Velká část řešení nových virů přichází na to, jak fungují. Chcete-li to provést, musíte to zpětně analyzovat. Národní bezpečnostní agentura (NSA) musí samozřejmě dělat takovou práci hodně, takže vytvořili svůj vlastní nástroj, zvaný Ghidra, aby jim to pomohl.
Mimochodem, je to prohlásil Ghee-dra. Bylo zveřejněno zdarma a jako otevřený zdroj 5. března 2019 na konferenci RSA v San Franciscu. Můžete dokonce podívejte se na prezentační poznámky Ghidry od Roberta Joyce, Senior Advisor Národní bezpečnostní agentury (NSA).
Abychom opravdu porozuměli tomu, jak byla Ghidra opravdu důležitá, musíme pochopit, k čemu je reverzní inženýrství a na co se používá. Inženýrství a proč se to používá? Možná jste to udělali sami s malým zařízením doma, jen se snažíte zjistit, jak se opravit. Ale mluvíme o RE programu. Je to jen kód, že? Nebudeme se jen dívat na kód za ním?
Když píšete program v jazyce, jako je C nebo Java, existuje krok mezi jeho napsáním a jeho použitím v počítači. Jazyk, ve kterém programujete, je pro vás čitelný, ale ne nutně čitelný z počítače. Musí být přeloženo do něčeho, s čím počítač dokáže. Tento proces se nazývá kompilace.
Jakmile je program zkompilován, není již čitelný lidmi.
In_content_1 vše: [300x250] / dfp: [640x360]->Pokud chcete zjistit, jak tento program funguje, musíte jej rozdělit na úroveň, kde můžete vidět, co je v něm. K tomu potřebujete atoolkit, stejně jako potřebujete sadu šroubováků a klíčů, které se zabývají malým zařízením nebo motorem.
To je místo, kde hraje Ghidra. Je to nástroj pro obohacení sady nástrojů, který umožňuje sledovat, jak se to tiká. Existují již další podobné nástroje jako IDA, Radare a Binary Ninja.
NSA používá Ghidru k přijímat viry, malware a jiné programy, které mohou představovat hrozbu pro národní bezpečnost. Poté na základě toho, co zjistí, vypracují akční plán, jak se vypořádat s hrozbou. S nedávným počtem zpráv hackerů o hackerstvích, které se ve zprávách nedávno objevily, víte, že je to velký problém.
Může někdo použít Ghidru?
Ne přesně. Musíte mít alespoň nějaké znalosti s programováním. Nemusíte být softwarový inženýr, ale pokud jste absolvovali několik vysokoškolských kurzů programování, můžete se dostat do Ghidry aNaučte se, jak ji používat.
Plus, oficiální web Ghidra má také instalačního průvodce, rychlé reference, wiki a sledovač problémů. Smyslem je poskytnout vše, aby se všichni mohli učit, a společně tak svět bezpečnější před škodlivými hackery.
NSA to dělá s cílem „… vylepšit nástroje kybernetické bezpečnosti…“ a „… vybudovat komunitu…“ vědců, kteří jsou zkušení s Ghidrou a přispívají k jejímu růstu, jak je uvedeno v prezentaci Roberta Joyce.
Proč je tedy Ghidra velký problém?
Je to od NSA. Jaká společnost má takové zdroje, jaké má federální agentura USA? Jaké zkušenosti by mohla mít i ta nejlepší bezpečnostní společnost ve srovnání s agenturou pověřenou bezpečností nejmocnějšího národa na Zemi?
Takže, ano, je to velmi silný nástroj. Bezpečnostní výzkumník Joxen Coret tweeted "Takže, Ghidra s ** ts všude po kterémkoli jiném RE nástroji tam s jedinou výjimkou IDA."
Pak je tu volný aspekt. Díky tomu, že je možné získat to, co je pravděpodobně nejúčinnějším nástrojem RE zdarma, byla vstupní lišta do výzkumu bezpečnosti právě snížena na vlastnictví počítače a přístup k internetu.
Toto je část důvodu, proč ji NSA vydal. Doufají, že nová generace výzkumných pracovníků se s tím zlepší a zváží kariéru v NSA.
Pak existuje otevřený zdroj aspekt. Bezpečnostní agentury nejsou známy tím, že nechávají lidi z dobrého důvodu vypadat za oponou. Pokud víte, jak dělají to, co dělají, je snazší je zmařit. Přesto je celý zdrojový kód pro Ghidru zveřejňován, takže si ho může kdokoli pročešit a přesně vidět, jak to funguje.
A ne, neexistují žádné zprávy o tom, že by v ní vládly zadní vrátka. Ron Joyce to oslovil rychle a řekl, že výzkumná komunita pro bezpečnost: „… je poslední komunitou, do které chcete vydat něco s nainstalovaným zadním vrátím, lidem, kteří loví, aby se tyto věci roztrhaly.“
Z hlediska vzdělávání umožňuje Ghidra také technikům začínajícího softwaru kromě programů, abyste viděli, jak fungují, a poté se naučili dělat něco podobného s vlastními projekty. Když se podíváme na kód jiného člověka, je už dlouho přijímaná praxe mezi programátory a vývojáři, aby se stali lepšími programátory. Pokud byl tento kód otevřeně sdílen, samozřejmě.
Pravděpodobně největší problém spočívá v tom, že Ghidra byla navržena tak, aby byla společně využívána. Můžete mít sdílené úložiště se svými spolupracovníky nebo kamarády, takže můžete pracovat na projektu najednou. To dramaticky urychlí analysisproces.
Co teď?
Americká federální vláda se zavázala vydat stále více a více softwaru souvisejícího s bezpečností. Některé z nich budou mít velmi technický charakter, jako je Ghidra, a některé z nich budou uživatelsky přívětivější, například zabezpečená verze systému Android.
To vše ohlašuje jedinečný čas vládní a civilní spolupráce směřující k udržení naší datové infrastruktury co nejbezpečnější.
USA Secret Service - https://www.secretservice.gov/data/press/reports/USSS_FY2013AR.pdf
https://media.defense.gov/2012/Apr/27/2000157039/-1/-1/0/120417-F-JM997-405.JPG
