RustIs alternativos do OpenSSL recebem apoio financeiro do Google
O Internet Security Research Group anunciou que o Google fornecerá um aumento significativo de financiamento para o desenvolvimento de RustIs. RustIs é uma alternativa à biblioteca de segurança OpenSSL comumente usada, que protege vários sites e serviços que prometem oferecer melhor segurança na Internet, reduzindo a exposição a vulnerabilidades baseadas em memória.
Google e parceiro ISRG para desenvolvimento de RustIs
O Internet Security Research Group (ISRG) é a equipe de desenvolvimento por trás do Let's Encrypt, uma Autoridade de Certificação sem fins lucrativos que ajuda a proteger centenas de milhões de sites com certificados digitais gratuitos.
O ISRG afirma que, embora o OpenSSL e suas alternativas funcionem e forneçam à Internet um serviço crítico, muitas bibliotecas existentes têm problemas críticos de segurança. Os problemas de segurança decorrem do fato de que a maioria das bibliotecas SSL / TLS são escritas em linguagens como C, que tem amplo suporte, mas não é seguro para a memória.
É aí que entra o RustIs. Rust, a linguagem de programação por trás do RustIs, é uma linguagem de memória segura. A nova implementação de segurança foi auditada por terceiros e confirmada como segura.
O anúncio oficial do ISRG confirma que, com o apoio financeiro do Google, o Internet Security Research Group contratou o experiente desenvolvedor do Rust, Dirkjan Ochtman, para fazer várias melhorias importantes no RustIs (um projeto para o qual Ochtman já contribui).
As melhorias incluem:
- Imponha uma política de não-pânico para eliminar o potencial de comportamento indefinido quando Rustls é usado além dos limites da linguagem C.
- Aprimore a API C para que o Rustls possa ser integrado ainda mais facilmente aos aplicativos baseados em C existentes. Mescle a API C no repositório principal do Rustls.
- Adicione suporte para validação de certificados que contenham um endereço IP na extensão de nome alternativo da entidade.
- Tornar possível configurar conexões do lado do servidor com base na entrada do cliente.
As melhorias no RustIs devem tornar a biblioteca de segurança uma proposta mais atraente para projetos que atualmente usam OpenSSL e outras bibliotecas alternativas.
Os erros de segurança de memória são um problema importante?
Eles definitivamente podem ser, especialmente se explorados por um invasor com conhecimento suficiente. Bugs de segurança de memória, como Use After Free e Out of Bounds Writing (ou Reading ) podem resultar em corrupção de dados, perda de dados e muito mais.
De acordo com o ISRG , entre 60-70 por cento das vulnerabilidades que afetam iOS e macOS nos últimos anos foram ou estão relacionadas a bugs de segurança de memória. A Microsoft estima que 70 por cento das vulnerabilidades estão relacionadas à segurança da memória, enquanto o Google estima que 90 por cento das vulnerabilidades do Android são problemas de segurança da memória.
Linguagens de programação como C e C ++ não vão desaparecer. Eles estão arraigados e são uma parte vital de muitos serviços. Mas, ao atualizar projetos como RustIs e torná-los mais atraentes, podemos resolver problemas legados com essas linguagens de programação.
