Beyaz Saray Ulusal Siber Yönetici Ofisi (ONCD), teknoloji şirketlerini bugün “Rust” gibi bellek güvenliği dilleri kullanmaya çağırdı. Bu çağrı, bellek güvenliği açıklarının sayısını azaltarak yazılım güvenliğini geliştirmeyi hedefliyor. Rust, bellek hatalarını ve diğer güvenlik açıklarını önlemek için tasarlanmış, modern bir programlama dili olarak tasarlandı. Bu dil, yazılımın bellek ile güvenli bir şekilde etkileşime girmesini sağlayarak siber saldırılara karşı koruma sağlıyor.
Sektördeki bu tür açıklar, yazılımın bellek yönetimi ile ilgili sorunlara yol açan kodlama hataları veya zayıflıkları olarak tanımlanıyor. Yazılımın belleğe amaçlanmayan veya güvenli olmayan yollarla erişmesi durumunda ortaya çıkıyorlar. Bu da, “buffer overflow”, “use after free”, “use of uninitialized memory” ve “double free” gibi saldırganların istismar edebileceği çeşitli güvenlik risklerine neden oluyor.
Yazılım güvenliği için önlem
Kötü niyetli kişilerin başarılı bir şekilde bu açıklardan faydalanılması; tehdit aktörlerinin verilere izinsiz erişim elde etmesine veya kötü amaçlı kodları sistem sahibi ayrıcalıklarıyla çalıştırmasına yol açarak ciddi tehditler oluşturuyor.
ONCD’nin raporuna göre: “35 yılı aşkın süredir, aynı türdeki güvenlik açığı sınıfı, dijital ekosisteme zarar vermekte. Tüm yazılım güvenlik açığı sınıflarını ortadan kaldırma mücadelesi oldukça acil ve karmaşık bir problem. İleriye dönük olarak, bu riski azaltmak için yeni yaklaşımlar benimsenmeli.” şeklinde ifadelerde bulunuyor. Kuruluş ayrıca şunları da belirtti: “Bellek güvenliği açıklarını azaltmanın en etkili yöntemi, siber uzayın yapı taşlarından biri olan programlama diline güvence getirmektir. Bellek güvenliği dillerinin kullanılması, en yaygın bellek güvenliği hatalarını ortadan kaldırabilir.”
Bugünkü rapor, Mart 2023’te Başkan Biden tarafından imzalanan Ulusal Siber Güvenlik Stratejisi’ni temel alıyor. Strateji, ülkenin siber alanını savunma yükünü yazılım satıcılarına ve hizmet sağlayıcılarına kaydırıyor.
YouTube üzerinden yapılan açıklama:
Ulusal Güvenlik Ajansı (NSA), ayrıca Kasım 2022’de yazılım geliştiricilerinin yazılım bellek güvenliği sorunlarını nasıl önleyebilecekleri konusunda rehberlik niteliğinde bir doküman yayınladı.
Aralık 2023’te Siber ve Altyapı Güvenliği Ajansı (CISA) ve uluslararası ortakları tarafından hazırlanan benzer bir raporda da bellek güvenliği dillerine geçişin teşvik edildiği belirtiliyor. Raporda, yazılım ürünlerinin saldırı yüzeyini azaltarak bellek ile ilgili güvenlik açıklarını ortadan kaldırmak amaçlanıyor.
Microsoft’un bulgularına göre, bellek güvenliği sağlanamamış diller kullanılarak geliştirilen yazılımlarda tespit edilen güvenlik açıklarının %70’i bellek güvenliği yüzünden kaynaklanıyor. Bu durum, kapsamlı kod incelemeleri ve ek önlemler alınmasına rağmen devam hala ediyor.
Öte yandan, Google araştırmasının bulguları, bellek güvenliği olan bir dilin kullanılmasının, büyük kod tabanlarında bile bellek güvenliği açıklarının sayısını önemli ölçüde azaltabileceğini ve hatta bazı durumlarda tümüyle ortadan kaldırdığını gösteriyor.
Instagram Arkadaş Haritası deneyine başlıyor
Bellek güvenliğinin sağlanması sadece yazılım geliştiricilerinin değil, tüm dijital ekosistemin sorumluluğu. Kamu ve özel sektör kuruluşları, bellek güvenliği dillerinin benimsenmesine yatırım yapmalı ve bu dillerin kullanımının teşvik edilmesi için gerekli adımları atması gerekiyor.
Gelecekte, bellek güvenliği dilleri, siber güvenliğin temel bir unsuru haline gelecek ve dijital dünyayı daha güvenli bir yer haline getirmeye yardımcı olacak. Fakat o zamana kadar kullanıcıların dikkatli olması gerekiyor.
Öne çıkan kaynak görseli: Furkan Demirkaya
