A Marinha dos EUA está procurando parceiros privados para a pesquisa e o desenvolvimento de sua tecnologia proprietária para a segurança baseada em blockchain chamada PARANOID.
Trata-se de uma solução para proteger o software que gerencia a supply chain, e que utiliza a blockchain para garantir a segurança dos ambientes de desenvolvimento de software e para verificar o software finalizado.
Por enquanto é ainda apenas um protótipo (TRL5), e é constituído por uma infraestrutura blockchain baseada em Hyperledger, uma aplicação servidor, um plug-in para Visual Studio e Visual Studio Code e uma aplicação de verificação do software offline.
Summary
Marina USA: A abertura aos privados do projeto blockchain Paranoid
De acordo com o comunicado de imprensa divulgado há poucos dias, a Marinha está procurando colaborar com a indústria privada para o desenvolvimento deste software que permite a rastreabilidade e a demonstrabilidade no desenvolvimento do software.
O software agora se tornou parte integrante tanto dos aviões militares quanto dos veículos e dos sistemas de armas, então é necessária uma solução que garanta uma cadeia de suprimentos segura do software. Por esse motivo, foi desenvolvido o Paranoid.
Agora o objetivo da Marina seria até mesmo comercializar esta inovação, embora originalmente Paranoid tenha sido desenvolvido apenas para apoiar o desenvolvimento seguro, em particular de software aviônico para os programas aeronáuticos da Naval Aviation Enterprise (NAE).
No entanto, esta solução é teoricamente aplicável a qualquer organização ou empresa que precise de total rastreabilidade com comprovabilidade certa para o desenvolvimento de software, de modo a prevenir ataques que possam ocorrer durante o próprio desenvolvimento.
Paranoid está disponível para as empresas privadas através do TechLink, parceiro nacional para a transferência tecnológica do Departamento de Defesa, mas a Marinha também oferece aos desenvolvedores privados um acordo cooperativo de pesquisa e desenvolvimento (CRADA) que permite a colaboração entre entidades governamentais e empresas privadas.
O senior technology manager da TechLink, Nida Shaikh, declarou:
“Um parceiro CRADA ideal seria uma empresa interessada em desenvolver uma solução para proteger a supply chain do software. Isso incluiria empresas no campo do desenvolvimento de software que estariam dispostas a instalar e testar PARANOID para feedback e escalabilidade.”
O que é Paranoid
Esta nova tecnologia foi inventada pela NAWCAD, ou seja, a Aircraft Division do Naval Air Warfare Center de Lakehurst, em New Jersey.
O problema a ser resolvido era a verificação da segurança em todas as etapas do processo de desenvolvimento de software, desde a criação e modificação do código-fonte bruto até a compilação do mesmo, até a criação de uma aplicação final e seu envio ao usuário final.
O fato é que cada uma dessas etapas contém, em teoria, inúmeras oportunidades para lançar ataques cibernéticos, tanto de dentro quanto de fora, como por exemplo, inserir secretamente código malicioso ou trocar um arquivo por outro.
O método PARANOID resolve o problema garantindo a integridade do software durante todo o seu ciclo de vida graças à blockchain.
O protótipo já existente, em funcionamento no chamado Technology Readiness Level 5 (TRL5), integra-se com ambientes de desenvolvimento open source já existentes, como Visual Studio e Visual Studio Code, e liga as ações dos desenvolvedores a transações blockchain.
De acordo com os inventores de PARANOID, esta metodologia em blockchain demonstrou ser uma abordagem viável para suportar uma rastreabilidade exaustiva e uma forte demonstrabilidade da integridade do sistema de desenvolvimento para software mission-critical.
A vantagem é que a blockchain é um registro inalterável e consultável por todos, diretamente e sem intermediários. Qualquer alteração dos blocos seria imediatamente detectada.
Todos os computadores participantes possuem uma cópia deste registro, para que possam verificá-lo sem recorrer a intermediários, e todas as transações são verificadas e atualizadas com base no protocolo público.
Com PARANOID, cada desenvolvimento de um software crítico é uma transação na blockchain, portanto, quaisquer modificações imprevistas ou outros ataques cibernéticos são detectados imediatamente.
O objetivo é prevenir eficazmente as modificações não autorizadas do código fonte, mas também a substituição ou inserção não autorizada de ficheiros, objetos, executáveis e pacotes de teste.
A blockchain além das criptomoedas
O primeiro exemplar de blockchain pública e descentralizada apareceu em janeiro de 2009 com a mineração do primeiro bloco de Bitcoin, por Satoshi Nakamoto.
Inicialmente, esta tecnologia era usada apenas no âmbito das criptovalute, mas depois percebeu-se que suas características a tornavam ótima também para outros tipos de uso, incluindo, por exemplo, os NFT.
Em específico, uma blockchain pública e descentralizada resulta ser inatacável e imutável, porque qualquer pessoa pode verificar em primeira mão que todas as transações são corretas.
No caso de Paranoid, porém, não é utilizada uma blockchain pública, por razões óbvias, mas uma DLT permissioned (Hyperledger) que, no entanto, desempenha um papel muito semelhante.
De fato, qualquer pessoa que trabalhar nos softwares geridos com Paranoid terá acesso direto à chain das transações do software, de forma a verificar em primeira mão e sem intermediários que todas as transações sejam corretas.
É imaginável que haja diferentes níveis de acesso, e que os dados de diferentes softwares não serão compartilhados nem mesmo entre as diferentes equipes de desenvolvimento, e dado que Paranoid já está em uso no TRL5 é imaginável que esta tecnologia funcione efetivamente bem.
É importante lembrar que não é necessário registrar o próprio código na blockchain, mas é suficiente registrar um hash de validação do código de forma que a partir do hash não seja possível de forma alguma rastrear o código, mas que possa ser utilizado com absoluta certeza para validá-lo, assim podendo verificar pessoalmente e sem intermediários que o software que está sendo utilizado corresponde exatamente ao certificado na blockchain.
