Comentan en IEEE que cada año se añaden 111 mil millones de líneas a la masa del código de software existente en el planeta, por lo que la cantidad de agujeros de seguridad existentes debe ser realmente impresionante.
Para resolver los problemas de la cantidad de agujeros en el software existente, desde la Universidad Carnegie Mellon (CMU), en Pittsburgh, han estado desarrollando una tecnología que haría que el software fuera seguro de forma automática. Llevan trabajando 10 años en el tema, y en 2012 fundaron ForAllSecure para llevar el producto al mundo.
En 2016 participaron y ganaron en el DARPA Cyber Grand Challenge (CGC), evento organizado por la Agencia de Proyectos de Investigación Avanzada de la Defensa de los Estados Unidos (DARPA) para estimular los avances tecnológicos para la seguridad nacional. El campeón ganaría 2 millones de dólares, y los finalistas del segundo y tercer lugar obtendrían 1 millón y 750.000, respectivamente.
Ellos se presentaron con Mayhem, un sistema que automatiza lo que hacen los piratas informáticos. No solo señala posibles debilidades, sino que las explotaba, demostrando de manera concluyente que en realidad eran debilidades. Esta fue también una parte clave de la CGC, ya que demostrar una prueba de vulnerabilidad con un exploit en funcionamiento fue parte de la forma en que la máquina obtuvo puntos. Y debido a que Mayhem era una máquina que podía ampliarse a través de cientos o miles de nodos, el análisis podría proceder a una velocidad que ningún humano podría igualar.
Mayhem puede funcionar directamente en código binario, a diferencia de los archivos de texto codificados por humanos, por lo que puede analizar un programa sin la ayuda de la persona que lo desarrolló. El resultado es que Mayhem identifica las vulnerabilidades con absoluta certeza, en lugar de simplemente marcar los posibles problemas, como lo hacen la mayoría de las herramientas de análisis de código.
En este momento, ForAllSecure está vendiendo las primeras versiones de su nuevo servicio a los primeros usuarios, incluido el gobierno de EE. UU. y las empresas de las industrias de alta tecnología y aeroespacial.
Parece que hay defensa contra los miles de hackers del lado oscuro de la fuerza.