Пора быть безопасным
Администрация действующего Президента США (Joseph Biden) усиливает давление на технологическую отрасль. На этот раз она потребовала создавать программное обеспечение, «безопасное с самого начала», а не становящееся таким по мере выискивания и устранения уязвимостей в нем, пишет портал The Record.
Представители администрации обратились к ИТ-отрасли с призывом начать писать софт на языках программирования, в которых есть функции безопасной работы с памятью компьютера. В качестве примера они привели три языка, один из которых, что весьма иронично, очень востребован среди киберпреступников.
В список безопасных вошли Python (самый популярный язык программирования в мире с октября 2021 г. по версии компании Tiobe), а также Java, на котором любят писать российские разработчики. Также упомянут Rust – он тоже пользуется спросом у программистов, но хакеры, как сообщал CNews, любят его еще сильнее.
Это трио в администрации Президента США преподносят как более безопасную альтернативу языкам С и С++, в которых якобы нет алгоритмов защиты памяти ПК. Между тем, оба эти языка – в числе самых популярных в мире: согласно статистике Tiobe за февраль 2024 г, Python на первом месте, С и С++ на втором и третьем соответственно, Java на четвертом, а Rust – на 18. Если положения первых четырех не изменились за год, то Rust за тот же период поднялся на две строчки.
Кто выступает за «стабильность»
Заявления о необходимости кардинально изменить подход к написанию ПО поступают и из Офиса национального директора по кибербезопасности (Office of the National Cyber Director, ONCD). Это агентство в составе Правительства США, основанное в 2021 г. и занимающееся консультированием Президента США по вопросам, связанным с кибербезопасностью.
Представители ONCD утверждают, что из-за несовершенства языков программирования, использовавшихся ранее (С появился в 1972 г., а С++ – в 1983 г.) «дырявый» софт в США распространяется с 1980-х годов. Усилия ONCD направлены на сокращение ошибок при написании ПО, которые позволяют злоумышленникам злоупотреблять тем, как программное обеспечение управляет памятью компьютера. Такие уязвимости можно использовать, к примеру, для взлома или повреждения данных и запуска вредоносного кода, пишет The Record.
«Чтобы уменьшить количество атак в киберпространстве, мы должны устранить целые классы уязвимостей», - сказал директор по кибербезопасности США (Harry Coker), комментируя новый технический отчет, подготовленный Белым домом для отрасли и касающийся вопросов информационной безопасности, в том числе и задач по отказу от С и С++.
В ONCD отдельно акцентировали внимание на том, что этот отчет уже получил поддержку со стороны многих лидеров технологического сектора и научных кругов. В качестве примера в ведомстве привели компании из разных стран мира, в частности, немецкую SAP и американскую Hewlett Packard Enterprise. Обе они, к слову, покинули Россию на фоне всем известных событий.
За все ответит крупный бизнес
Как пишет The Record, отчет Белого дома «делает важный шаг к перекладыванию ответственности за кибербезопасность с отдельных лиц и малого бизнеса на крупные организации», включая ИТ-корпорации с мировым именем. Авторы отчета объясняют это тем, что такие техногиганты имеют больше возможностей контролировать постоянно растущие киберугрозы.
Также Белый дом хочет, чтобы задачи, связанные с ИБ, ложились на плечи не только инженеров и разработчиков ПО, но и на руководителей. «Мы надеемся, что вопрос безопасности компьютерной памяти (в коде программ – прим. CNews) станет пунктом повестки дня следующего заседания совета директоров многих из этих компаний», – сказал представитель администрации Байдена.
Десятки лет упорного труда
По словам этого чиновника, чтобы крупные компании с большим количеством разработанного ПО действительно могли гарантировать, что их софт не содержит «дыр», связанных с памятью ПК, большим количеством продуктов, возможно, им придется проделать гигантскую работу.
«Переход на код, безопасный для памяти, может занять несколько десятилетий, в зависимости от размера компании, и потребует внимания и поддержки всех, – заявил представитель администрации Президента США. – «Но те, кто это сделает, окажут огромное влияние на безопасности нашей страны».
В Белом доме отмечает, что ошибки ПО, открывающие хакерам доступ к памяти компьютера, стали причиной одного из самых ранних инцидентов кибербезопасности в истории - появления так называемого «червя Морриса» 1988 г. Это один из первых сетевых-червей в мире – он написан бывшим аспирантом Корнельского университета (Robert Morris) и запущен 2 ноября 1988 г. во внутренней сети Массачусетского технологического института. Ущерб от действий червя вплотную приблизился к $1 млн.
Также в Белом доме подчеркнули, что эти связанные с взаимодействием с памятью ПК ошибки ПО и по сей день продолжают предоставлять широкие возможности злоумышленникам, включая цепочку уязвимостей BLASTPASS в мобильных устройствах Apple, выявленную в 2023 г. и в последствии устраненную. Однако шпионское ПО для эксплуатации этих «дыр» получило довольно широкое распространение.