La Marina USA sta cercando partner privati per la ricerca e lo sviluppo della sua tecnologia proprietaria per la sicurezza basata su blockchain chiamata PARANOID.
Si tratta di una soluzione per proteggere il software che gestisce la supply chain, e che sfrutta la blockchain per garantire la sicurezza degli ambienti di sviluppo software e per verificare il software finito.
Per ora è ancora solo un prototipo (TRL5), ed è costituito da un’infrastruttura blockchain basata su Hyperledger, un’applicazione server, un plug-in per Visual Studio e Visual Studio Code ed un’applicazione di verifica del software offline.
Summary
Marina USA: L’apertura ai privati del progetto blockchain Paranoid
Stando a quanto riportato nel comunicato stampa diffuso pochi giorni fa, la Marina sta cercando di collaborare con l’industria privata per lo sviluppo di questo software che consente la tracciabilità e la dimostrabilità nello sviluppo del software.
Il software ormai è diventato parte integrante sia degli aerei militari che dei veicoli e dei sistemi d’arma, quindi occorre una soluzione che garantisca una supply chain sicura del software. Per questo motivo è stato sviluppato Paranoid.
Ora l’obiettivo della Marina sarebbe addirittura quello di commercializzare questa innovazione, sebbene originariamente Paranoid sia stato sviluppato solamente per supportare lo sviluppo sicuro in particolare di software avionico per i programmi aeronautici della Naval Aviation Enterprise (NAE).
Questa soluzione però in teoria è applicabile a qualsiasi organizzazione o azienda che abbia bisogno di piena tracciabilità con dimostrabilità certa per lo sviluppo di software, così da prevenire attacchi che potrebbero avvenire proprio durante lo sviluppo stesso.
Paranoid è disponibile per le imprese private tramite TechLink, partner nazionale per il trasferimento tecnologico del Dipartimento della Difesa, ma la Marina offre anche agli sviluppatori privati un accordo cooperativo di ricerca e sviluppo (CRADA) che consente la collaborazione tra enti governativi e aziende private.
Il senior technology manager di TechLink, Nida Shaikh, ha dichiarato:
“Un partner CRADA ideale sarebbe un’azienda interessata a sviluppare una soluzione per proteggere la supply chian del software. Ciò includerebbe aziende nel campo dello sviluppo software che sarebbero disposte a installare e testare PARANOID per feedback e scalabilità.”
Cos’è Paranoid
Questa nuova tecnologia è stata inventata dalla NAWCAD, ovvero l’Aircraft Division del Naval Air Warfare Center di Lakehurst, nel New Jersey.
Il problema da risolvere era la verifica della sicurezza in tutti i passaggi del processo di sviluppo del software, dalla creazione e modifica del codice sorgente grezzo alla compilazione dello stesso, fino alla creazione di un’applicazione finale ed al suo invio all’utente finale.
Il fatto è che ognuno di questi passaggi contiene in teoria innumerevoli opportunità per sferrare attacchi informatici, sia dall’interno che dall’esterno, come ad esempio inserire di nascosto del codice dannoso o scambiare un file con un altro.
Il metodo PARANOID risolve il problema garantendo l’integrità del software durante tutto il suo ciclo di vita grazie alla blockchain.
Il prototipo già esistente, in funzione nel cosiddetto Technology Readiness Level 5 (TRL5), si integra con ambienti di sviluppo open source già esistenti, come Visual Studio e Visual Studio Code, e lega le azioni degli sviluppatori a transazioni blockchain.
Secondo gli inventori di PARANOID, questa metodologia su blockchain ha dimostrato di essere un approccio praticabile per supportare una tracciabilità esaustiva ed una forte dimostrabilità dell’integrità del sistema di sviluppo per software mission-critical.
Il vantaggio è che la blockchain è un registro inalterabile e consultabile da tutti, direttamente e senza intermediari. Qualsiasi alterazione dei blocchi sarebbe immediatamente rilevata.
Tutti i computer partecipanti detengono una copia di questo registro, così da poterla verificare senza dover ricorrere ad intermediari, e tutte le transazioni vengono verificate ed aggiornate in base al protocollo pubblico.
Con PARANOID, ogni sviluppo di un software critico è una transazione su blockchain, pertanto eventuali modifiche impreviste o altri attacchi informatici vengono individuati immediatamente.
L’obiettivo è quello di prevenire efficacemente le modifiche non autorizzate del codice sorgente, ma anche la sostituzione o l’inserimento non autorizzato di file, oggetti, eseguibili e pacchetti di prova.
La blockchain oltre le criptovalute
Il primo esemplare di blockchain pubblica e decentralizzata è comparso nel gennaio 2009 con il mining del primo blocco di Bitcoin, ad opera di Satoshi Nakamoto.
Inizialmente questa tecnologia veniva usata solamente nell’ambito delle criptovalute, ma in seguito ci si è accorti che le sue caratteristiche la rendevano ottima anche per altri tipi di utilizzo, tra cui ad esempio anche gli NFT.
Nello specifico, una blockchain pubblica e decentralizzata risulta essere inattaccabile ed immodificabile, perchè chiunque può verificare in prima persona che tutte le transazioni siano corrette.
Nel caso di Paranoid però non viene utilizzata una blockchain pubblica, per ovvie ragioni, ma una DLT permissioned (Hyperledger) che tuttavia svolge un ruolo molto simile.
Infatti chiunque lavorerà ai software gestiti con Paranoid avrà accesso diretto alla chain delle transazioni del software, così da verificare in prima persona e senza intermediari che tutte le transazioni risultino essere corrette.
È immaginabile che vi siano diversi livelli di accesso, e che i dati di differenti software non saranno condivisi anche tra i differenti team di sviluppo, e dato che Paranoid è già in uso nel TRL5 è immaginabile che questa tecnologia funzioni effettivamente bene.
Va ricordato che non occorre registrare il codice stesso sulla blockchain, ma è sufficiente registrare un hash di validazione del codice in modo che dall’hash non si possa in alcun modo risalire al codice, ma che si possa utilizzare con certezza assoluta per convalidarlo, così da poter verificare in prima persona e senza intermediari che il software che si sta utilizzando corrisponde esattamente a quello certificato su blockchain.
