. Επομένως, η κύρια πηγή ευπάθειας είναι ο νέος κώδικας και δίνοντας προτεραιότητα στη χρήση γλωσσών προγραμματισμού που είναι ασφαλείς για τη μνήμη κατά την έναρξη νέων έργων και εξελίξεων, ο αριθμός των τρωτών σημείων μειώνεται σημαντικά.
Στη στροφή της ίδιας της Google προς τη χρήση γλωσσών προγραμματισμού που είναι ασφαλείς για τη μνήμη, σημειώθηκε σημαντική πτώση στον αριθμό των τρωτών σημείων που σχετίζονται με τη μνήμη, με τα τρωτά σημεία που σχετίζονται με τη μνήμη να έχουν μειωθεί στο 24% το 2024 – μια έντονη αντίθεση από το 2019 και πολύ κάτω από τον κανόνα του κλάδου του 70% .
Ωστόσο, η χρήση γλωσσών που είναι ασφαλείς για τη μνήμη δεν είναι ασήμαντη και η Google αναγνωρίζει ότι «με το πλεονέκτημα της εκ των υστέρων, είναι προφανές ότι δεν έχουμε ακόμη επιτύχει μια πραγματικά επεκτάσιμη και βιώσιμη λύση που επιτυγχάνει ένα αποδεκτό επίπεδο κινδύνου».
Οι στρατηγικές για την προσέγγιση των τρωτών σημείων ασφάλειας της μνήμης ξεκίνησαν με την reactive patching, όπου οι κατασκευαστές λογισμικού δίνουν προτεραιότητα στις ευπάθειες που είναι ασφαλείς για τη μνήμη, αφήνοντας άλλα ζητήματα να αξιοποιούνται πιο γρήγορα.
Η δεύτερη προσέγγιση συνίστατο σε προληπτικό μετριασμό, όπου οι προγραμματιστές ενθαρρύνθηκαν να συμπεριλάβουν μετριασμούς όπως τα καναρίνια στοίβας και την ακεραιότητα ελέγχου-ροής με κόστος την ταχύτητα εκτέλεσης, τη διάρκεια ζωής της μπαταρίας, τις καθυστερήσεις ουράς και τη χρήση μνήμης. Οι προγραμματιστές δεν μπόρεσαν επίσης να συμβαδίσουν με την ικανότητα των εισβολέων να εκμεταλλεύονται τα τρωτά σημεία με νέους και δημιουργικούς τρόπους.
Τρίτο ήρθε η προληπτική ανακάλυψη ευπάθειας, όπου η εστίαση ήταν στον εντοπισμό τρωτών σημείων μέσω του «fuzzing», όπου τα τρωτά σημεία εντοπίζονται μέσω των συμπτωμάτων της μη ασφαλούς μνήμης. Ωστόσο, όπως επισημαίνει η Google, αυτά τα εργαλεία είναι αναποτελεσματικά και χρονοβόρα για χρήση από τις ομάδες και συχνά δεν εντοπίζουν όλα τα τρωτά σημεία ακόμη και με πολλαπλά περάσματα.
Η τέταρτη τακτική της Google είναι, επομένως, να εμπλακεί στην πρόληψη υψηλής αξιοπιστίας και στην ανάπτυξη ασφαλή κατά σχεδιασμό. Χρησιμοποιώντας γλώσσες προγραμματισμού όπως η Rust, οι προγραμματιστές γνωρίζουν και κατανοούν τις ιδιότητες του κώδικα που έχουν γράψει και μπορούν να συναγάγουν ευπάθειες με βάση αυτές τις ιδιότητες. Αυτό μειώνει το κόστος για τους προγραμματιστές μειώνοντας τον αριθμό των ευπαθειών από την αρχή, συμπεριλαμβανομένων των τρωτών σημείων εκτός των θεμάτων ασφαλείας της μνήμης. Αυτή η σωρευτική μείωση κόστους έχει επίσης το πρόσθετο πλεονέκτημα ότι κάνει τους προγραμματιστές πιο παραγωγικούς.
“Η ιδέα είναι απλή:”, σημειώνει το ιστολόγιο της Google, “αφού κλείσουμε τη βρύση των νέων τρωτών σημείων, μειώνονται εκθετικά, καθιστώντας όλο τον κώδικά μας ασφαλέστερο, αυξάνοντας την αποτελεσματικότητα του σχεδιασμού ασφάλειας και μετριάζοντας τις προκλήσεις επεκτασιμότητας που σχετίζονται με τα υπάρχοντα στρατηγικές ασφάλειας μνήμης, έτσι ώστε να μπορούν να εφαρμοστούν πιο αποτελεσματικά με στοχευμένο τρόπο».
VIA: TechRadar.com/
