Οδηγός για την αντιμετώπιση ευπαθειών ασφάλειας μνήμης από την NSA

Η Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ (NSA) δημοσίευσε την περασμένη εβδομάδα έναν νέο οδηγό για να βοηθήσει τους προγραμματιστές στην πρόληψη και τον μετριασμό ζητημάτων ασφάλειας της μνήμης λογισμικού (software memory) και συνδεδεμένων τρωτών σημείων.

Το έγγραφο περιγράφει σενάρια όπου κακόβουλοι φορείς του κυβερνοχώρου εκμεταλλεύονται προβλήματα κακής διαχείρισης μνήμης για να κλέψουν ευαίσθητες πληροφορίες, να διασπείρουν μη εξουσιοδοτημένη εκτέλεση κώδικα και να προκαλέσουν άλλες αρνητικές συνέπειες.

Επιπλέον, η κακή διαχείριση μνήμης μπορεί επίσης να οδηγήσει σε τεχνικά ζητήματα, όπως λανθασμένα αποτελέσματα από ένα πρόγραμμα, σταδιακή υποβάθμιση της απόδοσης του προγράμματος και κρασαρίσματα.

Σύμφωνα με τον οδηγό της NSA, τόσο η Microsoft όσο και η Google έχουν δηλώσει ανεξάρτητα μεταξύ τους ότι τα ζητήματα ασφάλειας στη μνήμη λογισμικού βρίσκονται πίσω από το 70% περίπου των τρωτών σημείων τους.

Οι νέες κατευθυντήριες γραμμές της NSA συνιστούν στους οργανισμούς να χρησιμοποιούν γλώσσες που είναι ασφαλείς για μνήμη, όταν είναι αυτό δυνατόν και να βελτιώνουν την προστασία μέσω code-hardening, όπως επιλογές στον μεταγλωττιστή, επιλογές εργαλείων και configurations του λειτουργικού συστήματος (OS).