Billede: NSA
På RSA security conference i dag, National Security Agency, har udgivet Ghidra, en gratis software reverse engineering af, at agenturet havde brugt internt i langt over et årti.
Værktøjet er ideelt for software ingeniører, men vil især være nyttigt for malware analytikere først og fremmest.
NSA ‘ s generelle plan var at frigive Ghidra sikkerhed, så forskere kan komme vant til at arbejde med det, før du anvender for stillinger på NSA eller andre statslige efterretningstjenester, som NSA har tidligere delt Ghidra i det private.
Ghidra er i øjeblikket tilgængelig for download-kun gennem sin officielle hjemmeside, men NSA har også planer om at frigive sin kildekode under en open source licens på GitHub i den kommende fremtid.
Nyheden om, at NSA skulle til at frigive Ghidra første brød i starten af året, og værktøjet har været på alles sind for de seneste to måneder.
Årsagen er, at Ghidra er et gratis alternativ til IDA Pro, en lignende reverse engineering værktøj, der er kun tilgængelige under en meget dyr kommerciel licens, prissat i rækken af tusindvis af dollars pr år.
Der tilbydes gratis, de fleste eksperter forventer, Ghidra til at snuppe en stor del af reverse engineering tools markedsandel inden for få uger, især siden begyndelsen af bruger anmeldelser er næsten alle helt positiv.
Billede: ZDNet
Billede: ZDNet
Som for dens tekniske funktioner, Ghidra er kodet i Java, har en grafisk brugergrænseflade (GUI), og virker på Windows, Mac og Linux.
Ifølge Rob Joyce, Senior Advisor på National Security Agency og NSA-embedsmand, der har annonceret værktøj udgivelse i dag på RSA-konferencen, Ghidra kan analysere binære filer skrevet til en lang række af arkitekturer, og kan let udvides med flere, hvis de nogensinde brug for.
Ghidra processor moduler: X86 16/32/64, ARM/AARCH64, PowerPC-32/64, VLE, MIPS 16/32/64,micro, 68xxx, Java / DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc-32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8, AVR32, Andre+ varianter samt. Superbrugere, der kan udvide ved at definere nye
— Rob Joyce (@RGB_Lights) 5 Marts 2019
Vi slutte Rob Joyce i at annoncere #Ghidra er i live! Download din kopi: https://t.co/h7hOPQIChJ og begynde at vende! #RSAC #RSAC2019 pic.twitter.com/VXUSFopMOk
— NSA/CSS (@NSAGov) 6 Marts 2019
Installation Ghidra er så simpelt som udpakning af en ZIP arkiv. Det eneste krav er en version af Java Development Kit 11 eller senere, at der er brug for til at køre app ‘ s GUI. Mere om af ‘s installation rutine fra af’ s officielle dokumenter:
Ghidra ikke bruge en traditionel installationsprogrammet. I stedet Ghidra distribution-fil er blot udvundet i-plads på filsystem. Denne tilgang har fordele og ulemper. På op-side, administrative privilegium er ikke forpligtet til at installere Ghidra til personlig brug. Også, fordi du kan installere Ghidra ikke opdatere OS konfigurationer såsom registreringsdatabasen i Windows, fjerne Ghidra er så simpelt som at slette Ghidra installation directory.
Udover en installation guide, Ghidra docs også komme med klasser og øvelser for begyndere og mellemprodukter, og avancerede niveauer, der vil hjælpe brugerne med at vænne sig til af ‘ s GUI, som er meget forskellig fra andre lignende værktøjer.
Du er en IDA Pro power-bruger? Ikke noget problem, der er en guide til det også.
lol – Ghidra har værktøjer til at hjælpe med at konvertere brugere fra IDA: pic.twitter.com/A649uIHmtj
— Silas Cutler (@silascutler) 6 Marts 2019
Brug for et tastatur genvej cheatsheet? Ikke noget problem, der er en hosted online, her.
Ikke lide de lyse GUI? Ikke noget problem, der er en mørk mode inkluderet i Ghidra indstillinger afsnit.
Billede: ZDNet
På tidspunktet for denne artikel-en time efter, at af ‘ s udgivelse– reaktionen fra infosec (informationssikkerhed) fællesskabet har været næsten helt positiv, med glødende anmeldelser fra nogle af de største navne i cyber-sikkerhed industrien.
Ghidra er ude, og vi har fået dem, ARM proc moduler, FORTRYD-knappen, og evnen til at samarbejde om analyse…GRATIS! https://t.co/CAkwg9WWcK pic.twitter.com/Lq6I9fXAYx
— Maddie Sten (@maddiestone) 6 Marts 2019
Den gode ting:
– Decompiler er fucking awesome.
– Decompiler støtter noget, som du kan skilles ad.
– Alt er fuldt integreret.
– Multi-binære filer projekter med version kontrol.
– Løsn!— Joxean Koret (@matalaz) 6 Marts 2019
Ja, jeg har tænkt mig at begynde at bruge det for alle nye projekter. Så langt, det ser ud som om det kan erstatte nok af min arbejdsproces i IDA, at jeg kan skifte, pyha!
— Tavis Ormandy (@taviso) 6 Marts 2019
Ghidra kan ikke være IDA Pro killer de fleste eksperter er forventet, da IDA Pro stadig tilbyder en debugger komponent ikke er til stede i Ghidra, men tingene ser op.
Fordi Ghidra kode vil være open source, betyder det også, at det vil være åbent for ef-bidrag, og mange forventer, at det at modtage en debugger i den kommende fremtid, og give malware analytikere til at hoppe skib og stoppe med at betale en formue for IDA-licenser.
Og infosec fællesskabet allerede begyndt at bidrage tilbage til Ghidra, selv hvis værktøjet er kildekoden ikke er blevet offentliggjort på GitHub endnu.
Blot få minutter efter, at af ‘s udgivelse, Matthew Hickey, der er medstifter og direktør for UK-baseret it-sikkerhed firma Hacker Hus, rapporterede den første sikkerhedsproblem i NSA’ s værktøj, som apprently kører en server-komponent, der lytter til kommandoer, som det modtager fra internettet. Fastsættelse bør det være en one-line ændre, men ifølge Forfatter.
Ghidra åbner op JDWP i debug mode lytter på port 18001, kan du bruge det til at afvikle kode via fjernadgang 🤦♂️.. at løse ændre linje 150 support/launch.sh fra * til 127.0.0.1 https://t.co/J3E8q5edC7
— Hacker Fantastisk (@hackerfantastic) 6 Marts 2019
“Med open-sourcing GHIDRA, NSA vil drage fordel af en bred brugerbase, hvis feedback vil gøre værktøjet endnu mere effektive,” Patrick Miller, sikkerhedsekspert hos Raytheon Intelligens, Information og Service fortalte ZDNet via e-mail.
“For underprivilegerede cyber hold kæmper med mangel på personale eller ressourcer, den gratis værktøj er en game changer for at lette barriere for adgang til cyber arbejdsstyrken og øge færdigheder for disse hold. Som bruger af dette værktøj til år, jeg kan ikke vente med at se, hvordan det forbedrer i hænderne på mine jævnaldrende,” Miller sagde.
ZDNet læsere på udkig efter yderligere oplysninger om værktøjet, henvises der til sin officielle hjemmeside, GitHub repo, eller den medfølgende dokumentation.
Nyheden om NSA ‘ open-sourcing en af dens interne værktøjer bør ikke være en overraskelse længere. NSA har open source alle mulige værktøjer i løbet af de seneste par år, med den mest succesfulde af dem er Apache NiFi, et projekt for at automatisere store dataoverførsler mellem web-apps, og som er blevet en favorit på cloud computing-scene.
Alt i alt, NSA har open source 32 projekter som en del af sin Teknologi Transfer Program (TTP) så langt, og har for nylig også åbnet en officiel GitHub konto.
Nedenfor er en video af sikkerhedsekspert Marcus “MalwareTech” Hutchins at tage et første kig på Ghidra og dens funktioner. Også inden for en time af sin udgivelse, Ghidra allerede er blevet gjort tilgængelig som en pakke for Arch Linux, en operativsystemet foretrukket af de fleste hvide, grå, og sort hat hackere.
Relaterede cyber-sikkerhed dækning:
Ransomware angreb på Israelske brugere ikke ynkeligt på grund af kodning errorGoogle ‘ s Project Zero afslører nul-dag macOS sårbarhed over for publicJapanese politiet opkræve 13-år-gammel til at dele ‘unclosable popup’ prank onlineWordPress tegnede sig for 90 procent af alle hacket CMS-websteder i 2018Researchers afdække ring på GitHub konti fremme 300+ backdoored appsVulnerability udsætter placering af tusindvis af skadelige C&C-servere
Malware kan nu unddrage cloud sikkerhed værktøjer TechRepublicCryptomining malware opdaget maskeret som Flash opdateringer, CNET
Relaterede Emner:
Regeringen – OS
Sikkerhed-TV
Data Management
CXO
Datacentre