Memory Safe Programming: Übersetzung von C nach Rust

Die Defense Advanced Research Projects Agency (DARPA) hat Ende Juli 2024 das Programm “Translating All C to Rust” (TRACTOR) ins Leben gerufen, um die Übersetzung der weltweit anfälligen Legacy-C-Codes in die sicherere Programmiersprache Rust zu automatisieren.

Der Hintergrund: Speichersicherheitslücken gehören zu den häufigsten offengelegten Software-Schwachstellen und entstehen meist durch direkte Manipulation des Speichers in Programmiersprachen wie C oder durch “undefiniertes Verhalten” im Programmcode.

Die Software-Engineering-Community hat nach über zwei Jahrzehnten der Bekämpfung von Speichersicherheitsproblemen erkannt, dass das Vertrauen auf Fehlersuchwerkzeuge nicht ausreicht. Auch das Office of the National Cyber Director fordert proaktivere Ansätze zur Beseitigung dieser Schwachstellen.

Die Herausforderung besteht darin, den umfangreichen Legacy-Code, der in C geschrieben wurde, neu zu schreiben. C wurde in den 1970er Jahren entwickelt und ist in zahlreichen Anwendungen von Smartphones bis zu Raumfahrzeugen im Einsatz. Besonders das US-Verteidigungsministerium ist stark von Programmiersprachen wie C abhängig.

Durch den kulturellen Wandel hin zu Rust und Durchbrüche in maschinellen Lerntechniken, insbesondere große Sprachmodelle (LLMs), eröffnen sich neue Lösungswege. TRACTOR zielt darauf ab, die Übersetzung von Legacy-C-Code zu Rust weitgehend zu automatisieren.

„Man kann zu einer LLM-Website gehen, mit einem der KI-Chatbots chatten und einfach sagen: ‚Hier ist etwas C-Code, bitte übersetze ihn in sicheren, idiomatischen Rust-Code‘“, erklärte Dr. Dan Wallach, DARPA-Programmmanager für TRACTOR. „Die Forschungsherausforderung besteht darin, die automatisierte Übersetzung von C nach Rust, insbesondere für relevante Programmstrukturen, erheblich zu verbessern."

TRACTOR strebt die gleiche Qualität und den Stil an, wie sie ein erfahrener Rust-Entwickler produzieren würde, um die gesamte Klasse der Speichersicherheitslücken in C-Programmen zu eliminieren.

DARPA wird am 26. August 2024 einen Proposers Day veranstalten, an dem Teilnehmer persönlich oder virtuell teilnehmen können. Interessenten müssen sich bis zum 19. August 2024 registrieren. Details und Registrierungsinformationen sind auf SAM.Gov verfügbar.

Related Posts

Cyberkriminelle nutzen offene Selenium Grid-Dienste für Kryptomining

Wiz Research hat eine laufende Bedrohungskampagne entdeckt, die als “SeleniumGreed” bekannt ist. Dabei nutzen Angreifer falsch konfigurierte Selenium Grid-Dienste, um Kryptomining-Skripte auszuführen. Selenium, ein weit verbreitetes Test-Framework, ist oft in Cloud-Umgebungen zu finden, aber viele Instanzen sind öffentlich zugänglich und ohne Authentifizierung, was sie anfällig für Missbrauch macht.

Read More

Specula verwandelt Outlook in ein C2-Tool

TrustedSec hat Specula veröffentlicht, ein Framework, das über eine Schwachstestelle von 2017 die Outlook-E-Mail-Client-Homepage-Funktion ausnutzt, um es in ein Beaconing C2-Agent umzuwandeln. Diese Technik erfordert nur eine einzige nicht-privilegierte Registry-Änderung, wodurch Angreifer persistenten Zugriff auf Netzwerke erhalten können, ohne dass dies oft bemerkt wird.

Read More

Sicherheitslücke bei Digital Video Recordern von TVT

Eine schwerwiegende Sicherheitslücke wurde in mehreren Digital Video Recorder (DVR)-Geräten entdeckt, darunter TVT DVR-Modelle wie TD-2104TS-CL und TD-2108TS-HP, sowie Geräte von Provision-ISR und AVISION. DVRs sind Geräte zur Aufzeichnung und Speicherung von Videodaten, häufig in Überwachungssystemen verwendet.

Read More