Σε μια συντονισμένη προσπάθεια για την ενίσχυση της παγκόσμιας κυβερνοασφάλειας, η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA) και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) δημοσίευσαν μια κοινή έκθεση που προτρέπει τους κατασκευαστές λογισμικού να στραφούν σε γλώσσες προγραμματισμού ασφαλείς ως προς τη μνήμη (Memory Safe Languages - MSLs). Η καθοδήγηση, με τίτλο «Γλώσσες Ασφαλείς ως προς τη Μνήμη: Μειώνοντας τις Ευπάθειες στη Σύγχρονη Ανάπτυξη Λογισμικού», υπογραμμίζει ότι η μετάβαση αυτή είναι ένα κρίσιμο βήμα για την εξάλειψη ολόκληρων κατηγοριών ελαττωμάτων λογισμικού που αποτελούν εδώ και καιρό στόχο για κακόβουλους παράγοντες. Οι ευπάθειες ασφάλειας μνήμης, όπως οι υπερχειλίσεις buffer (buffer overflows) και η χρήση μετά την απελευθέρωση (use-after-free), αποτελούν εδώ και καιρό τη ρίζα πολλών από τα πιο σοβαρά ζητήματα ασφάλειας λογισμικού. Σύμφωνα με μελέτες, αυτά τα σφάλματα είναι υπεύθυνα για ένα σημαντικό ποσοστό των εκμεταλλεύσεων. Για παράδειγμα, η Microsoft ανέφερε ότι το 70% των ευπαθειών της το 2016 οφειλόταν σε ζητήματα ασφάλειας μνήμης, και μια ανάλυση του Google Project Zero διαπίστωσε ότι το 75% των εκμεταλλεύσεων που χρησιμοποιήθηκαν ενεργά ήταν ελαττώματα ασφάλειας μνήμης. Ιστορικά περιστατικά όπως το Heartbleed και το BadAlloc έχουν δείξει τις καταστροφικές συνέπειες αυτών των ελαττωμάτων, οδηγώντας σε εκτεταμένες παραβιάσεις δεδομένων και λειτουργικές διακοπές. Οι παραδοσιακές γλώσσες προγραμματισμού όπως η C και η C++ παρέχουν στους προγραμματιστές χαμηλού επιπέδου έλεγχο της μνήμης, αλλά απαιτούν σχολαστική χειροκίνητη διαχείριση για την αποφυγή σφαλμάτων. Αντίθετα, οι γλώσσες ασφαλείς ως προς τη μνήμη (MSLs) όπως οι Rust, Go, Java, Python, C# και Swift ενσωματώνουν εγγενείς προστασίες. Αυτές οι γλώσσες διαθέτουν μηχανισμούς όπως ο έλεγχος ορίων (bounds checking), η αυτόματη διαχείριση μνήμης και η πρόληψη ανταγωνισμού δεδομένων (data race prevention), οι οποίοι μετατοπίζουν το βάρος της ασφάλειας από τον μεμονωμένο προγραμματιστή στην ίδια τη γλώσσα και το περιβάλλον ανάπτυξης. Η έκθεση αναγνωρίζει ότι η μετάβαση σε MSLs δεν είναι χωρίς προκλήσεις, ειδικά για οργανισμούς με μεγάλες, παλαιού τύπου βάσεις κώδικα. Ζητήματα όπως η απόδοση, η διαλειτουργικότητα με υπάρχοντα στοιχεία και η ανάγκη για εκπαίδευση των προγραμματιστών είναι σημαντικά εμπόδια. Ωστόσο, οι υπηρεσίες υποστηρίζουν ότι αυτά τα εμπόδια είναι ξεπεράσιμα και τα μακροπρόθεσμα οφέλη για την ακεραιότητα του συστήματος τα αντισταθμίζουν κατά πολύ. Η καθοδήγηση παρέχει πρακτικές προσεγγίσεις, όπως η σταδιακή αναδιαμόρφωση τμημάτων υψηλού κινδύνου και η χρήση MSLs για νέα έργα ανάπτυξης. Ένα επιτυχημένο παράδειγμα που αναφέρεται είναι η μετάβαση του λειτουργικού συστήματος Android, όπου οι ευπάθειες ασφάλειας μνήμης μειώθηκαν από 76% το 2019 σε 24% το 2024 μετά την προτεραιοποίηση των Rust και Java για νέο κώδικα. Η πρωτοβουλία αυτή αποτελεί μέρος μιας ευρύτερης στρατηγικής «Secure by Design» (Ασφάλεια εξ ορισμού) που προωθείται από την CISA, η οποία παροτρύνει τους κατασκευαστές να αναλάβουν μεγαλύτερη ευθύνη για την ασφάλεια των προϊόντων τους. Οι υπηρεσίες προτρέπουν τους κατασκευαστές λογισμικού να δημοσιεύσουν οδικούς χάρτες για την υιοθέτηση της ασφάλειας μνήμης και να ευθυγραμμίσουν τις πρακτικές τους με καθιερωμένα πλαίσια όπως το NIST Secure Software Development Framework (SSDF). Η υιοθέτηση των MSLs δεν θεωρείται απλώς μια τεχνική αναβάθμιση, αλλά μια θεμελιώδης στρατηγική για τον μετριασμό των κινδύνων και τη διασφάλιση ενός ασφαλέστερου ψηφιακού τοπίου για τις κρίσιμες υποδομές και την εθνική ασφάλεια.
NSA και CISA προτρέπουν την υιοθέτηση γλωσσών προγραμματισμού ασφαλών ως προς τη μνήμη
Η NSA, η CISA και διεθνείς εταίροι κυβερνοασφάλειας εξέδωσαν κοινή καθοδήγηση, προτρέποντας τους προγραμματιστές να υιοθετήσουν γλώσσες προγραμματισμού ασφαλείς ως προς τη μνήμη. Αυτή η κίνηση στοχεύει στην εξάλειψη ολόκληρων κατηγοριών ευπαθειών, ενισχύοντας τη συνολική ασφάλεια του λογισμικού και την εθνική ασφάλεια.
