As agências de segurança dos EUA pedem que indústria de software adote práticas mais seguras
A Agência de Segurança de Infraestrutura e Cibersegurança (CISA) e o Federal Bureau of Investigation (FBI) emitiram um alerta conjunto na iniciativa “Secure by Design”, destacando a gravidade das vulnerabilidades de desbordamento de buffer, uma das falhas de segurança mais exploradas por cibercriminosos. Essas vulnerabilidades, classificadas como CWE-119, permitem que invasores acessem ou escrevam informações em partes não autorizadas da memória de um sistema, resultando em corrupção de dados, exposição de informações sensíveis e até mesmo em necessária execução de código malicioso.
Apesar de existirem metodologias eficazes para prevenir essas falhas, muitos desenvolvedores ainda utilizam práticas inseguras, o que representa um risco significativo para a segurança nacional e econômica. Em vista disso, CISA e FBI estão fazendo um apelo à indústria do software para que implementem medidas concretas a fim de corrigir essas vulnerabilidades desde a fase de projeto.
Os desbordamentos de buffer se dividem em duas categorias principais: os baseados em pilha, que ocorrem quando há escrita excessiva de dados na pilha, e os baseados em montão, que surgem na área de memória dinamicamente alocada. Ambos podem comprometer a estabilidade e a segurança dos sistemas.
Para mitigar essas vulnerabilidades, as agências recomendam o uso de linguagens de programação seguras, como Rust ou Go, que oferecem gestão segura da memória, além da implementação de proteções em compiladores e de ferramentas de análise e testes de segurança. Elas também enfatizam a importância de desenvolver uma trajetória gradual para a segurança da memória e de garantir transparência sobre como as vulnerabilidades estão sendo tratadas pelas empresas.
CISA e FBI ressaltam que a indústria de software precisa se comprometer com a eliminação total dessas falhas. A segurança não pode depender de soluções temporárias; deve ser um princípio fundamental na engenharia de produtos. O movimento “Secure by Design” já conta com o apoio de 17 agências de cibersegurança ao redor do mundo, incluindo a Casa Branca e empresas como Google e Microsoft, reforçando a necessidade urgente de adaptações nesse setor.