La Casa Blanca ha pedido a la industria tecnológica que adopte lenguajes de programación seguros para la memoria, eliminando la mayoría de las vulnerabilidades de seguridad de la memoria del hardware y software.
El informe de la Oficina del Director Cibernético Nacional (ONCD) señaló que las vulnerabilidades de seguridad de la memoria son una de las clases de errores “más generalizadas”.
Según análisis de la industria, hasta el 70% de las vulnerabilidades de seguridad en lenguajes inseguros para la memoria que reciben parches y se les asigna una designación CVE se deben a problemas de seguridad de la memoria.
La ONCD dijo que los desarrolladores de software y hardware están mejor posicionados para implementar lenguajes seguros para la memoria, y señaló que este es un método escalable para mejorar sustancialmente la seguridad del software en la mayoría de las situaciones.
“Los programadores que escriben líneas de código no lo hacen sin consecuencias; la forma en que hacen su trabajo es de importancia crítica para el interés nacional”, destacó el informe.
Cómo implementar lenguajes de programación seguros para la memoria
Las vulnerabilidades de seguridad de la memoria afectan la forma en que se puede acceder, escribir, asignar o desasignar la memoria.
Vienen en dos categorías amplias:
- Espacial: Estos problemas resultan de accesos a la memoria realizados fuera de los límites “correctos” establecidos para las variables y objetos en la memoria.
- Temporal: Estas vulnerabilidades surgen cuando se accede a la memoria fuera del tiempo o estado, como acceder a los datos del objeto después de que el objeto se libera o cuando los accesos a la memoria se entrelazan inesperadamente.
La ONCD destacó que varios lenguajes de programación que tienen una gran proliferación en sistemas críticos son propensos a problemas de seguridad de la memoria, incluidos los lenguajes C y C++.
Según el informe, existen “docenas” de lenguajes de programación seguros para la memoria que se pueden utilizar.
El informe citó el chip y las instrucciones RISC mejoradas de capacidad de hardware (CHERI) como protecciones de memoria viables al construir hardware.
Estos deben integrarse en el software como una decisión de arquitectura. Incluso para las bases de código existentes, “todavía hay caminos hacia la adopción de lenguajes de programación seguros para la memoria”.
Anjana Rajan, directora nacional adjunta de seguridad tecnológica, comentó: “Algunos de los eventos cibernéticos más infames de la historia: el gusano Morris de 1988, el gusano Slammer de 2003, la vulnerabilidad Heartbleed de 2014, el exploit Trident de 2016, el Blastpass exploit de 2023 – fueron ciberataques que acapararon los titulares y causaron daños en el mundo real a los sistemas de los que depende la sociedad todos los días.
“Detrás de todos ellos hay una causa raíz común: las vulnerabilidades de seguridad de la memoria. Durante treinta y cinco años, las vulnerabilidades de seguridad de la memoria han plagado el ecosistema digital, pero no tiene por qué ser así”.
Involucrar a las partes interesadas para reducir las vulnerabilidades
La ONCD también instó a la comunidad tecnológica a desarrollar mejores métricas para determinar la calidad de la ciberseguridad del software.
Esto ayudaría a las organizaciones a encontrar vulnerabilidades antes de que ocurran o reducir su impacto. Además, incentivaría “un cambio de comportamiento en todo el ecosistema”, señaló la Casa Blanca.
El informe reconoció que crear tales métricas es difícil debido al complejo ecosistema de software; sin embargo, la comunidad investigadora tiene un papel fundamental en la ciencia del software de medición.
El director nacional de ciberseguridad, Harry Coker, dijo: “También me complace que estemos trabajando con la comunidad académica y pidiéndole que nos ayude a resolver otro problema difícil: ¿cómo desarrollamos mejores diagnósticos para medir la calidad de la ciberseguridad?”
“Abordar estos desafíos es imperativo para garantizar que podamos proteger nuestro ecosistema digital a largo plazo y proteger la seguridad de nuestra nación”.
El nuevo documento de la ONCD forma parte de la Estrategia Nacional de Ciberseguridad del gobierno de EE. UU., publicada en marzo de 2023.
La estrategia tiene como objetivo moldear las fuerzas del mercado para impulsar la seguridad y la resiliencia desde el diseño y trasladar la responsabilidad de la ciberseguridad a los creadores de tecnología.
En el Reino Unido, la iniciativa de Seguridad Digital por Diseño (DSbD), respaldada por el gobierno, está trabajando actualmente para proteger el hardware informático subyacente a través de la arquitectura CHERI, evitando que se produzcan vulnerabilidades de seguridad de la memoria y escalada de privilegios.
