Rust được bắt đầu từ dự án cá nhân của một nhân viên tại Mozilla có tên là Graydon Hoare vào năm 2006 và phiên bản phát hành 1.0 đầu tiên được ra mắt vào tháng 5/2015. Được thiết kế cho hiệu suất, tốc độ và an toàn trong những môi trường lớn, đặc biệt là vấn đề an toàn về bộ nhớ, Rust hiện đang được ứng dụng trong nhiều sản phẩm, dự án của nhiều công ty lớn như Meta, Amazon Web Services (AWS) hay Microsoft cho các chương trình của Windows, Azure,…
Lỗi an toàn bộ nhớ là bề mặt tấn công lớn hiện nay mà các tin tặc có thể tận dụng chúng để khai thác. Về vấn đề này, các chuyên gia bảo mật đánh giá cao "khả năng đảm bảo an toàn cho bộ nhớ" của Rust, giúp giảm nhu cầu quản lý thủ công bộ nhớ của chương trình và giảm nguy cơ lỗi bảo mật liên quan đến bộ nhớ thường xuất hiện trong các ngôn ngữ như C và C++, bao gồm Chrome, Android, nhân Linux và Windows.
Microsoft đã kết luận về điều này vào năm 2019 sau khi tiết lộ 70% bản vá của họ trong 12 năm trước đó là liên quan đến các lỗi an toàn bộ nhớ do phần lớn chương trình của Windows được viết bằng C và C++. Tương tự, Google Chrome cũng đã cân nhắc với những phát hiện của riêng mình vào năm 2020, đồng thời tiết lộ rằng 70% các lỗi bảo mật nghiêm trọng của Chrome được viết chủ yếu bằng ngôn ngữ C++ là lỗi quản lý bộ nhớ an toàn.
Trong Hội nghị thượng đỉnh mã nguồn mở Châu Âu, Linus Torvalds - người đặt nền tảng và phát triển Linux cho biết: “Trừ những vấn đề không lường trước được, Rust sẽ được chấp nhận trong kernel Linux 6.1”. Điều này cho thấy Rust hiện đã sẵn sàng như một ngôn ngữ thực tế để triển khai các dự án trên Linux.
Một trong những lý do Rust được các lập trình viên ưa thích đó là ngôn ngữ này ưu tiên sự an toàn nhưng không có bộ sưu tập rác (Gabbage collector – GC), vốn dĩ được sử dụng để xử lý việc quản lý bộ nhớ. Go của Google là một ngôn ngữ GC, trong khi Rust thì không. Với hệ thống quyền sở hữu của Rust phân tích việc quản lý bộ nhớ của chương trình tại thời điểm biên dịnh, qua đó đảm bảo lỗi do quản lý bộ nhớ sẽ không xảy ra và việc thu thập rác là không cần thiết nữa.
Russinovich cho biết: "Nói về ngôn ngữ lập trình, đã đến lúc tạm dừng bắt đầu bất kỳ dự án mới nào với C và C++. Vì lợi ích bảo mật và độ tin cậy, các nhà phát triển nên sử dụng Rust cho những trường hợp yêu cầu ngôn ngữ không dùng GC".
Trong nỗ lực giảm thiểu các lỗi về an toàn bộ nhớ, Google đã công bố Rust được sử dụng trong Dự án của Android (AOSP) – là một bản phân phối của Linux vào tháng 4/2021 trên cơ sở của mã C/C++. Cũng trong tháng này, AOSP cũng ủng hộ việc xem Rust như một tùy chọn cho mã mới trong nhân Linux.
Rust là một sự thay thế đầy hứa hẹn cho C và C++, đặc biệt cho lập trình viên hệ thống, các dự án , phát triển phần mềm nhúng,… nhưng không phải ứng dụng được mọi nơi và không phải trong tất cả các dự án. Gần đây, Meta đã quảng bá Rust như một ngôn ngữ phía máy chủ được hỗ trợ chính cùng với C++, AWS đầu tư vào Rust cho phần mềm cơ sở hạ tầng của mình, trong khi đó các kỹ sư của Azure đã sử dụng nó để xây dựng các công cụ đám mây để kiểm tra các mô-đun WebAssembly trong Kubernetes. Tuy nhiên, mặc dù quan tâm đến Rust nhưng đại diện Chrome cho biết, chỉ riêng việc chuyển sang Rust sẽ không loại bỏ được một tỷ lệ đáng kể các lỗ hổng bảo mật trong nhiều năm. Thay vào đó, Chrome đang mang lại sự an toàn cho bộ nhớ với cơ sở mã C++ của nó.
Bob Rudis, một nhà nghiên cứu bảo mật của công ty an ninh mạng GreyNoise Intelligence, người trước đây từng làm việc với Rapid7, đã lưu ý rằng các nhà phát triển có thể mang những quan điểm, thói quen bảo mật không an toàn tương tự khi sử dụng Rust.
Steven J. Vaughan-Nichols, chuyên gia công nghệ của ZDNet, đồng ý với quan điểm Rudis: "Các lập trình viên có thể viết mã "an toàn" bằng C hoặc C++, nhưng nó sẽ khó khăn hơn nhiều, bất kể họ sử dụng ngôn ngữ nào, so với Rust. Nên nhớ, các lập trình viên vẫn có thể gây ra những mối đe dọa bảo mật trong Rust, nhưng nó có thể tránh được rất nhiều vấn đề cũ liên quan đến bộ nhớ".
Anh Tuấn
(theo ZDNet)
08:00 | 04/07/2017
13:00 | 29/05/2023
18:00 | 16/08/2022
09:00 | 25/01/2022
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
11:00 | 27/01/2023
Nhà máy thông minh hay sản xuất thông minh là sự phát triển vượt bậc từ một hệ thống sản xuất truyền thống sang một hệ thống sản xuất thông minh dựa trên dữ liệu có thể kết nối và xử lý liên tục, được thu thập từ các máy móc thiết bị sản xuất, đến các quy trình sản xuất và kinh doanh. Việc kết nối với điện toán đám mây và môi trường Internet mang lại nhiều lợi thế cho hệ thống, tuy nhiên nó cũng dẫn đến nguy cơ bị tấn công mạng. Các cuộc tấn công mạng vào các hệ thống sản xuất công nghiệp có thể làm tê liệt dây chuyền vận hành và từ chối hoạt động truy cập vào dữ liệu quan trọng. Do đó, cần thiết lập các biện pháp bảo mật mạnh mẽ để phát hiện và bảo vệ trước các mối đe dọa an ninh từ các cuộc tấn công độc hại vào hạ tầng mạng và các thiết bị công nghiệp đối với sự phát triển của mô hình nhà máy thông minh.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
08:00 | 07/05/2024