Software-industrie aangespoord om kwetsbaarheden te verhelpen met veilige programmeertalen en betere ontwikkelingspraktijken
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI) hebben gezamenlijk een waarschuwing uitgebracht binnen het kader van het initiatief Secure by Design. Deze waarschuwing benadrukt de ernst van buffer overflow-kwetsbaarheden, die tot de meest vaak misbruikte beveiligingsfouten behoren door kwaadwillige actoren.
Buffer overflow-kwetsbaarheden, gecategoriseerd onder de classificatie CWE-119, stellen aanvallers in staat om toegang te krijgen tot of informatie te schrijven in niet-geautoriseerde delen van het geheugen van een systeem. Dit soort fouten kan leiden tot gegevenscorruptie, blootstelling van gevoelige informatie, het uitvoeren van kwaadaardige code en zelfs volledige controle over het systeem.
Ondanks het bestaan van effectieve methodologieën om deze kwetsbaarheden te voorkomen, blijven veel fabrikanten onveilige ontwikkelingspraktijken toepassen, wat een aanzienlijke bedreiging vormt voor de nationale en economische veiligheid. Daarom dringen CISA en de FBI er bij de software-industrie op aan om concrete stappen te ondernemen om deze fouten vanaf de ontwerpfase uit hun producten te verwijderen.
Hoofd risico’s van buffer overflows
Er zijn twee voornaamste typen buffer overflows:
- Stack-based overflows (CWE-121): Deze treden op wanneer een programma meer gegevens in de stack schrijft dan het kan verwerken, waardoor kritieke informatie wordt overschreven.
- Heap-based overflows (CWE-122): Deze komen voor wanneer er wordt geschreven naar dynamisch toegewezen geheugengebieden, wat de stabiliteit van het systeem kan compromitteren.
Aanbevelingen om buffer overflows te voorkomen
CISA en de FBI doen een reeks belangrijke aanbevelingen om deze kwetsbaarheden te beperken en te elimineren:
1. Gebruik van veilige programmeertalen
- Kies voor talen met veilige geheugengebieden, zoals Rust, Go of Swift, in plaats van traditioneel onveilige talen zoals C of C++.
- Vermijd het uitschakelen van de veiligheidsgaranties van veilige talen.
2. Implementatie van compiler-beveiligingen
- Zet beveiligingsvlaggen in compilers aan, zoals Stack Canaries en Address Space Layout Randomization (ASLR), om de exploitatie van kwetsbaarheden te beperken.
3. Gebruik van analyse- en beveiligingstools
- Voer tools zoals AddressSanitizer en MemorySanitizer uit om problemen in runtime te detecteren.
- Pas technieken toe zoals fuzzing en statische code-analyse om kwetsbaarheden vóór implementatie te identificeren.
4. Ontwikkeling van een routekaart naar geheugensecurity
- Stel een geleidelijk plan op om de meest kritieke segmenten van de code opnieuw te schrijven in veilige talen.
- Documenteer eerdere gevallen van buffer overflows en pas causaal analyses toe om vergelijkbare fouten in de toekomst te voorkomen.
5. Transparantie en verantwoording in beveiliging
- Publiceer gedetailleerde beveiligingsrapporten die aangeven hoe fabrikanten deze problemen aanpakken.
- Neem verantwoordelijke openbaarmaking van kwetsbaarheden aan, om ervoor te zorgen dat gebruikers op de hoogte zijn van mogelijke risico’s.
Eliminatie van kwetsbaarheden: een haalbaar doel
CISA en de FBI benadrukken dat de software-industrie moet streven naar de volledige eliminatie van buffer overflow-kwetsbaarheden, in plaats van te vertrouwen op tijdelijke oplossingen. Het aannemen van veilige ontwerpmethoden zal de druk op gebruikers verminderen en het risico op aanvallen minimaliseren.
Het verzoek van de agentschappen is duidelijk: softwarefabrikanten moeten de verantwoordelijkheid nemen voor de beveiliging van hun producten en ervoor zorgen dat deze veilig zijn vanaf de ontwikkeling. Tegelijkertijd dringen ze er bij consumenten op aan om veilige oplossingen te eisen en te verifiëren dat bedrijven aan deze normen voldoen voordat ze software aanschaffen.
Verbintenis met beveiliging door ontwerp
De agentschappen herinneren eraan dat de aanpak Secure by Design wordt ondersteund door 17 wereldwijde cybersecurity-agentschappen, waaronder het Witte Huis, de National Security Agency (NSA) en technologiebedrijven zoals Google, Microsoft en Amazon.
CISA en de FBI herhalen tenslotte dat de beveiliging van software niet kan steunen op reactieve oplossingen, maar als een essentieel principe geïntegreerd moet worden in de productontwikkeling.