NSA udostępni narzędzie do inżynierii wstecznej o nazwie GHIDRA

zawszeczujni.pl 5 lat temu
National Security Agency (NSA), jedna ze służb specjalnych USA udostępni bezpłatne narzędzie do inżynierii wstecznej na zbliżającej się konferencji bezpieczeństwa RSA, która odbędzie się w marcu tego roku w San Francisco. Nazwa tego systemu to GHIDRA, a pod względem technicznym jest to dissasembler, oprogramowanie, które rozkłada pliki wykonywalne na kod, który może być analizowany przez ludzi. GHIDRA została napisana w Javie, ma graficzny interfejs użytkownika (GUI) i działa na systemach Windows, Mac i Linux. GHIDRA może analizować pliki binarne dla wszystkich głównych systemów operacyjnych, takich jak Windows, Mac, Linux, Android i iOS, a modułowa architektura obecnej wersji (7.0.2) umożliwia użytkownikom dodawanie pakietów na wypadek, gdyby potrzebowali dodatkowych funkcji, takich jak kryptoanaliza, interakcja z OllyDbg, czy Ghidra Debugger.

Zgodnie z opisem GHIDRA we wstępie do sesji konferencji RSA, narzędzie "zawiera wszystkie funkcje oczekiwane w zaawansowanych narzędziach komercyjnych, z nowymi i rozszerzonymi unikalnymi funkcjami opracowanymi przez NSA". Brzmi ciekawie.

Przykładowa analiza przy pomocy narzędzia GHIDRA

NSA opracowało narzędzie GHIDRA na początku 2000 roku, a od dobrych kilku lat dzieli się nim z innymi agencjami rządowymi USA, które mają powołane zespoły odpowiadające za cyberbezpieczeństwo i które m.in. analizują kod złośliwego oprogramowania. O istnieniu narzędzia GHIDRA świat dowiedział się w marcu 2017 roku, kiedy WikiLeaks opublikował tzw. Vault 7, zbiór wewnętrznych plików i dokumentacji, które podobno zostały wykradzione z sieci intranetowej CIA. Dokumenty te ujawniły m.in., iż CIA była jedną z agencji, które miały dostęp do tego narzędzia.
Były pracownik NSA i badacz bezpieczeństwa Charlie Miller potwierdził na Twitterze, iż narzędzie to było używane przez NSA 13 lat temu kiedy kończył pracę w tej agencji (LINK).
Osoby, które znają i używają narzędzia GHIDRA (m.in. byli pracownicy NSA) i podzieliły się opiniami na jego temat w mediach społecznościowych, takich jak Reddit i Twitter, porównały je z IDA, dobrze znanym ale bardzo drogim narzędziem do inżynierii wstecznej. Większość użytkowników twierdzi, iż GHIDRA jest wolniejsza i bardziej obciążająca niż IDA, ale dzięki otwartemu kodowi źródłowemu i możliwości wsparcia ze strony społeczności open source, GHIDRA być może gwałtownie nadrobi "zaległości", a w przyszłości przekroczy możliwości IDA. Czyżby zatem szykowały się promocje na licencjonowanie narzędzia IDA? ;)

Jeden z wpisów na Reddicie dot. narzędzia GHIDRA

Informacja o tym, iż NSA udostępnia swoje wewnętrzne narzędzia nie powinna już dziwić. W ciągu ostatnich kilku lat NSA opublikowała narzędzia open-source, z których największym sukcesem jest Apache NiFi, projekt do automatyzacji dużych transferów danych między aplikacjami internetowymi, który z kolei stał się jednym z ulubionych narzędzi z obszaru cloud computingu. Łącznie NSA ma 32 projekty open-source w ramach programu transferu technologii (TTP), a ostatnio otworzyła nawet... oficjalne konto GitHub.

Według zapowiedzi, GHIDRA zostanie pokazana na konferencji RSA 5 marca tego roku i prawdopodobnie niedługo pojawi się na specjalnej stronie NSA (LINK) oraz na jej koncie GitHub (LINK).

Garść informacji na temat narzędzia GHIDRA:
https://wikileaks.org/ciav7p1/cms/page_51183656.html

Źródło:
rsaconference.com
zdnet.com
gbhackers.com
wikileaks.org
reddit.com
nsa.gov

Idź do oryginalnego materiału