O que é Ghidra e por que é importante?


Uma grande parte do enfrentamento de novos vírus é descobrir como eles funcionam. Para fazer isso, você precisa fazer engenharia reversa. O Agencia de Segurança Nacional (NSA) obviamente deve fazer esse tipo de trabalho muito, então eles criaram sua própria ferramenta, chamada Ghidra, para ajudá-los a fazer isso.

A propósito, é pronunciado Ghee-dra. Foi lançado ao público gratuitamente e como código aberto em 5 de março de 2019, na RSA Conference em São Francisco. Você pode até veja as notas de apresentação de Ghidra de Robert Joyce, consultor sênior da Agência de Segurança Nacional (NSA).

Para realmente entender a liberação de Ghidra era importante, precisamos entender para que é a engenharia reversa e para que é usada.

O que é Reverse Engenharia e por que é usado?

Geralmente, a engenharia reversa (ER) refere-se ao processo de separar algo para descobrir como foi feito. Você pode ter feito isso sozinho com um pequeno aparelho em casa, apenas tentando descobrir como se consertar. Mas estamos falando sobre um programa de ER. É apenas código, certo? Por que não olhamos apenas o código por trás dele?

Quando você escreve um programa em uma linguagem como C ou Java, há um passo entre escrevê-lo e poder usá-lo em um computador. O idioma em que você está programando é legível para você, mas não necessariamente legível pelo computador. Ele deve ser traduzido em algo com o qual o computador possa trabalhar. Esse processo é chamado de compilação.

Depois que um programa é compilado, ele não é mais legível por humanos.

In_content_1 all: [300x250] / dfp: [640x360]->
googletag.cmd.push (function () {googletag.display ('snhb-In_content_1-0');});

Se você quiser descobrir como esse programa funciona, desmonte-o ao nível em que possa ver o que está nele. Você precisa de um kit de ferramentas para isso, assim como um kit de ferramentas com chaves de fenda e chaves para falar sobre um pequeno aparelho ou motor.

É aí que Ghidra entra para brincar. É uma caixa de ferramentas que separa o software para ver como funciona. Já existem outras ferramentas similares, como IDA, Radare e Binary Ninja.

A NSA usa Ghidra para abordar vírus, malware e outros programas que possam representar uma ameaça à segurança nacional. Então, com base no que descobrem, eles desenvolvem um plano de ação para lidar com a ameaça. Com o número de eventos de hackers patrocinados pelo estado nas notícias recentemente, você sabe que isso é um grande negócio.

Alguém pode usar o Ghidra?

Não exatamente. Você precisa ter alguma proficiência em programação, no mínimo. Você não precisa ser um engenheiro de software, mas se já fez alguns cursos universitários em programação, pode entrar em Ghidra eensine-se como usá-lo.

A NSA está fazendo isso para "melhorar as ferramentas de segurança cibernética ..." e "construir uma comunidade ..." de pesquisadores proficientes em Ghidra e contribuindo para o seu crescimento, como está escrito na apresentação de Robert Joyce. / p>

Então, por que Ghidra é um grande negócio?

É da NSA. Que empresa possui o tipo de recursos que uma agência federal dos EUA possui? Que tipo de experiência poderia até a melhor empresa de segurança ter comparado com uma agência encarregada da segurança da nação mais poderosa da Terra?

Então, sim, é uma ferramenta muito poderosa. O pesquisador de segurança Joxen Coret twittou “Então, Ghidra está em todo o mundo, com qualquer outra ferramenta de ER, com a única exceção da AID.”

Depois, há o aspecto gratuito. Por ser capaz de obter gratuitamente a ferramenta de ER mais poderosa, a barra de acesso à pesquisa de segurança foi reduzida para simplesmente possuir um computador e ter acesso à Internet.

Isso é parte do motivo pelo qual a NSA o lançou. Eles esperam que uma nova geração de pesquisadores se torne proficiente e considere carreiras na NSA.

Então existe o código aberto aspecto. As agências de segurança não são conhecidas por deixar as pessoas olharem para trás da cortina por um bom motivo. Se você sabe como eles fazem o que fazem, fica mais fácil frustrá-los. No entanto, todo o código-fonte do Ghidra está sendo tornado público para que qualquer pessoa possa vasculhá-lo e ver exatamente como ele funciona.

E não, não há relatos de backdoors do governo. Ron Joyce abordou isso rapidamente, dizendo, a comunidade de pesquisa de segurança: “… é a última comunidade para a qual você deseja divulgar algo com um backdoor instalado, para as pessoas que procuram essas coisas para se desfazer.”

Do ponto de vista educacional, o Ghidra também permite que os engenheiros de software da buddh programas separados para ver como eles funcionam e, em seguida, aprender a fazer algo semelhante com seus próprios projetos. Analisar o código de outra pessoa há muito tempo é uma prática aceita entre programadores e desenvolvedores para se tornarem melhores programadores. Se esse código foi compartilhado abertamente, é claro.

Talvez o maior problema seja que o Ghidra foi projetado para ser usado em colaboração. Você pode ter um repositório compartilhado com seus colegas de trabalho ou amigos, para que todos possam trabalhar em um projeto ao mesmo tempo. Isso acelera drasticamente o processo de análise.

What Now?

O governo federal dos EUA prometeu lançar cada vez mais software relacionado à segurança. Algumas serão de natureza muito técnica, como Ghidra, e outras mais amigáveis, como um versão com segurança aprimorada do Android.

Tudo isso anuncia um momento único de colaboração governamental e civil para manter nossa infraestrutura de dados o mais segura possível.

EUA Serviço Secreto - https://www.secretservice.gov/data/press/reports/USSS_FY2013AR.pdf

https://media.defense.gov/2012/Apr/27/2000157039/-1/-1/0/120417-F-JM997-405.JPG

Papo Binário #28 - Gestão de pentest

Postagens relacionadas:


20.03.2019