La administración del presidente estadounidense Joe Biden quiere que los desarrolladores de software utilicen lenguajes de programación seguros para la memoria y abandonen los vulnerables como C y C++.
La Oficina del Director Nacional Cibernético (ONCD) de la Casa Blanca, en un informe publicado el lunes, pidió a los desarrolladores que reduzcan el riesgo de ataques cibernéticos mediante el uso de lenguajes de programación que no tengan vulnerabilidades de seguridad de la memoria. Las empresas de tecnología “pueden evitar que clases enteras de vulnerabilidades entren en el ecosistema digital” adoptando lenguajes de programación seguros para la memoria, dijo la Casa Blanca en un comunicado de prensa.
Los lenguajes de programación seguros para la memoria están protegidos contra errores de software y vulnerabilidades relacionadas con el acceso a la memoria, incluidos desbordamientos del búfer, lecturas fuera de límites y pérdidas de memoria. Estudios recientes de microsoft y Google han descubierto que alrededor del 70 por ciento de todas las vulnerabilidades de seguridad son causadas por problemas de seguridad de la memoria.
“Nosotros, como nación, tenemos la capacidad (y la responsabilidad) de reducir la superficie de ataque en el ciberespacio y evitar que clases enteras de errores de seguridad entren en el ecosistema digital, pero eso significa que debemos abordar el difícil problema de pasar a una programación segura para la memoria. idiomas”, dijo el director cibernético nacional, Harry Coker, en el comunicado de prensa de la Casa Blanca.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. también instó a los desarrolladores a utilizar lenguajes de programación seguros para la memoria en un publicación de blog de septiembre. CISA, el FBI, la Agencia de Seguridad Nacional de Estados Unidos y agencias de países aliados también publicaron el informe: “El caso de las hojas de ruta seguras para la memoria,» en diciembre.
El nuevo informe de 19 páginas de ONCD dio a C y C++ como dos ejemplos de lenguajes de programación con vulnerabilidades de seguridad de la memoria, y nombró a Rust como un ejemplo de un lenguaje de programación que considera seguro. Además, una NSA ficha informativa de ciberseguridad a partir de noviembre de 2022, enumeró C#, Go, Java, Ruby y Swift, además de Rust, como lenguajes de programación que considera seguros para la memoria.
Aproximadamente el 22 por ciento de todos los programadores de software usaban C ++ y el 19 por ciento usaba C en 2023. según estadista, lo que los hace menos populares que JavaScript, Python, Java y algunos otros. Pero el índice de la comunidad de programación TIOBE sólo clasifica a Python como más popular, seguido de C, C++ y Java.
Cambiando la responsabilidad
Uno de los objetivos del nuevo informe es trasladar la responsabilidad de la ciberseguridad de los individuos y las pequeñas empresas a las grandes organizaciones, las empresas de tecnología y el gobierno de EE. UU., que son «más capaces de gestionar la amenaza en constante evolución», informó la Casa Blanca. comunicado dijo.
La ONCD trabajó con el sector privado, incluidas empresas de tecnología, la comunidad académica y otras organizaciones para desarrollar las recomendaciones del informe, dijo. La ONCD emitió una solicitud de opinión pública sobre el tema en agosto. También comentarios recopilados en apoyo de la iniciativa de varias empresas de tecnología, incluidas Hewlett Packard Enterprise, Accenture y Palantir. Otros expertos en seguridad de software también elogiaron el informe.
El informe de la ONCD es útil y oportuno, afirmó Dan Grossman, profesor de informática de la Universidad de Washington. Si bien “los peligros de C y C++ son bien conocidos desde hace décadas”, este es un buen momento para que la Casa Blanca impulse la seguridad de la memoria porque ahora hay alternativas prácticas y maduras disponibles, dijo.
Es hora de cambiar
Al mismo tiempo, se necesitan cambios debido a «la sofisticación de las amenazas de los adversarios que explotan las violaciones de la seguridad de la memoria», afirmó.
Las discusiones sobre la seguridad de la memoria que involucran al gobierno, la industria y el mundo académico pueden conducir a cambios significativos, añadió. «Naturalmente, muchas ramas del gobierno federal son creadores y proveedores clave de software y pueden utilizar esta perspectiva para decidir su prioridad para los próximos cambios en los sistemas o nuevos sistemas».
Sin embargo, un alejamiento de C y C++ no sucederá de la noche a la mañana, especialmente en sistemas integrados, afirmó Grossman. «Pero el uso de otros lenguajes para software de sistemas, en particular Rust, ya ha crecido significativamente, y creo que mucha gente anticipa que ese tipo de evolución se acelerará en lugar de que el desarrollo de C y C++ simplemente se detenga, lo que todavía parece inimaginable en su totalidad».
Alejarnos de C y C++ será un “proceso largo y difícil”, añadió Josh Aas, director ejecutivo y cofundador del Internet Security Research Group. «Se necesita un esfuerzo sostenido para cambiar la forma en que la gente piensa acerca de las cosas, y comunicaciones como ésta ayudan a mantener el tema de la seguridad fresco en la mente de las personas».
Para que se produzca el cambio, el gobierno y el sector privado deben trabajar juntos para hacer del código seguro una prioridad, dijo Aas.
«En última instancia, necesitamos escribir e implementar un nuevo código, pero para llegar allí, necesitamos recursos y líderes en todos los niveles, desde el gobierno hasta el sector privado, para convertirlo en una prioridad», añadió. «Los líderes relevantes deben ser conscientes del problema y deben saber que recibirán apoyo si hacen de su solución una prioridad».
Copyright © 2024 IDG Communications, Inc.