Witte Huis wil dat programmeurs 'memory safe' programmeertalen gebruiken
Het Witte Huis wil dat programmeurs en softwareleveranciers voor toekomstige software 'memory safe' programmeertalen gaan gebruiken, om zo allerlei soorten kwetsbaarheden te voorkomen. Volgens de Office of the National Cyber Director (ONCD) van het Witte Huis zijn hele klasse beveiligingslekken door middel van memory safe programmeertalen uit te bannen.
"Sommige van de beruchtste cybergebeurtenissen in de geschiedenis, de Morris-worm van 1988, de Slammer-worm van 2003, de Heartbleed-kwetsbaarheid in 2014, de Trident-exploit van 2016 en de Blastpass-exploit van 2023, waren in de pers breed uitgemeten cyberaanvallen die echte schade aan systemen veroorzaakten waar de samenleving elke dag op vertrouwt. Ze hadden allemaal deze hoofdoorzaak: memory safety kwetsbaarheden", zegt Anjana Rajan, Assistant National Cyber Director.
Het ONCD heeft een rapport gepubliceerd genaamd 'Back to the Building Blocks: A Path Toward Secure and Measurable Software' (pdf), waarin het belang van veilige software wordt beschreven en hoe memory safe programmeertalen hierbij helpen. Het Witte Huis stelt dat om het aanvalsoppervlak te verkleinen het nodig is om memory safety kwetsbaarheden te 'elimineren', aangezien dergelijke beveiligingslekken al jarenlang op grote schaal voorkomen. Het gaat dan bijvoorbeeld om buffer overflows, waardoor een aanvaller in het ergste gevalle willekeurige code op systemen kan uitvoeren.
Voorbeelden van memory unsafe programmeertalen zijn C en C++. De programmeertaal Rust wordt door het Witte Huis omschreven als een memoy safe programmeertaal. "Als land hebben we de mogelijkheid, en verantwoordelijk, om het aanvalsoppervlak in cyberspace te verkleinen en voorkomen dat gehele klasse aan kwetsbaarheden in het digitale ecosysteem terechtkomen, maar dat houdt in dat we het lastige probleem moeten aanpakken om naar memory safe programmeertalen te migreren", aldus National Cyber Director Harry Coker. Hoogleraren, beveiligingsexperts en softwarebedrijven zijn blij met de oproep.
Sommige zaken worden niet goed opgepakt door de "industrie" zelf. Dan wordt je gedwongen vanuit politieke besturing of later zelfs wettelijke verplichting. Ik vind dit niet zo vreemd, aangezien ik het liever zie dat het goed opgepakt zou worden. Maar dat kost natuurlijk weer centjes. Verplicht je het voor iedereen dan komt niemand er onder uit en creëer je een gelijk speelveld.
Je "Hallo world" zal natuurlijk wel veel veiliger zijn.
Dat lijkt mij net zo stevig.
Het Wiite Huis moet in Nederland een OS verbieden?
Zorg ervoor dat u ongebruikt geheugen vrijgeeft wanneer het niet langer nodig is.
Gebruik efficiënte datastructuren en algoritmen om het geheugengebruik te optimaliseren.
Vermijd het maken van onnodige objecten of variabelen.
Implementeer technieken voor foutafhandeling en geheugenbeheer om geheugengerelateerde problemen,
zoals fouten bij onvoldoende geheugen, te voorkomen.
Controleer en analyseer regelmatig het geheugengebruik in uw JavaScript-code met behulp van tools,
zoals Chrome DevTools of Node.js tools voor geheugenprofilering.
(gebruik ook retire.js voor af te voeren libraries met kwetsbaarheden).
Volg bovenstaande richtlijnen,
luntrus
Men wil een volledige gemonitorde en gesurveilleerde globale maatschappij.
Dat staat in de steigers.
Zorg ervoor dat u ongebruikt geheugen vrijgeeft wanneer het niet langer nodig is.
Gebruik efficiënte datastructuren en algoritmen om het geheugengebruik te optimaliseren.
Vermijd het maken van onnodige objecten of variabelen.
Implementeer technieken voor foutafhandeling en geheugenbeheer om geheugengerelateerde problemen,
zoals fouten bij onvoldoende geheugen, te voorkomen.
Controleer en analyseer regelmatig het geheugengebruik in uw JavaScript-code met behulp van tools,
zoals Chrome DevTools of Node.js tools voor geheugenprofilering.
(gebruik ook retire.js voor af te voeren libraries met kwetsbaarheden).
Volg bovenstaande richtlijnen,
luntrus
Dat ligt er aan wat Biden met "Toekomstige software" bedoelt. Als een verdere ontwikkeling van bestaande software bedoeld wordt, is dit inderdaad een zeer grote opgave. Denk maar aan onze belastingdienst die ook vasthoud aan een oude programmeertaal omdat je anders alles opnieuw moet schrijven.
Ik zie ook niet snel gebeuren dat je een heel OS herschrijft. Maar ik kan me wel herinneren dat de Mac vroeger op Pascal code draaide en langzaam zijn ze code door objective-C gaan vervangen. En nu wordt dat weer langzaam door Swift vervangen. Dus nieuwe modules in MacOs worden nu al in een geheugen veilige taal geschreven. Het zou ook snellere code opleveren dan Objective-C, wat nog een goede reden voor de overstap is.
Volg bovenstaande richtlijnen,
luntrus
Je hebt helemaal gelijk, het probleem is dat de programmeurs jouw en meerdere best-practices niet lezen, laat staan opvolgen. Door gebruik te maken van een taal die geheugenbeheer voor je doet is er in ieder geval een flinke hackbare hobbel overwonnen.
Onjuiste premisse (x2). En wat wil je daar mee zeggen? Wees duidelijk.
U kunt gerust weer terug naar Windows. https://nl.hardware.info/nieuws/84956/microsoft-gaat-windows-11-kernelcode-herschrijven-in-rust-voor-betere-beveiliging-en-prestaties
U kunt gerust weer terug naar Windows. https://nl.hardware.info/nieuws/84956/microsoft-gaat-windows-11-kernelcode-herschrijven-in-rust-voor-betere-beveiliging-en-prestaties
https://www.zdnet.com/article/rust-in-linux-where-we-are-and-where-were-going-next/
Zodoende is er support voor Rust ingebouwd in de Linux kernel: https://www.kernel.org/doc/html/next/rust/index.html
Er zijn nog wel twee moeilijkheden die je moet onderkennen bij gebruik van Rust.
Hardware is niet altijd 'veilig', dus je ontkomt er niet aan om de borrow checker (die voor geheugenveiligheid zorgt in Rust) op plekken uit te zetten met een unsafe {} blok.
En Rust is geen object georiënteerde taal. Van C porten naar Rust gaat prima. Maar van C++ naar Rust is intensiever omdat je ontwikkelaars de paradigma's van OOP moeten omzetten naar die van Rust. Dat is geen straf de compiler geeft (anders dan C/C++) prachtige foutmeldingen met menselijk leesbare tips over wat er waar fout is en hoe ze het kunnen verbeteren.
Alleen mensen die vastgeroest zitten in C/C++ en daar alles al mee kunnen wat ze willen, leren niet graag een nieuwe taal als Rust waar ze 'opnieuw' moeten beginnen. Maar veiligheidstechnisch zijn memory safe talen een aanwinst voor de gehele IT-sector.
U kunt gerust weer terug naar Windows. https://nl.hardware.info/nieuws/84956/microsoft-gaat-windows-11-kernelcode-herschrijven-in-rust-voor-betere-beveiliging-en-prestaties
Leuk gevonden "U kunt gerust"
https://blog.mozilla.org/en/products/firefox/firefox-quantum-beta-developer-edition/
https://blog.rust-lang.org/2017/11/14/Fearless-Concurrency-In-Firefox-Quantum.html
https://blog.mozilla.org/en/products/firefox/firefox-quantum-beta-developer-edition/
https://blog.rust-lang.org/2017/11/14/Fearless-Concurrency-In-Firefox-Quantum.html
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
