Architektura, typy, pamięć: które cechy języków programowania realnie wspierają cybersecurity

Przez
Katarzyna Kamiński
-
0
8
Rate this post

Nawigacja:

Jak język programowania wpływa na bezpieczeństwo: perspektywa praktyka

Celem osoby, która świadomie dobiera język programowania pod kątem cybersecurity, jest ograniczenie powierzchni ataku oraz zmniejszenie liczby błędów trudnych do wychwycenia w testach. Ten sam zespół, ten sam algorytm, ta sama logika biznesowa – a różnica między stosami technologicznymi potrafi być jak między domem z cegły i domem z kart. Konstrukcja języka decyduje, jak łatwo popełnić błąd, a jak trudno go przeoczyć.

Na poziomie praktycznym język programowania wpływa na bezpieczeństwo w trzech miejscach:

  • co jest możliwe – jakie klasy błędów w ogóle mogą wystąpić (np. use-after-free w C, ale nie w Rust bez unsafe),
  • co jest łatwe – które wzorce są zachęcane przez składnię, biblioteki standardowe i frameworki,
  • co jest domyślne – czy bez dodatkowego wysiłku programisty otrzymujemy w miarę bezpieczne zachowanie, czy przeciwnie – musimy o nie walczyć.

Jeśli ten sam algorytm zaimplementujemy w C i w Rust, w pierwszym przypadku musimy ręcznie pilnować zwalniania pamięci, ograniczeń tablic, wskaźników i przekazań buforów. W Rust duża część tej pracy zostaje przeniesiona na kompilator, system typów oraz mechanizmy ownership. Błąd, który w C stanie się exploitem w środowisku produkcyjnym, w Rust często jest zatrzymywany już na etapie kompilacji albo kończy się co najwyżej paniczną reakcją programu z kontrolowanym zatrzymaniem.

Miejsce języka w łańcuchu bezpieczeństwa: od hardware po framework

Bezpieczeństwo aplikacji to łańcuch, w którym każdy element ma znaczenie:

  • sprzęt – architektura CPU, mechanizmy NX/DEP, ASLR, TPM,
  • system operacyjny – uprawnienia, sandboxing, izolacja procesów, SELinux/AppArmor,
  • runtime / VM / interpreter – zarządzanie pamięcią, sandbox wirtualnej maszyny, JIT,
  • język programowania – składnia, system typów, model współbieżności, FFI,
  • frameworki i biblioteki – domyślne ustawienia, walidacja, mechanizmy autoryzacji.

Język ma szczególne miejsce, ponieważ jest bezpośrednim interfejsem między człowiekiem a maszyną. Nawet jeśli system operacyjny oferuje zaawansowany sandboxing, a sprzęt zapewnia izolację pamięci, zły model typów, niebezpieczne API standardowe czy zbyt „luźne” podejście do współbieżności spowodują, że podatności będą pojawiały się seryjnie. Z drugiej strony, przemyślana architektura języka potrafi sprawić, że całe klasy błędów są po prostu niemożliwe, lub przynajmniej ekstremalnie trudne.

W praktyce zespoły, które zaczynają traktować język jako element strategii bezpieczeństwa, bardzo szybko dostrzegają efekty: mniej incydentów, prostsze code review, mniej „gaszenia pożarów” po stronie zespołów operacyjnych i bezpieczeństwa.

„Bezpieczny język” kontra „bezpiecznie użyty język”

Żaden język nie sprawi, że aplikacja stanie się automatycznie odporna na ataki. Bezpieczeństwo to w dużej mierze kwestia sposobu użycia narzędzia. JavaScript w przeglądarce ma mocny sandbox, ale źle obsługane dane wejściowe nadal prowadzą do XSS. Java czy C# mają zarządzaną pamięć, a mimo to błędy w logice uwierzytelniania czy autoryzacji są na porządku dziennym.

W praktyce można wyróżnić dwie płaszczyzny:

  • bezpieczność projektowa języka – czy język domyślnie chroni przed pewnymi klasami błędów (np. automatyczna kontrola zakresu tablic, brak surowych wskaźników, brak arytmetyki wskaźnikowej),
  • bezpieczne wzorce użycia – czy kulturowo i bibliotecznie język promuje dobre praktyki (np. mechanizmy enkapsulacji, patterny do walidacji, idiomatyczne wzorce obsługi błędów).

Można napisać bardzo dziurawy system w Rust, jeśli np. cała logika uprawnień będzie zrealizowana ad-hoc, bez spójnych typów reprezentujących autoryzację. Można też napisać stosunkowo bezpieczną aplikację w C, jeśli zostanie ograniczona ilość kodu w C, zastosuje się rygorystyczne code review, fuzzing i statyczną analizę oraz precyzyjnie dobierze biblioteki. Jednak koszt utrzymania bezpieczeństwa w „trudnym” języku rośnie wraz z rozmiarem i złożonością projektu.

Od C do Rust – jak zmieniało się myślenie o bezpieczeństwie języka

Historia języków programowania bardzo dobrze pokazuje, jak zmieniało się podejście do bezpieczeństwa. W czasach dominacji C kluczowe było maksymalne wykorzystanie zasobów sprzętowych i pełna kontrola nad pamięcią. Bezpieczeństwo było wtedy głównie problemem programisty. Narzędzia i kompilator nie robiły prawie nic, aby chronić przed błędami wskaźników czy nadpisaniem bufora, bo priorytetem była wydajność i „bliskość metalu”.

Kolejne fale języków, jak Java czy C#, wprowadziły zarządzanie pamięcią, JVM/CLR, sandboxing, typy referencyjne z kontrolą null (przynajmniej konceptualnie). Nagle okazało się, że ogromna część najbardziej destrukcyjnych podatności związanych z pamięcią została ograniczona. Nadal pozostawały problemy z logiką, autoryzacją, injection, ale błędy pokroju buffer overflow pojawiały się głównie tam, gdzie aplikacje schodziły do natywnych bibliotek.

Rust i inne nowoczesne języki systemowe zrobiły kolejny krok: postanowiły zapewnić bezpieczeństwo pamięci bez garbage collectora. Kluczem stały się zaawansowany system typów, pojęcie własności (ownership), czasowego pożyczania (borrowing) i statyczne wykrywanie data races. Taki kierunek sprawia, że coraz częściej zadaje się pytanie: czy naprawdę musimy tolerować kod niebezpieczny pamięciowo w nowych projektach systemowych?

Na tym tle dynamiczne języki skryptowe, jak Python, JavaScript czy Ruby, skupiają się na wygodzie i ekspresyjności, natomiast bezpieczeństwo osiąga się tam głównie przez wzorce użycia oraz solidne biblioteki. Dlatego wybór języka jest równie ważny, jak strategia zespołu: czy w projekcie będziemy walczyć z klasą problemów, czy ją z definicji eliminować.

Programista pisze kod na laptopie, koncentrując się na bezpieczeństwie
Źródło: Pexels | Autor: cottonbro studio

Architektura języka a powierzchnia ataku

Architektura języka programowania – sposób wykonywania kodu, obecność VM, mechanizmy JIT, integracja z natywnym kodem – bezpośrednio wpływa na to, skąd mogą pojawiać się podatności. Nawet jeśli składnia wygląda niewinnie, to pod spodem dzieją się rzeczy, które mają ogromne znaczenie dla bezpieczeństwa.

Model wykonania: natywny kod, VM, JIT, interpretery

Różne języki podążają odmiennymi ścieżkami, jeśli chodzi o model wykonania:

  • kompilacja do kodu natywnego (C, C++, Rust, Go),
  • kod bajtowy na VM (Java, C#, Kotlin/JVM),
  • interpretacja / VM z JIT (Python, Ruby, JavaScript w przeglądarkach i Node.js),
  • bezpieczne sandboxy specjalnego przeznaczenia (WebAssembly, eBPF).

Każdy z tych modeli zamyka jedne wektory ataku, ale otwiera inne. Kompilacja do kodu natywnego eliminuje warstwę VM, co upraszcza część scenariuszy bezpieczeństwa (brak złożonej maszyny pośredniczącej), lecz eksponuje aplikację na klasyczne błędy pamięci, jeśli język ich nie ogranicza (C, C++). Z kolei VM izoluje aplikację od sprzętu i systemu, ale sam staje się złożonym elementem krytycznym; podatność w JVM czy .NET może dotknąć wiele systemów jednocześnie.

Kompilacja do binarki: C/C++/Rust

Języki kompilowane do natywnej binarki mają kilka charakterystycznych cech z punktu widzenia cybersecurity:

  • brak VM – mniej warstw pośrednich, ale też mniej automatycznych zabezpieczeń,
  • bezpośredni dostęp do pamięci – swoboda, ale i podatności (C/C++),
  • duża zależność od ABI – sposób, w jaki funkcje, struktury i typy są reprezentowane w pamięci.

W C i C++ pamięć jest w pełni w rękach programisty. Można tworzyć wskaźniki do dowolnego miejsca, wykonywać arytmetykę wskaźnikową, obsługiwać własne alokatory. Daje to ogromną wydajność i elastyczność, ale tworzy jednocześnie całe spektrum wektorów ataku: przepełnienia bufora, use-after-free, double free, dereferencje „wiszących” wskaźników. Nawet przy bardzo dojrzale prowadzonym projekcie wystarczy jeden przeoczony błąd w krytycznej bibliotece, aby otworzyć drzwi exploiterom.

Rust podchodzi inaczej. Również kompiluje do kodu natywnego, ale wprowadza ścisłą kontrolę nad życiem danych. Kompilator wymusza, aby wskaźnik nie żył dłużej niż dane, do których się odnosi, a modyfikacje współdzielonych struktur danych są starannie ograniczane. Dzięki temu wiele problemów pamięci, typowych dla C/C++, po prostu nie może się pojawić, o ile nie korzysta się z bloku unsafe.

VM i interpretacja: izolacja a nowe wektory ataku

Java, C# czy języki skryptowe na VM (Python, Ruby, PHP w nowszych implementacjach) zakładają obecność dodatkowej warstwy – wirtualnej maszyny lub interpretera, często z JIT-em. Z punktu widzenia bezpieczeństwa daje to:

  • kontrolę nad pamięcią – automatyczne zarządzanie, brak surowych wskaźników, GC,
  • scentralizowane mechanizmy sandboxingu – zwłaszcza w środowiskach takich jak przeglądarka czy JVM,
  • wspólny punkt awarii – błąd w VM lub JIT może umożliwić atak na wiele aplikacji jednocześnie.

Na przykład JavaScript w przeglądarce działa w sandboxie narzuconym przez silnik JS oraz mechanizmy bezpieczeństwa samej przeglądarki. Kod nie może bezpośrednio pisać do plików na dysku czy wykonywać natywnych instrukcji CPU – musi przechodzić przez API DOM i inne kontrolowane interfejsy. To znacznie zawęża powierzchnię ataku na poziomie hosta, ale wciąż pozostawia dużo przestrzeni na ataki logiczne (XSS, CSRF, manipulacja danymi użytkownika).

Z kolei JVM i .NET CLR odcinają programistę od szczegółów pamięci, ale same stają się elementem krytycznym. Błędy w JIT (np. błędne optymalizacje) czy deserializacji obiektów wielokrotnie prowadziły do poważnych exploitów. Ataki często polegają nie na tym, że aplikacja ma „zwykły” błąd typu NPE, lecz że można wykorzystać złożoność środowiska uruchomieniowego do eskalacji uprawnień lub wykonania arbitralnego kodu.

ABI, FFI i „przejścia między światami”

W praktycznych systemach rzadko używa się jednego języka w izolacji. Python wywołuje biblioteki C, Java korzysta z JNI, .NET używa P/Invoke, a JavaScript w Node.js odpala moduły natywne. Te miejsca styku nazywane są FFI (Foreign Function Interface). Z punktu widzenia bezpieczeństwa są to szczeliny w pancerzu.

Przykładowa sytuacja: aplikacja webowa napisana w Pythonie korzysta z biblioteki C do szyfrowania lub obsługi grafiki. Sam Python jako język memory safe nie pozwala na typowe buffer overflow przy normalnym użyciu, ale błąd w bibliotece C (np. źle policzona długość bufora) może zostać wykorzystany do wykonania kodu na serwerze. Dla atakującego nie ma większego znaczenia, że „aplikacja jest w Pythonie” – ważne, że jest gdzieś kawałek podatnego kodu natywnego.

ABI (Application Binary Interface) definiuje, jak funkcje, typy i struktury są reprezentowane w pamięci przy tych połączeniach. Zmiany ABI, niejednoznaczności lub błędne mapowanie typów (np. int 32-bitowy vs 64-bitowy) mogą prowadzić do subtelnych podatności, których nie widać na poziomie wysokopoziomowego kodu.

Mechanizmy izolacji i sandboxingu

Niektóre języki i platformy zostały zaprojektowane tak, by działać w środowisku z natury wrogim. Przeglądarka, code runner w chmurze, plugin w silniku gry, skrypt ładowany od nieznanego użytkownika – we wszystkich tych miejscach kluczowe jest ograniczenie, co kod może zrobić z zasobami hosta.

Sandboxing na poziomie runtime’u

JavaScript w przeglądarce to najgłośniejszy przykład sandboxingu języka. Kod ma dostęp tylko do wybranych API: DOM, fetch, Web Storage, WebAssembly, WebCrypto i innych, ale nie ma możliwości dowolnego czytania plików z dysku czy operowania na pamięci procesu poza swoimi strukturami. Przeglądarka dba też o izolację między kartami i domenami (origin-based security).

Inny przykład to WebAssembly. Kod w WASM działa w wydzielonej przestrzeni liniowej pamięci, ma ograniczony zestaw instrukcji i komunikację z hostem poprzez ściśle określone interfejsy. Z punktu widzenia bezpieczeństwa to atrakcyjny model: biblioteka o wysokiej wydajności (często w C/C++ lub Rust) jest kompilowana do WASM i działa w izolowanym środowisku zamiast bezpośrednio w procesie aplikacji.

Bezpieczeństwo modułów, pakietów i środowisk uruchomieniowych

Architektura języka to nie tylko VM czy kompilator, ale też sposób ładowania modułów, zarządzanie zależnościami oraz model uprawnień. Często to właśnie te „nudne” szczegóły decydują o tym, czy incydent skończy się na błędzie 500, czy na przejęciu całej infrastruktury.

Systemy modułów i importów jako wektor ataku

Każdy język ma swój sposób na dzielenie kodu na moduły: #include i linkowanie w C/C++, import w Pythonie i Go, require w Node.js, using w C#. Dla bezpieczeństwa istotne są trzy kwestie: jak wybierany jest moduł, skąd jest ładowany oraz jakie ma zaufanie.

Przykładowo w ekosystemie Node.js dochodzi do ataków typu dependency confusion czy typosquatting na pakietach NPM. Programista myli nazwę pakietu albo w prywatnym rejestrze nie zarezerwowano odpowiedniej nazwy, a środowisko ściąga „fałszywy” moduł z publicznego repozytorium. Logika języka była poprawna, ale model ładowania modułów stworzył nową powierzchnię ataku.

Do tego dochodzą mechanizmy dynamicznego ładowania: importlib w Pythonie, Class.forName w Javie, dynamiczne require() w JavaScript. Kiedy ścieżka lub nazwa modułu pochodzi pośrednio od użytkownika (np. konfiguracja pluginów), każde nieprzefiltrowane wejście może prowadzić do załadowania niepożądanego kodu. Z punktu widzenia bezpieczeństwa lepiej, gdy:

  • system modułów jest deterministyczny – jasne zasady, skąd bierzemy kod,
  • istnieje możliwość ograniczenia dynamicznego ładowania w krytycznych komponentach,
  • język lub narzędzia wspierają blokadę wersji i sumy kontrolne (lockfile, podpisy).

Środowiska uruchomieniowe i „domena zaufania”

To, czy dany kod jest uważany za zaufany, często zależy nie od samego języka, lecz od kontekstu, w którym ten język działa. JavaScript uruchamiany w przeglądarce ma inne możliwości niż ten sam JavaScript uruchamiany przez Node.js z dostępem do systemu plików i sieci. Ten sam Python w środowisku serwera aplikacyjnego różni się mocno od Pythona w narzędziu do ETL, które czyta dowolne pliki z dysku.

Język może tu pomagać – na przykład poprzez:

  • API zorientowane na uprawnienia – wyraźne rozróżnienie operacji „niebezpiecznych” (np. dostęp do dysku) od zwykłej logiki biznesowej,
  • możliwość startu w trybie ograniczonym – sandboxing uruchamiany flagą lub konfiguracją,
  • wbudowane mechanizmy izolacji namespaces (np. AppDomain w starszym .NET, różne ClassLoadery w Javie).

W praktyce duże znaczenie mają też narzędzia do konteneryzacji czy izolacji na poziomie systemu (Docker, gVisor, Firecracker). Nawet jeżeli język nie oferuje świetnego sandboxingu, można „dołożyć” go warstwę niżej. Dobrze zaprojektowany runtime ułatwia takie podejście, np. ma małą powierzchnię syscalli lub jasno udokumentowane wymagania.

System typów – przyjaciel czy przeszkoda dla bezpieczeństwa

Gdy rozmawia się z programistami o bezpieczeństwie, często pojawia się argument: „statyczne typy nas spowalniają”. Z perspektywy cybersecurity pytanie brzmi trochę inaczej: czy system typów umożliwia wyrażenie reguł bezpieczeństwa i czy narzuca choć trochę dyscypliny na etapie kompilacji lub lintowania, zamiast czekać na produkcję?

Statyczne vs dynamiczne typowanie a klasy błędów

Statyczne typowanie (Java, C#, Rust, Go, Haskell) przenosi część walidacji do kompilatora: niezgodne typy nie przejdą dalej. Dynamiczne typowanie (Python, Ruby, JavaScript) zostawia to na runtime. Sama ta różnica nie przesądza o bezpieczeństwie, ale wpływa na rodzaj błędów, które pojawią się w systemie.

W językach statycznych trudniej niechcący przekazać wartość w „złym formacie” – kompilator nie pozwoli połączyć int z string bez jawnej konwersji. Ale to dopiero początek. Dobrze zaprojektowany system typów pomaga też:

  • odróżnić dane nieufne (np. wejście użytkownika) od danych zaufanych,
  • wymusić sprawdzenie błędów (np. Result<T, E> w Ruście zamiast magicznych kodów zwrotnych),
  • unikać domyślnych konwersji, które w kryptografii czy parsowaniu protokołów są zabójcze.

Dynamiczne typowanie bywa wygodne, szczególnie na etapie prototypowania, ale sprzyja klasie błędów, w której kod zakłada coś o strukturze danych, a produkcja brutalnie to weryfikuje. Dodaj do tego refleksję, eval, dynamiczne tworzenie atrybutów – i okazuje się, że atakujący ma dużo sposobów na „zaskoczenie” kodu w nietypowej ścieżce wykonania.

Silne typowanie domenowe jako bariera dla błędów logicznych

System typów może być jedynie mechanizmem technicznym (int, string, bool), ale może być też nośnikiem reguł biznesowych. W kontekście bezpieczeństwa to druga opcja daje prawdziwą przewagę. Chodzi o tzw. typy domenowe lub newtype’y: zamiast przekazywać wszędzie „gołe” liczby i stringi, definiuje się struktury niosące znaczenie.

Przykłady:

  • PlaintextPassword vs HashedPassword – wtedy nie pomylisz miejsc, w których oczekiwany jest hash,
  • UntrustedInput vs SanitizedInput – API po prostu nie przyjmie niesprawdzonego ciągu,
  • UserId vs ProductId – ograniczasz ryzyko przypadkowego miksu identyfikatorów.

Języki z bogatym systemem typów (Rust, Haskell, Scala, F#) dają w tym zakresie ogromne możliwości: sumy typów (algebraic data types), typy wyliczeniowe z danymi, typy generyczne opisujące co wolno zrobić z danym obiektem. Ale nawet w prostszych językach jak Java czy C# można wiele zyskać, wprowadzając osobne klasy czy rekordy zamiast „wszędzie stringów”.

W praktyce wygląda to tak: w jednym projekcie bezpieczeństwo transakcji opiera się na tym, że przed wykonaniem operacji zawsze sprawdzany jest podpis. W „szarym” kodzie przekazywane są wszędzie te same typy stringów. W innym projekcie definiuje się VerifiedTransaction, który można stworzyć tylko poprzez weryfikację podpisu. Cała reszta systemu przyjmuje wyłącznie ten typ. W której wersji łatwiej o subtelny błąd logiczny?

Null, opcjonalność i kontrola przepływu błędów

Źle modelowane wartości „brakujące” lub błędy to klasyczny generator podatności. Nulle prowadzą do niespodzianek i wyjątków dokładnie w tych miejscach, gdzie mechanizmy ochronne powinny być solidne. Z kolei ignorowane kody błędów czy „puste catch’e” w kryptografii i autoryzacji to proszenie się o exploity.

Niektóre języki próbują ten problem naprawić na poziomie typów:

  • typy opcjonalne (Option<T> w Ruście, Optional<T> w Javie, Maybe w Haskellu) – wyraźny sygnał, że wartość może nie istnieć,
  • typy wyników (Result<T, E>, Either) – wymuszają zajęcie się błędem,
  • non-nullable types by default (Kotlin, C# z nullable reference types) – null staje się „szczególną” sytuacją, nie domyślną.

Z perspektywy bezpieczeństwa chodzi o to, aby nie dało się „po cichu” zignorować błędu w miejscach krytycznych. Jeżeli API kryptograficzne zwraca Result<DecryptedData, CryptoError>, kompilator zmusza programistę do podjęcia decyzji: co zrobić z błędem? Odrzucić żądanie? Zapisać incydent w logach? Bez tego kuszące staje się zrobienie try { ... } catch { /* ignore */ } i liczenie, że „jakoś to będzie”.

Typy a walidacja danych wejściowych

Ogromna część podatności to różne odmiany „złe wejście, które przeszło walidację”: SQL injection, XSS, path traversal, injection w powłokę. Język może tu pomóc, jeśli system typów pozwala odróżnić surowe wejście od wejścia już zweryfikowanego i oczyszczonego.

Można to modelować na kilka sposobów:

  • specjalne typy opakowujące wejście po walidacji, np. SafeSqlString, SafeHtml,
  • tworzenie struktur typu ValidatedUserInput w jednym, kontrolowanym miejscu,
  • wzorce jak Smart Constructors – obiekt w stanie „bezpiecznym” da się stworzyć tylko poprzez funkcję, która waliduje dane.

To nie jest teoria akademicka. W jednym z projektów audytowych zespół od lat walczył z XSS, bo „wszyscy wiedzą, że trzeba escaperować HTML”. Po zmianie API tak, by szablon przyjmował tylko typ EscapedHtml, a goły String był odrzucany przez kompilator, liczba podatności XSS dramatycznie spadła – nie dlatego, że programiści nagle stali się ostrożniejsi, lecz dlatego, że system typów pilnował za nich prostych zasad.

Kod Ruby on Rails z podświetloną składnią na ekranie programisty
Źródło: Pexels | Autor: Digital Buggu

Zarządzanie pamięcią – centrum wielu podatności

Pamięć to miejsce, w którym spotykają się świat wysokopoziomowych abstrakcji z twardą rzeczywistością hardware’u. Z punktu widzenia bezpieczeństwa różnica między „działa świetnie” a „remote code execution” to często kilka bajtów poza buforem. Dlatego sposób, w jaki język zarządza pamięcią, ma ogromne znaczenie.

Manualne zarządzanie pamięcią i jego ciemna strona

C i C++ dają niemal pełną władzę nad pamięcią. To zaleta w systemach niskopoziomowych, ale jednocześnie źródło całej plejady błędów: buffer overflow, heap overflow, use-after-free, double free, integer overflow prowadzący do błędnych obliczeń rozmiarów. Nawet bardzo doświadczeni programiści nie są w stanie w 100% uniknąć takich błędów w dużych bazach kodu.

Języki te pozwalają też na niebezpieczne konwersje: rzutowanie wskaźników na inne typy, reinterpretację pamięci (reinterpret_cast), dostęp poza zakresem tablicy. Kompilator nie ma wielu informacji, by to zablokować, bo celem projektowym było zaufanie do programisty. Z perspektywy dzisiejszych wymagań bezpieczeństwa to coraz większy problem.

Aby zredukować ryzyko, projekty w C/C++ często:

  • stosują bezpieczniejsze wrappery (np. biblioteki do obsługi stringów, kontenery STL zamiast surowych tablic),
  • używają sanalizatorów statycznych i dynamicznych (ASan, UBSan, Coverity, clang-tidy),
  • wdrażają politykę „no raw new/delete” – tylko RAII i inteligentne wskaźniki.

To wszystko pomaga, ale wymaga żelaznej dyscypliny i kultury inżynierskiej. Sam język nie stoi po stronie bezpieczeństwa – daje narzędzia, ale nie pilnuje ich użycia.

Garbage collector: mniej błędów pamięci, więcej innych problemów

GC eliminuje całą klasę błędów: use-after-free czy double free praktycznie znikają, bo programista nie zwalnia pamięci ręcznie. Języki takie jak Java, C#, Go, a także dynamiczne (Python, JavaScript, Ruby) ogromnie na tym zyskują. Trudno w nich o klasyczne exploity oparte na przejęciu struktury sterującej na stercie.

To jednak nie znaczy, że pamięć przestaje być problemem. Z pojawieniem się GC na scenę wchodzą inne kategorie:

  • wycieki logiczne – obiekty nie są zwalniane, bo wciąż „ktoś” trzyma do nich referencję, choć nie ma takiej potrzeby,
  • nieprzewidywalne pauzy – istotne w systemach czasu rzeczywistego, mogą prowadzić do timeoutów i błędów biznesowych,
  • zależność od finalizerów – logika bezpieczeństwa oparta na destruktorach/finalizerach bywa zawodna, bo ich uruchomienie jest niepewne czasowo.

Zdarza się też, że w kodzie z GC pojawia się „tunel” do świata niebezpiecznego: natywne wskaźniki w C#, unsafe bloki, biblioteki C wywoływane z Javy. Wtedy część gwarancji GC przestaje działać na granicy FFI – to miejsce, któremu w audycie bezpieczeństwa poświęca się szczególną uwagę.

Bezpieczeństwo pamięci w kompilatorze: podejście języków typu Rust

Własność, pożyczanie i brak „wiszących wskaźników”

Rust i kilka innych nowoczesnych języków wprowadza ideę własności danych i pożyczania, którą egzekwuje kompilator. Zamiast ufać, że programista „pamięta” o cyklu życia obiektu, cykl ten jest modelowany w samym języku. Efekt uboczny? Cała klasa problemów typu use-after-free czy double free jest po prostu niekompilowalna.

Mechanizm w skrócie:

  • każdy fragment danych ma jednego właściciela, odpowiedzialnego za jego zwolnienie,
  • można dane pożyczać – mutowalnie lub niemutowalnie – ale na jasno określonych zasadach,
  • kompilator pilnuje, by referencje nie „przeżywały” danych, do których wskazują.

Z perspektywy bezpieczeństwa oznacza to, że exploit typu „wykorzystaj wskaźnik do obiektu już zwolnionego i nadpisz sterowanie” staje się dramatycznie trudniejszy. Nie dlatego, że programista jest ostrożniejszy, tylko dlatego, że kod z taką luką nie przechodzi etapu kompilacji.

Dla wielu osób z doświadczeniem w C/C++ pierwsze spotkanie z pożyczaniem (borrow checker) bywa frustrujące. Z czasem wychodzi jednak na jaw, że ten „upierdliwy kompilator” znajduje dokładnie te klasy błędów, które w innych językach objawiłyby się w środku nocy w produkcji. To trochę jak kontrola bezpieczeństwa na lotnisku – spowalnia na wejściu, ale potem lot jest spokojniejszy.

Niebezpieczeństwo „escape hatchy”: unsafe, FFI i pragmatyka

Żaden język nie funkcjonuje w próżni. Nawet Rust czy inne języki z wbudowanymi gwarancjami bezpieczeństwa pamięci potrzebują czasem „wyjścia ewakuacyjnego”: wstawki unsafe, wywołania bibliotek C (FFI), operacje na surowych wskaźnikach. To tam kumuluje się ryzyko.

Dobrą praktyką jest traktowanie takich fragmentów jak strefy o podwyższonym nadzorze:

  • maksymalne ograniczanie rozmiaru bloków unsafe,
  • wyraźne, opisowe API wokół niebezpiecznego kodu,
  • oddzielne testy i przeglądy kodu dla modułów FFI.

W paru projektach audytowych dobrze widać tę różnicę. System pisany w Ruście miał kilka drobnych podatności – wszystkie skupione w cienkiej warstwie łączącej się z bibliotekami C. Reszta kodu, trzymana w „bezpiecznym” podzbiorze języka, była znacznie bardziej odporna na klasyczne ataki pamięciowe.

Modele współbieżności a bezpieczeństwo

Praca równoległa to kolejny obszar, gdzie drobny błąd prowadzi do bardzo nieoczywistych skutków. Wyścigi danych, zakleszczenia i subtelne niespójności stanu globalnego otwierają drzwi zarówno do wycieków danych, jak i do obejścia kontroli dostępu. Języki i ich modele współbieżności różnią się gwałtownie tym, jak pomagają (lub przeszkadzają) w panowaniu nad tym chaosem.

Shared state + locki kontra „message passing”

Klasyczny model znany z Javy czy C++ opiera się na współdzielonym stanie i blokadach. Mamy wspólną pamięć, więc trzeba ją współdzielić „uczciwie”: mutexy, semafory, monitory. Daje to dużą elastyczność, ale z punktu widzenia bezpieczeństwa generuje mnóstwo miejsc podatnych na race condition.

Wyobraźmy sobie serwer HTTP, który przed wykonaniem operacji sprawdza uprawnienia użytkownika, a potem, chwilę później, wykonuje operację na wspólnym zasobie. Jeżeli pomiędzy tymi krokami inny wątek zmieni stan uprawnień, można w praktyce wykonać akcję, która już nie powinna być dozwolona. To klasyczny TOCTOU (time-of-check vs time-of-use).

Przeciwieństwem jest model przesyłania wiadomości (message passing), promowany przez Erlanga, Elixira, a w dużej mierze także przez Go czy Rust (kanały). Zamiast dłubać w tych samych strukturach danych z wielu wątków, procesy/aktory wymieniają się komunikatami. Każdy posiada własny stan, a współdzielone są co najwyżej kolejki.

Co to zmienia?

  • mniej miejsc, w których trzeba pilnować poprawnego użycia locków,
  • łatwiejsze modelowanie transakcji jako całych komunikatów („to żądanie jest atomowe”),
  • mniejsza szansa, że stan zostanie zmieniony „w pół kroku” przez inny wątek.

Oczywiście nawet w message passing można popełnić błąd logiczny, ale ryzyko typowych wyścigów na strukturach danych spada znacząco. To nie jest tylko problem stabilności – podatność, w której atakujący wymusza wyścig, by ominąć kontrolę, to bardzo realny scenariusz.

Typowanie współbieżności: kiedy kompilator pilnuje wątków

Ciekawym kierunkiem są języki, które model współbieżności wbudowują w system typów. Rust z markerami Send i Sync to najbardziej znany przykład: typ, który nie jest bezpieczny do przenoszenia między wątkami, po prostu nie przejdzie kompilacji, jeżeli spróbujemy go przesłać przez kanał czy umieścić w strukturze współdzielonej.

Efekt? Trudniej o:

  • współdzielenie struktur, które nie są na to gotowe (np. nieużywanie locków tam, gdzie są potrzebne),
  • niejawne dzielenie mutowalnego stanu pomiędzy wątki,
  • sprytne, lecz niebezpieczne „skrótowe” rozwiązania jak globalne singletony bez synchronizacji.

Inne języki idą w stronę aktorów z ograniczeniami typów (Akka w świecie JVM, Orleans dla .NET). Zastosowanie typów aktorów i wiadomości pozwala częściowo wymusić, by pewne operacje mogły być wykonywane tylko w wąskim, kontrolowanym kontekście. Dla bezpieczeństwa oznacza to mniejszą liczbę miejsc, w których trzeba „na piechotę” analizować, co się dzieje między wątkami.

Deadlocki i głód zasobów jako wektor ataku

Zakleszczenia (deadlocki) i głód zasobów zwykle kojarzą się z awarią lub spadkiem wydajności, ale z perspektywy bezpieczeństwa mogą być świetnym narzędziem dla atakującego. Jeżeli język i biblioteki współbieżności ułatwiają tworzenie skomplikowanych grafów blokad, atak DoS przez wymuszenie deadlocka bywa trywialny.

Miejsca ryzyka to m.in.:

  • zagnieżdżone blokady (lock w locku) bez jasnej hierarchii,
  • blokady „w środku” transakcji lub requestu HTTP,
  • synchroniczne wywołania z zewnątrz do środka systemu, które czekają na odpowiedź, blokując wątek roboczy.

Języki i frameworki, które promują asynchroniczne modele bez blokowania wątków (async/await, event loop), redukują część tych problemów, choć nie usuwają ich całkowicie. Node.js jest tu dobrym przykładem: pojedynczy wątek event loop wymusza inne podejście do blokad, ale za to otwiera pole do innych klas ataków typu „zablokuj pętlę kosztowną operacją CPU”.

Asynchroniczność, obietnice i „zapomniane błędy”

Asynchroniczność wprowadza jeszcze jedno pole minowe: utracone błędy. Obietnice (Promise, Task, Future) niosą w sobie nie tylko wynik, ale i wyjątki. Jeżeli język pozwala łatwo „puścić fire-and-forget” bez reakcji na wyjątek, prosi się o sytuację, w której krytyczny błąd kryptograficzny czy autoryzacyjny zostanie po prostu zignorowany.

Przykłady z życia:

  • w JavaScript: funkcja async wywołana bez await i bez przechwycenia błędu – odrzucenie obietnicy ląduje w logach (albo i nie), ale logika aplikacji idzie dalej, jakby wszystko było OK,
  • w C# czy Kotlinie: Task/Deferred uruchomione w tle, którego wyjątek nigdy nie jest obserwowany; system uwierzytelniania „czasem” nie weryfikuje tokenu, bo wywołanie walidacji poszło bokiem.

Języki mogą chronić przed tym w różny sposób: ostrzeżeniami kompilatora dla nieoczekiwanych Task, konstrukcjami typów, które wymuszają obsługę błędów, czy frameworkami, które zakazują „nagich” wywołań asynchronicznych w pewnych warstwach (np. middleware bezpieczeństwa).

Zbliżenie kolorowego kodu na monitorze omawiającego bezpieczeństwo języków
Źródło: Pexels | Autor: Muhammed Ensar

Architektura języka a powierzchnia ataku

Poza pamięcią i współbieżnością sporo ryzyka kryje się w samej architekturze języka i jego środowiska wykonawczego. Innymi słowy: w tym, co jest „dozwolone z definicji” i jak łatwo to wykorzystać.

Refleksja, metaprogramowanie i dynamiczne wykonanie kodu

Języki z silną refleksją i łatwym generowaniem kodu w locie – Java, C#, Python, Ruby, JavaScript – są niezwykle elastyczne. Ta elastyczność bywa jednak przeciwieństwem „fail secure”. Jeżeli można w prosty sposób:

  • tworzyć obiekty po nazwie klasy z łańcucha znaków,
  • wywoływać metody po nazwie przekazanej w parametrze,
  • składać wyrażenia lub kod i wykonywać je przez eval czy podobne mechanizmy,

to każda iniekcja w dane wejściowe potencjalnie zamienia się w iniekcję kodu. Wiele frameworków webowych musiało przez lata „oduczać się” takiego podejścia – od dynamicznego bindowania wszystkiego, co przyszło w żądaniu HTTP, do jawnych, silnie typowanych modeli.

Z perspektywy języka kluczowe jest, czy:

  • mechanizmy refleksji są domyślnie ograniczone (np. sandbox, uprawnienia),
  • istnieją bezpieczniejsze alternatywy (wyrażenia budowane składniowo, a nie tekstowo),
  • standardowe biblioteki promują bezpieczne wzorce zamiast „magii refleksyjnej”.

Dobrym krokiem w tę stronę są systemy typów potrafiące „prowadzić” metaprogramowanie w sposób kontrolowany: wyrażenia LINQ w C#, makra hygienic w Rust czy Haskellu – zamiast czystego eval na stringu.

Moduły, pakiety i kontrola granic

Sposób, w jaki język definiuje moduły i granice widoczności, też ma spory wpływ na bezpieczeństwo. Jeżeli wszystko jest publiczne, a enkapsulacja jest tylko konwencją, łatwiej o przypadkowe lub celowe obejście zabezpieczeń.

Istotne są tu takie elementy jak:

  • silne wsparcie dla prywatności (moduły, klasy, przestrzenie nazw z domyślnie prywatnymi elementami),
  • możliwość deklarowania stref zaufania – np. pakiety wewnętrzne tylko dla określonych modułów (friend assemblies, internal),
  • brak „tylnych furtek” typu globalne refleksyjne obejście modyfikatorów dostępu.

Przykład z praktyki: w jednym systemie uprawnienia były poprawnie egzekwowane w warstwie serwisów, ale obiekty domenowe miały publiczne settery do wszystkich pól. Inny zespół, nieświadomie lub z lenistwa, użył tych setterów w kodzie administracyjnym, omijając całą logikę kontroli dostępu. Język (i jego model widoczności) na to pozwalał – kosztem bezpieczeństwa.

Standardowa biblioteka jako „współautor” bezpieczeństwa

Sam język to połowa historii. Standardowa biblioteka decyduje, jakie rozwiązania stają się domyślne i „oczywiste”. Jeżeli w pakiecie standardowym pierwsze z brzegu API do SQL-a wymaga wstrzykiwania surowych stringów, a biblioteka kryptograficzna wystawia przestarzałe algorytmy bez ostrzeżeń, programista nie musi nawet docierać do niebezpiecznego kodu – ma go na tacy.

Dobrą tendencją jest, gdy biblioteki:

  • promują bezpieczne domyślne konfiguracje (secure by default),
  • ukrywają lub oznaczają jako przestarzałe niebezpieczne API,
  • łączą się z systemem typów (np. osobne typy dla SecureString, bezpiecznych tokenów, limitowanych kolekcji).

To niby detal, ale dla wielu zespołów wybór między „działa po 5 minutach” a „muszę czytać dokumentację” jest prosty. Jeżeli szybka droga jest jednocześnie drogą najbezpieczniejszą – zyskuje na tym cały ekosystem.

Kluczowe Wnioski

  • Wybór języka realnie wpływa na bezpieczeństwo: ten sam zespół i ta sama logika biznesowa mogą dać system „z cegły” albo „z kart” w zależności od tego, jak język ułatwia popełnianie błędów i jak wcześnie je wychwytuje.
  • Język decyduje o trzech kluczowych rzeczach: jakie klasy błędów są w ogóle możliwe, które zachowania są dla programisty najłatwiejsze oraz jakie ustawienia bezpieczeństwa dostaje on „w pakiecie” bez dodatkowej pracy.
  • Bezpieczeństwo to efekt całego łańcucha (sprzęt, system, runtime, język, frameworki), ale język jest newralgicznym ogniwem, bo stanowi bezpośredni interfejs między człowiekiem a maszyną i może całe klasy podatności uczynić niemożliwymi lub bardzo rzadkimi.
  • „Bezpieczny język” to za mało – równie ważne są bezpieczne wzorce użycia i kultura zespołu; w Rust można zbudować dziurawy system autoryzacji, a w C da się uzyskać względnie bezpieczną aplikację kosztem dużej dyscypliny, testów i narzędzi.
  • Przesunięcie od C do Java/C#, a dalej do Rust pokazuje ewolucję: od pełnej odpowiedzialności programisty za pamięć, przez zarządzaną pamięć w VM, aż po języki systemowe z ownership i borrowing, które eliminują całe rodziny błędów pamięciowych bez garbage collectora.
  • Dynamiczne języki (Python, JavaScript, Ruby) zapewniają wygodę i bezpieczeństwo pamięci „z pudełka”, ale większość ochrony zależy tam od jakości bibliotek i tego, czy zespół stosuje poprawne wzorce walidacji, uwierzytelniania i autoryzacji.

Te artykuły też mogą Cię zaciekawić:

Poprzedni artykułNajpiękniejsze miejsca w Tunezji nad morzem – przewodnik po plażach, miasteczkach i lokalnych smakach
Katarzyna Kamiński
Katarzyna Kamiński
Katarzyna Kamiński specjalizuje się w analizie trendów technologicznych i ich wpływu na codzienne życie użytkowników. Na Snussie.com.pl opisuje nowe rozwiązania z obszaru IT i AI, filtrując marketingowe obietnice przez pryzmat realnych korzyści i ryzyk. Zanim przygotuje artykuł, porównuje wiele źródeł, dokumentację techniczną oraz opinie praktyków. Katarzyna stawia na przejrzystą strukturę tekstu, wyjaśnianie pojęć i wskazywanie konkretnych zastosowań. Jej celem jest pomaganie czytelnikom w świadomym wyborze narzędzi, z uwzględnieniem bezpieczeństwa i długoterminowych konsekwencji.