La Casa Bianca esorta gli sviluppatori a evitare C e C++ a favore di linguaggi di programmazione "sicuri".

У nuovo rapporto L'Ufficio del National Cyber ​​​​Director (ONCD) della Casa Bianca ha esortato gli sviluppatori a utilizzare "linguaggi di programmazione leggeri", una categoria che esclude i linguaggi popolari. Il consiglio fa parte della strategia di sicurezza informatica del presidente americano Biden e rappresenta un passo verso la “protezione degli elementi costitutivi del cyberspazio”.

Una gestione impropria della memoria nel codice software può portare a gravi vulnerabilità, consentendo agli aggressori di sferrare attacchi informatici. I linguaggi di programmazione come Java, grazie ai loro meccanismi di rilevamento degli errori di runtime, sono considerati sicuri rispetto alla gestione della memoria. Al contrario, C e C++ consentono agli sviluppatori di eseguire operazioni sui puntatori e indirizzare direttamente gli indirizzi nella memoria del computer. Ciò include la lettura e la scrittura di dati in qualsiasi posizione di memoria a cui possono accedere tramite un puntatore.

Nel 2019, ingegneri della sicurezza Microsoft ha riferito che circa il 70% delle vulnerabilità sono state causate da problemi di sicurezza della memoria. Nel 2020, Google ha riportato la stessa cifra, ma per bug riscontrati nel browser Chromium.

"Gli esperti hanno identificato diversi linguaggi di programmazione che non solo mancano di funzionalità legate alla sicurezza della memoria, ma sono anche diffusi in sistemi mission-critical come C e C++", si legge nel rapporto. "La scelta da zero di linguaggi di programmazione sicuri per la memoria, come raccomandato dalla Roadmap di sicurezza del software open source della Cybersecurity and Infrastructure Security Agency (CISA), è un esempio di sviluppo di software sicuro da zero entro la fine del"".

Lo scopo del rapporto di 19 pagine è garantire che la responsabilità della sicurezza informatica non ricada esclusivamente sui singoli individui e sulle piccole imprese. Invece, la responsabilità ricade sulle grandi organizzazioni, sulle aziende tecnologiche e, in ultima analisi, sul governo.

Il rapporto non solo evidenzia i problemi di C e C++, ma offre anche una serie di alternative: linguaggi di programmazione riconosciuti come "memory-safe". I linguaggi consigliati dalla National Security Agency (NSA) includono: Rust, Go, C#, Java, Swift, JavaScript e Ruby. Questi linguaggi contengono meccanismi che impediscono i tipi comuni di attacchi alla memoria, aumentando così la sicurezza dei sistemi in fase di sviluppo.

L'ONCD chiede ad aziende e ingegneri di applicare le migliori pratiche nello sviluppo di software e di utilizzare hardware sicuro per la memoria per ridurre la superficie di attacco attraverso la quale gli aggressori possono attaccare. Il rapporto in sé non descrive in dettaglio cosa sia esattamente considerato un linguaggio di programmazione sicuro per la memoria. Tuttavia, nel novembre 2022, la National Security Agency (NSA) ha rilasciato newsletter sulla sicurezza informatica, che descriveva dettagliatamente i linguaggi di programmazione che riteneva fossero sicuri per la memoria.

Il rapporto richiede inoltre una migliore misurazione della sicurezza del software. L’ONCD ritiene che parametri migliori consentano ai fornitori di tecnologia di pianificare, anticipare e mitigare meglio le vulnerabilità prima che diventino un problema.

Questo rapporto è l’ultimo di una serie di misure adottate dal governo degli Stati Uniti. Nel marzo 2023, il presidente Biden ha firmato l’ordine esecutivo sulla sicurezza informatica, che ha avviato processi per proteggere software e hardware, oltre a creare legami nel settore tecnologico.

Leggi anche:

• Microsoft ha scoperto hacker provenienti da Cina e Russia che utilizzavano i suoi strumenti di intelligenza artificiale
• Il Pentagono ha utilizzato l'intelligenza artificiale di Google per identificare gli obiettivi degli attacchi aerei