Internet anti karat dengan Prossimo ISRG
Security

Internet anti karat dengan Prossimo ISRG

Anda tahu Internet Security Research Group (ISRG) nirlaba untuk otoritas sertifikat Let’s Encrypt, cara paling populer untuk mengamankan situs web dengan sertifikat TLS. Grup ingin berbuat lebih banyak. Proyek terbarunya, Prossimo, berusaha membuat banyak program dan protokol internet dasar aman dari memori dengan menulis ulang di Rust.

Rust, seperti beberapa bahasa pemrograman aman memori lainnya seperti Go dan Java, mencegah pemrogram memperkenalkan beberapa jenis bug memori. Terlalu sering bug keamanan memori berjalan seiring dengan masalah keamanan. Sayangnya, sebagian besar perangkat lunak dasar internet ditulis dalam C, yang sama sekali tidak aman untuk memori.

Tentu saja, Anda dapat menulis program yang aman dari memori dalam C atau C++, tetapi itu sulit. Sebaliknya, Anda dapat membuat bug memori di Rust jika Anda berusaha cukup keras, tetapi secara umum Rust and Go jauh lebih aman daripada C dan C++.

Juga: Bahasa pemrograman paling populer dan tempat mempelajarinya

Ada banyak jenis bug keamanan memori. Salah satu jenis yang umum adalah membaca dan menulis di luar batas. Dalam hal ini, jika Anda menulis kode untuk melacak daftar tugas dengan 10 item dalam C tanpa tindakan perlindungan memori, pengguna dapat mencoba membaca dan menulis untuk item ke-11. Alih-alih pesan kesalahan, Anda akan membaca atau menulis ke memori milik program lain. Dalam bahasa yang aman untuk memori, Anda akan mendapatkan kesalahan kompilasi atau crash saat dijalankan. Sebuah crash adalah berita buruk juga, tapi itu lebih baik daripada memberikan hacker akses gratis ke memori program beberapa orang lain.

Menggunakan contoh yang sama, apa yang terjadi jika Anda menghapus daftar tugas dan kemudian meminta item pertama dari daftar tersebut? Program yang ditulis dengan buruk dalam bahasa yang tidak aman untuk memori akan mencoba mengambil dari lokasi memori lama dalam apa yang disebut kesalahan penggunaan setelah bebas. Trik ini digunakan sepanjang waktu untuk mencuri data dan membuat kekacauan pada program yang tidak aman. Sekali lagi, dengan Rust or Go, Anda harus berusaha keras untuk memperkenalkan kesalahan seperti itu.

Seperti yang dijelaskan direktur eksekutif ISRG, Josh Aas, dalam pidatonya di Linux Foundation Membership Summit:

Kami baru mulai membicarakan keamanan secara serius baru-baru ini. Masalahnya terutama kode C dan C++. Dari situlah kerentanan ini berasal. Kerentanan keamanan memori baru muncul di perangkat lunak yang banyak digunakan setiap hari. Saya pikir itu adil untuk mengatakan bahwa ini di luar kendali. 90% kerentanan di Android; 70% dari Microsoft dan 80% kerentanan zero-day berasal dari bahasa lama berbasis memori. Ada biaya nyata untuk hal ini setiap hari orang terluka.

Mengapa mereka melakukan ini sekarang? Karena, Aas menjelaskan, “Kami tidak memiliki bahasa sistem yang bagus untuk menggantikan C. Sekarang, kami memiliki opsi itu.”

Jadi di bawah payung Prossimo, ISRG mensponsori pengembang untuk membuat versi program internet yang aman dari memori. Sejauh ini termasuk pustaka TLS yang aman dari memori, Hyper, dan modul, mod_tls, untuk server web Apache; utilitas transfer data curl yang aman dari memori; dan Rustls yang aman dari memori, alternatif OpenSSL yang lebih aman.

Selanjutnya, Prossimo ingin memberikan Network Time Protocol (NTP) perawatan yang aman untuk memori. Namun, untuk saat ini, proyek NTP ini kekurangan dana.

Tentu saja, mengganti program berbasis C penting di seluruh internet adalah tugas besar dan kompleks. Tapi itu adalah pekerjaan yang harus dilakukan saat kita semakin bergantung pada internet untuk kehidupan pribadi kita, pekerjaan bisnis, dan tentu saja seluruh ekonomi global.

Cerita Terkait:

Posted By : togel hari ini hongkong