Америка в опасности из-за С и С++. Нужно срочно переходить на Rust, Python и Java

Власти США призывают разработчиков ПО как можно скорее отказаться от использования небезопасных по их мнению, языков С и С++. Они уверены, что из-за них в используемых в стране программах десятилетиями таятся уязвимости, которые до сих пор не устранены. В качестве альтернативы предложены любимый миллионами программистов Python, а также Rust, который очень популярен среди хакеров. На переход от С и С++ к Rust и Python может уйти несколько десятков лет.

Пора быть безопасным

Администрация действующего Президента США Джозефа Байдена (Joseph Biden) усиливает давление на технологическую отрасль. На этот раз она потребовала создавать программное обеспечение, «безопасное с самого начала», а не становящееся таким по мере выискивания и устранения уязвимостей в нем, пишет портал The Record.

Представители администрации обратились к ИТ-отрасли с призывом начать писать софт на языках программирования, в которых есть функции безопасной работы с памятью компьютера. В качестве примера они привели три языка, один из которых, что весьма иронично, очень востребован среди киберпреступников.

В список безопасных вошли Python (самый популярный язык программирования в мире с октября 2021 г. по версии компании Tiobe), а также Java, на котором любят писать российские разработчики. Также упомянут Rust – он тоже пользуется спросом у программистов, но хакеры, как сообщал CNews, любят его еще сильнее.

Власти США, по сути, обвинили программистов в проблемах кибербезопасности страны. Они якобы использовали "не те" языки

Это трио в администрации Президента США преподносят как более безопасную альтернативу языкам С и С++, в которых якобы нет алгоритмов защиты памяти ПК. Между тем, оба эти языка – в числе самых популярных в мире: согласно статистике Tiobe за февраль 2024 г, Python на первом месте, С и С++ на втором и третьем соответственно, Java на четвертом, а Rust – на 18. Если положения первых четырех не изменились за год, то Rust за тот же период поднялся на две строчки.

Кто выступает за «стабильность»

Заявления о необходимости кардинально изменить подход к написанию ПО поступают и из Офиса национального директора по кибербезопасности (Office of the National Cyber Director, ONCD). Это агентство в составе Правительства США, основанное в 2021 г. и занимающееся консультированием Президента США по вопросам, связанным с кибербезопасностью.

Представители ONCD утверждают, что из-за несовершенства языков программирования, использовавшихся ранее (С появился в 1972 г., а С++ – в 1983 г.) «дырявый» софт в США распространяется с 1980-х годов. Усилия ONCD направлены на сокращение ошибок при написании ПО, которые позволяют злоумышленникам злоупотреблять тем, как программное обеспечение управляет памятью компьютера. Такие уязвимости можно использовать, к примеру, для взлома или повреждения данных и запуска вредоносного кода, пишет The Record. 

«Чтобы уменьшить количество атак в киберпространстве, мы должны устранить целые классы уязвимостей», — сказал директор по кибербезопасности США Гарри Кокер (Harry Coker), комментируя новый технический отчет, подготовленный Белым домом для отрасли и касающийся вопросов информационной безопасности, в том числе и задач по отказу от С и С++.

В ONCD отдельно акцентировали внимание на том, что этот отчет уже получил поддержку со стороны многих лидеров технологического сектора и научных кругов. В качестве примера в ведомстве привели компании из разных стран мира, в частности, немецкую SAP и американскую Hewlett Packard Enterprise. Обе они, к слову, покинули Россию на фоне всем известных событий. 

За все ответит крупный бизнес

Как пишет The Record, отчет Белого дома «делает важный шаг к перекладыванию ответственности за кибербезопасность с отдельных лиц и малого бизнеса на крупные организации», включая ИТ-корпорации с мировым именем. Авторы отчета объясняют это тем, что такие техногиганты имеют больше возможностей контролировать постоянно растущие киберугрозы.

Также Белый дом хочет, чтобы задачи, связанные с ИБ, ложились на плечи не только инженеров и разработчиков ПО, но и на руководителей. «Мы надеемся, что вопрос безопасности компьютерной памяти (в коде программ – прим. CNews) станет пунктом повестки дня следующего заседания совета директоров многих из этих компаний», – сказал представитель администрации Байдена.

Десятки лет упорного труда

По словам этого чиновника, чтобы крупные компании с большим количеством разработанного ПО действительно могли гарантировать, что их софт не содержит «дыр», связанных с памятью ПК, большим количеством продуктов, возможно, им придется проделать гигантскую работу.

«Переход на код, безопасный для памяти, может занять несколько десятилетий, в зависимости от размера компании, и потребует внимания и поддержки всех, – заявил представитель администрации Президента США. – «Но те, кто это сделает, окажут огромное влияние на безопасности нашей страны».

В Белом доме отмечает, что ошибки ПО, открывающие хакерам доступ к памяти компьютера, стали причиной одного из самых ранних инцидентов кибербезопасности в истории — появления так называемого «червя Морриса» 1988 г. Это один из первых сетевых-червей в мире – он написан бывшим аспирантом Корнельского университета Робертом Моррисом (Robert Morris) и запущен 2 ноября 1988 г. во внутренней сети Массачусетского технологического института. Ущерб от действий червя вплотную приблизился к $1 млн.

Также в Белом доме подчеркнули, что эти связанные с взаимодействием с памятью ПК ошибки ПО и по сей день продолжают предоставлять широкие возможности злоумышленникам, включая цепочку уязвимостей BLASTPASS в мобильных устройствах Apple, выявленную в 2023 г. и в последствии устраненную. Однако шпионское ПО для эксплуатации этих «дыр» получило довольно широкое распространение.