Если однажды нам придется анализировать инопланетный технологический артефакт, понимать его принцип действия, воспроизводить его технологию и приобретать эти новые знания, нам придется провести процесс обратная инженерияили, начиная с готового продукта, «разбирая его», чтобы понять, что это такое, что он делает и как он это делает.
Во время RSA Conference Сан-Франциско (состоялась 5 марта 2019 г.), международная конференция по кибербезопасности, Агентство национальной безопасности, правительственный орган США, ответственный за защиту страны от атак любого рода, представил Ghidra, инструмент с открытым исходным кодом для информационной безопасности, разработанной Агентством.
Инструмент, написанный на Java, не используется для нарушения, но для процессов обратная инженерия, В этом случае он позволяет декомпилировать (декомпилировать) программу для выявления кодов, что позволяет отслеживать или угадывать, на что действительно способен анализируемое программное обеспечение.
Обратный инжиниринг программного обеспечения (SRE) выполняет важный процесс для аналитиков в вредоносных программ потому что, благодаря им, можно «редактировать» строки кода программ, получая, таким образом, авторов кода, из которых может исходить атака, ценную и важную информацию, реальные или потенциальные функции. Это позволяет осуществлять необходимые действия (контрмеры), чтобы отрицать это или уменьшить его влияние.
Ghidra это один из многих инструментов с открытым исходным кодом выдано АНБ. Роб Джойс, руководитель киберопераций АНБ, подчеркнул, как агентство работает над Ghidra в течение нескольких лет (если честно, он использовался около десятка, как это видно на WikiLeaks Vault7, CIA Hacking Tools) и как это очень мощный и особенно универсальный инструмент. Программа имеет интерактивный графический интерфейс (GUI) и совместима с Windows, Mac OS и Linux, а также имеет механизм отмены / восстановления, который позволит пользователям проверять теории на возможную работу анализируемого кода.
Джойс, определил Ghidra как «вклад в сообщество кибербезопасности нации», но природа с открытым исходным кодом мощного программного обеспечения АНБ делает его привлекательным инструментом даже для всех других стран.
Эта новость оказала огромное влияние и сделала сообщество очень взволнованным и одновременно обеспокоенным. Думалось о наличии бэкдора в самом программном обеспечении (и некоторые пользователи говорят, что обнаружили его через несколько часов после выпуска, подозревая соединение с портом 18001, когда программное обеспечение запускается в режиме отлаживать) или возникли некоторые подозрения в отношении возможности того, что этот выпуск для всего мира фактически является следствием перехода Агентства к гораздо более сложному набору SRE.
Таким образом, релиз будет нацелен на то, чтобы создать иллюзию для всего сообщества кибер-сообщества, что «современное состояние» этого типа программного обеспечения для кибербезопасности достигнуто GhidraТаким образом, если программа, имеющая новую структуру и не охваченная устаревшим инструментом, будет проанализирована, она будет рассматриваться только как инопланетянин, странный, не совсем понятный, просто забавный и не опасный «инопланетянин».
- https://www.wired.com/story/nsa-ghidra-open-source-tool/
- https://www.wired.it/internet/web/2019/03/07/nsa-ghidra-malware/
- https://itsfoss.com/nsa-ghidra-open-source/
- https://systemscue.it/ghidra-la-svolta-opensource-della-nsa/14730/
- https://www.securityinfo.it/2019/03/06/ghidra-il-tool-di-reverse-enginee...
- https://www.nsa.gov/resources/everyone/ghidra/
