OpenSSL Alternative RustIs recibe respaldo financiero de Google
El Grupo de Investigación de Seguridad de Internet ha anunciado que Google proporcionará un importante impulso de financiación para el desarrollo de RustIs. RustIs es una alternativa a la biblioteca de seguridad OpenSSL de uso común que protege numerosos sitios web y servicios que promete brindar una mejor seguridad en Internet al reducir la exposición a vulnerabilidades basadas en la memoria.
Socio de Google e ISRG para el desarrollo de RustIs
Internet Security Research Group (ISRG) es el equipo de desarrollo detrás de Let's Encrypt, una autoridad de certificación sin fines de lucro que ayuda a proteger cientos de millones de sitios web con certificados digitales gratuitos.
El ISRG sostiene que, si bien OpenSSL y sus alternativas funcionan y brindan a Internet un servicio crítico, muchas bibliotecas existentes tienen problemas de seguridad críticos. Los problemas de seguridad se deben al hecho de que la mayoría de las bibliotecas SSL / TLS están escritas en lenguajes como C, que tiene un amplio soporte pero no es seguro para la memoria.
Ahí es donde interviene RustIs. Rust, el lenguaje de programación detrás de RustIs, es un lenguaje seguro para la memoria. La nueva implementación de seguridad ha sido auditada por terceros y confirmada como segura.
El anuncio oficial del ISRG confirma que con el respaldo financiero de Google, el Grupo de Investigación de Seguridad de Internet ha contratado al experimentado desarrollador de Rust, Dirkjan Ochtman, para realizar varias mejoras clave en RustIs (un proyecto al que Ochtman ya contribuye).
Las mejoras incluyen:
- Aplique una política de no pánico para eliminar la posibilidad de un comportamiento indefinido cuando se usa Rustls a través del límite del lenguaje C.
- Mejore la API de C para que Rustls pueda integrarse aún más fácilmente en las aplicaciones basadas en C existentes. Fusiona la API de C en el repositorio principal de Rustls.
- Agregue soporte para validar certificados que contienen una dirección IP en la extensión del nombre alternativo del sujeto.
- Permitir configurar conexiones del lado del servidor según la entrada del cliente.
Las mejoras a RustIs deberían hacer que la biblioteca de seguridad sea una propuesta más atractiva para proyectos que actualmente usan OpenSSL y otras bibliotecas alternativas.
¿Son los errores de seguridad de la memoria un problema importante?
Definitivamente pueden serlo, especialmente si los explota un atacante con conocimientos suficientes. Los errores de seguridad de la memoria, como el uso después de escritura libre y fuera de límites (o lectura ), pueden provocar la corrupción de datos, la pérdida de datos y más.
Según el ISRG , entre el 60 y el 70 por ciento de las vulnerabilidades que afectan a iOS y macOS en los últimos años han sido o están relacionadas con errores de seguridad de la memoria. Microsoft estima que el 70 por ciento de las vulnerabilidades se relacionan con la seguridad de la memoria, mientras que Google estima que el 90 por ciento de las vulnerabilidades de Android son problemas de seguridad de la memoria.
Los lenguajes de programación como C y C ++ no van a desaparecer. Están arraigados y son una parte vital de muchos servicios. Pero al actualizar proyectos como RustI y hacerlos más atractivos, podemos abordar problemas heredados con esos lenguajes de programación.