Администрация американского Белого дома рекомендует программистам отказаться от языков программирования с уязвимостями безопасности памяти, а именно от C и C++. В докладе, направленном на снижение рисков кибербезопасности в программной экосистеме США, администрация Байдена призвала разработчиков рассмотреть возможность перехода на языки с повышенной безопасностью памяти.
Данный отчет подготовлен Агентством по национальной кибербезопасности (ONCD), которое является подразделением исполнительной власти и ответственно за координацию политики и стратегии кибербезопасности в стране. Этот 16-страничный документ, разделенный на две основные части, направлен на укрепление «строительных блоков киберпространства» и решение вечно существующей проблемы измеримости программного обеспечения. Как будет достигнута первая цель? За счет использования по возможности безопасных для памяти языков программирования.
Согласно серии независимых исследований, рассмотренных Агентством кибербезопасности и безопасности инфраструктуры США (CISA) в декабре, большинство уязвимостей кибербезопасности вызваны проблемами безопасности памяти. Современные языки программирования, которые безопасны для памяти, сводят к минимуму риск переполнения буфера, утечек памяти, висячих указателей и многого другого, а устаревшие языки программирования с уязвимостями безопасности памяти оставляют программное обеспечение открытым для различных эксплойтов. По мнению Белого дома, такие крупные инциденты безопасности, как ошибка Heartbleed 2014 года и цепочка эксплойтов с нулевым кликом 2023 года, известная как BLASTPASS, могли бы быть предотвращены при отсутствии уязвимостей безопасности памяти.
ONCD утверждает, что «в настоящее время бремя защиты от угроз кибербезопасности возложено на конечных пользователей». Помимо того, что проблемы утечки данных, спуфинга и других эксплойтов часто решаются в индивидуальном порядке уже после их совершения, это отношение наглядно проявляется в том, как крупные компании бросают своих пользователей на произвол судьбы после подобных атак кибербезопасности. Недавно американский Citibank был обвинен в том, что не смог защитить клиентов, которые потеряли свои сбережения из-за хакеров, а вот биотехнологическая компания 23andMe открыто обвинила своих пользователей в январской утечке данных. Текущая ситуация в области кибербезопасности в США ясно дает понять: конечные пользователи предоставлены сами себе.
В отчете, опубликованном в понедельник, утверждается, что отказ от уязвимостей безопасности памяти с самого начала может закрыть важные лазейки в кибербезопасности, сняв часть нагрузки с конечных пользователей и уменьшив необходимость контроля ущерба после инцидента. Но такие глобальные изменения не могут произойти в одночасье. Почти каждый четвертый программист использует C++, а каждый пятый — C. Это делает оба языка менее популярными, чем более новые языки, такие как Java и Python, но они по-прежнему являются неотъемлемой частью современного программного обеспечения.
Переписать программное обеспечение для использования другого языка программирования — серьезная задача. Иногда это практически невозможно, особенно если разработчик полагается на сторонний инструмент или платформу, не использующую определенный язык. В общем на данный момент Белый дом не призывает разработчиков полностью отказаться от C и C++.
«Конечно, не существует универсальных решений в области кибербезопасности, и использование языка программирования, безопасного для памяти, не может устранить все риски кибербезопасности», — говорится в отчете. Тем не менее, выявление критических слабых мест и расстановка приоритетов в переписывании этих областей может стать продуктивным началом, равно как и разработка новых инструментов, которые помогут программистам использовать языки, безопасные для памяти.