De acordo com o artigo da ITPro, a Casa Branca dos Estados Unidos está analisando a possibilidade da adoção de linguagens de programação que sejam mais seguras no gerenciamento da memória, de forma a evitar riscos de segurança e vulnerabilidades.
Esse relatório trouxe vários questionamentos sobre esses tipos de linguagem, além do fato de que um assunto como cibersegurança estar sendo discutido na Casa Branca pode parecer inusitado. O Diretor Nacional de Cibersegurança (ONCD, na sigla em inglês) disse que os desenvolvedores podem prevenir classes inteiras de vulnerabilidades adotando linguagens que gerenciam a memória de forma segura.
Vamos entender em mais detalhes as informações contidas nesse relatório e o que elas significam para a cibersegurança da sua empresa.
O que diz no relatório?
De acordo com o relatório, os criadores de software e hardware podem ter um impacto desproporcional na segurança global, pois cada linha de código deve ser tratada com importância crítica. Anjana Rajan, diretora nacional de cibersegurança, disse que alguns dos eventos cibernéticos mais infames da história, desde o Worm Morris em 1988 até Heartbleed em 2021 e o exploit Blastpass de 2023, tiveram uma causa comum – vulnerabilidades de segurança por falhas no gerenciamento da memória.
As vulnerabilidades de segurança da memória são uma classe que afeta como a memória pode ser acessada, escrita e alocada de maneiras não intencionais. Segundo o relatório, existem algumas linguagens de programação, como C e C++, que carecem dos recursos associados à segurança da memória e são amplamente utilizadas em sistemas críticos. Há alguns anos, a NSA já havia recomendado uma mudança de linguagem para os desenvolvedores, argumentando que as linguagens seguras para a memória seriam C#, Go, Java, Ruby, Rust e Swift.
Ao utilizar uma linguagem segura, a memória é gerenciada automaticamente e de forma transparente para o programador, portanto, não depende do programador adicionar um código para implementar proteções de memória. A linguagem institui proteções automáticas usando uma combinação de verificações em tempo de compilação e tempo de execução.
O relatório da Casa Branca ainda complementa, dizendo que o método “de maior alavancagem” para reduzir as vulnerabilidades é garantir um dos blocos de construção do ciberespaço: a própria linguagem de programação. “Garantir que uma linguagem de programação inclua propriedades como segurança de memória significa que o software construído sobre essa base herda automaticamente a segurança que esses recursos fornecem”, disse.
E quando fazer essa mudança?
De acordo com o relatório, há fortes evidências de que agora é a hora de agir. Existem dezenas de linguagens de programação seguras que podem e devem ser usadas, o que significa que é possível projetar e construir novos produtos seguros para a memória desde o primeiro dia. Além disso, a transição para linguagens seguras para a memória tem um efeito positivo, já que até 70% das vulnerabilidades corrigidas e atribuídas a uma designação CVE são devidas a problemas de segurança de memória.
Mas atenção! Linguagens seguras para a memória não são a resposta de toda a segurança do software, pois não estão isentas de seus próprios riscos de segurança. “Elas oferecem uma maneira de eliminar, não apenas mitigar, classes inteiras de bugs. Esta é uma oportunidade notável para a comunidade técnica melhorar a segurança cibernética de todo o ecossistema digital”, disse o relatório.
Jeff Moss, presidente da DEFCON e Black Hat, disse que apoia a recomendação de adotar linguagens de programação seguras para a memória em todo o ecossistema porque isso pode eliminar categorias inteiras de vulnerabilidades nas quais temos aplicado soluções paliativas nos últimos trinta anos.
Além das mudanças tecnológicas, o relatório afirmou que precisamos repensar onde reside a responsabilidade pela segurança cibernética, deslocando o foco dos defensores da linha de frente para uma gama mais ampla de executivos, o que também está relacionado à necessidade de métricas melhores.
Por muito tempo, a responsabilidade primária da cibersegurança recaiu sobre o Diretor de Segurança da Informação (CISO) da empresa, mas o Diretor de Informação (CIO) e o Diretor de Tecnologia (CTO) devem compartilhar essa responsabilidade, pois contribuem para uma tomada de decisões colaborativa.
“Com métricas melhores, os CTOs poderiam utilizar uma variedade de métodos rigorosos de análise – como revisões de código, testes de aceitação e métodos formais – para garantir que vulnerabilidades em um software sejam raras. Um CIO poderia basear uma decisão de compra em grande parte na qualidade das métricas de um produto de software, confiante de que sua adoção representa menos riscos para a organização.”
Quer saber mais como melhorar a segurança da sua empresa e impedir que as vulnerabilidades de gerenciamento da memória sejam exploradas na sua infraestrutura? A e-Safer possui as melhores soluções de cibersegurança para que sua equipe de TI possa manter o controle do que acontece na sua organização, com visibilidade contínua e monitoramento 24×7. Entre em contato hoje mesmo para tirar suas dúvidas e converse com nossos profissionais especializados para entender como nossas ferramentas conseguem se adequar às necessidades da sua empresa.