Het Witte Huis dringt er bij ontwikkelaars op aan om C en C++ te vermijden ten gunste van "veilige" programmeertalen

У nieuw rapport Het White House Office van de National Cyber ​​Director (ONCD) drong er bij ontwikkelaars op aan om ‘programmeertalen met weinig geheugen’ te gebruiken – een categorie die populaire talen uitsluit. Het advies maakt deel uit van de cyberveiligheidsstrategie van de Amerikaanse president Biden en is een stap in de richting van ‘het beschermen van de bouwstenen van cyberspace’.

Onjuist geheugenbeheer in softwarecode kan tot ernstige kwetsbaarheden leiden, waardoor aanvallers cyberaanvallen kunnen uitvoeren. Programmeertalen zoals Java worden vanwege hun runtime-foutdetectiemechanismen als veilig beschouwd met betrekking tot geheugenbeheer. Met C en C++ kunnen ontwikkelaars daarentegen pointerbewerkingen uitvoeren en adressen in het computergeheugen rechtstreeks adresseren. Dit omvat het lezen en schrijven van gegevens naar elke geheugenlocatie waartoe ze via een aanwijzer toegang hebben.

In 2019 veiligheidsingenieurs Microsoft meldde dat ongeveer 70% van de kwetsbaarheden werd veroorzaakt door problemen met de geheugenbeveiliging. In 2020 rapporteerde Google hetzelfde cijfer, maar dan voor bugs gevonden in de Chromium-browser.

"Experts hebben verschillende programmeertalen geïdentificeerd die niet alleen functies missen die verband houden met geheugenveiligheid, maar die ook wijdverspreid zijn in bedrijfskritische systemen zoals C en C++", aldus het rapport. "Het kiezen van geheugenveilige programmeertalen vanaf de basis, zoals aanbevolen door de Open Source Software Security Roadmap van de Cybersecurity and Infrastructure Security Agency (CISA), is een voorbeeld van het vanaf de basis ontwikkelen van veilige software tegen het einde van"".

Het doel van het 19 pagina's tellende rapport is ervoor te zorgen dat de verantwoordelijkheid voor cyberveiligheid niet uitsluitend bij individuen en kleine bedrijven ligt. In plaats daarvan ligt de verantwoordelijkheid bij grote organisaties, technologiebedrijven en uiteindelijk bij de overheid.

Het rapport wijst niet alleen op de problemen met C en C++, maar biedt ook een aantal alternatieven: programmeertalen die worden erkend als ‘geheugenveilig’. Talen die worden aanbevolen door de National Security Agency (NSA) zijn onder meer: ​​Rust, Go, C#, Java, Swift, JavaScript en Ruby. Deze talen bevatten mechanismen die veelvoorkomende soorten geheugenaanvallen voorkomen, waardoor de veiligheid van de systemen die worden ontwikkeld wordt vergroot.

ONCD vraagt ​​bedrijven en ingenieurs om best practices toe te passen bij de ontwikkeling van software en geheugenveilige hardware te gebruiken om het aanvalsoppervlak waarmee aanvallers kunnen aanvallen te verkleinen. In het rapport zelf wordt niet gedetailleerd beschreven wat precies als een geheugenveilige programmeertaal wordt beschouwd. In november 2022 kwam de National Security Agency (NSA) echter vrij nieuwsbrief over cyberveiligheid, waarin de programmeertalen werden beschreven waarvan hij dacht dat ze geheugenveilig waren.

Het rapport roept ook op tot een betere meting van softwarebeveiliging. ONCD is van mening dat betere statistieken technologieleveranciers in staat stellen kwetsbaarheden beter te plannen, erop te anticiperen en deze te beperken voordat deze een probleem worden.

Dit rapport is het laatste in een reeks stappen die de Amerikaanse regering heeft ondernomen. In maart 2023 ondertekende president Biden de Cybersecurity Executive Order, waarmee processen werden gelanceerd om software en hardware te beschermen en banden in de technologie-industrie te smeden.

Lees ook:

• Microsoft ontdekte hackers uit China en Rusland die hun AI-tools gebruikten
• Het Pentagon gebruikte de AI van Google om doelen voor luchtaanvallen te identificeren