El panorama de la seguridad cambió en agosto del 2011 en el congreso de Black Hat cuando el legendario hacker del L0pht Peiter “Mudge” Zatko presentó el nuevo programa Cyber Fast Track (CFT) (DARPA-PA-11-52) del DARPA (Agencia de Proyectos de Investigación Avanzados de Defensa de los EE.UU.) para financiar proyectos de I+D para hackers y pequeñas empresas. En la web del DARPA CFT (offline en estos momentos) o DARPA CFT se puede encontrar toda la información sobre el programa
La idea es simple, los tiempos han cambiado y son los hackers y las pequeñas empresas quienes tienen las ideas y agilidad para innovar, pero no los recursos necesarios y esto es precisamente lo que aporta el programa. Muchos países deberían tomar nota de esta novedosa idea que potencia la creatividad y el I+D.
Para facilitar el proceso de solicitud se colgó una serie de documentos y guías. La idea era agilizar y simplificar el proceso para personas no acostumbradas a lidiar con la burocracia gubernamental. Sin duda una estupenda idea y de gran ayuda.
Aparte de ser un hecho insólito que el DARPA subvencione a hackers (creo que ha sido el único programa de estas características en todo el mundo), ¡mas insólito era el hecho de que este programa estaba abierto a cualquier hacker y boutique de seguridad del mundo entero!
A través de la empresa que funde el año pasado, VULNEX, una startup especializada en ciberseguridad ubicada en Madrid, decidimos probar suerte y creamos una propuesta de I+D que enviamos en agosto del 2012 y a los cinco días recibimos una llamada del DARPA comunicándonos que habían aceptado nuestro proyecto, increíble.
El objetivo del proyecto era mejorar la seguridad en el ciclo de desarrollo de software. La duración del proyecto era de cinco meses analizando los diferentes compiladores (Visual Studio, GCC y LLVM) y versiones para determinar qué medidas de seguridad ofrecen, su efectividad y cómo afectan a los binarios producidos.
Con este profundo análisis, la segunda y tercera fase del proyecto consistían en desarrollar dos tecnologías para ayudar a los programadores a producir software seguro.
Una de las tecnologías desarrolladas es BinSecSweeper, una potente herramienta fácil de utilizar para analizar la postura de seguridad de binarios. La herramienta es de código abierto, multiplataforma y capaz de analizar diferentes tipos de binarios y arquitecturas. BinSecSweeper estará disponible en la web de VULNEX próximamente.
Es una pena que el DARPA terminase con el programa CFT el pasado 1 de abril del 2013, del que tengo entendido se han beneficiado unos 500 proyectos de más de 1500 recibidos. De los proyectos seleccionados han salido herramientas muy interesantes y se presentan en congresos de seguridad de primer nivel, basta que hagamos una búsqueda en la web para poder encontrar muchos de ellos.
Sin duda una idea rompedora que para hackers y pymes ha sido de gran ayuda, y para nosotros VULNEX, una startup española, toda una grata experiencia poder colaborar con el DARPA y nuestra tecnología presentada en eventos internos 🙂
Desde aquí dar las gracias a Mudge, DARPA y a todo el equipo de BITSystems (encargados de la gestión del CFT).
Gracias!
¿Conocías el DARPA CFT? ¿Qué te parece?
— Simon Roses Femerling
