Rust helpt crimineel beetje op weg
De programmeertaal Rust wordt door ontwikkelaars en opdrachtgevers geroemd. Niet omdat het gebruik niet per se heel gemakkelijk is of de taal helpt om projecten snel tot een goed einde te brengen. Maar de ingebouwde veiligheidskleppen zorgen er wel voor dat de code die ermee wordt geschreven, veel robuuster en veiliger is dan bij gebruik van andere talen. Criminelen wordt echter ook veel werk uit handen genomen.
© Shutterstock
Shutterstock
Rust is niet de enige programmeertaal die standaard ontwikkelaars op de vingers kijkt. Zo geeft bijvoorbeeld ook TypeScript commentaar op code die ermee geschreven wordt en er zullen steeds meer talen komen met een dergelijke veiligheidsklep. Rust behoort wel de strengere Voldoe je niet aan een aantal basisregels, weigert de compiler gewoon de geschreven code te bewerken. Rust kijkt niet alleen naar code die veiligheidsproblemen kan opleveren, maar ook naar code die voor functionele bugs kan zorgen of problemen geeft voor de onderhoudbaarheid.
Het resultaat is dat de blunders die in de top 10 van de meest voorkomende IT-veiligheidsproblemen (CVE-lijst) staan, eigenlijk niet in software geschreven met Rust kunnen zitten. Tenzij te veel gebruik is gemaakt van het UNSAFE-blok, waarmee een ontwikkelaar de controle kan omzeilen wanneer er - om wat voor reden dan ook - om de beperkingen die de taal oplegt, heen gewerkt moet worden.
Alleen maar goed nieuws dus zou je zeggen. Zo'n corrigerende taak zorgt al aan de basis voor veilige en robuuste code.
Maar leef je eens in in de wereld van de cybercrimineel. Die heeft beperkte tijd en kiest altijd voor de gemakkelijkste weg om ergens binnen te komen op zoek naar geld of waardevolle gegevens. Bij een scan op lekken in software begin je dan bij de meest voorkomende programmeerfouten.
Platgetreden paden gelijk overslaan
Weet je dat de software geschreven is in Rust, is dat echter een heilloze weg. De kans is klein is dat je die veelvoorkomende fouten aantreft. Die fase kun je dus direct overslaan en dat scheelt gelijk een hele hoop uitzoekwerk. Je kan je gelijk richten op de fouten waarvan bekend is dat Rust ze niet detecteert. Die fouten zijn algemeen bekend en worden zelfs op een presenteerblaadje gegeven door RustSec. Er staan op die lijst inmiddels zo'n 250 kwetsbaarheden die de Rust compiler niet opmerkt.
Ontwikkelaars die aan de slag gaan met Rust, worden mogelijk zelfs wat minder alert omdat ze gewend zijn dat de compiler bij missers wel ingrijpt. Dat kan ertoe leiden dat de fouten die de Rust compiler niet opmerkt, verhoudingsgewijs vaker voorkomen. De cybercrimineel zal dus dankbaar gebruik maken van de tijdsbesparing die dit alles oplevert.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee