Immagine: NSA
Presso la RSA security conference di oggi, l’Agenzia per la Sicurezza Nazionale, rilasciato Ghidra, un software gratuito di reverse engineering strumento che l’agenzia ha utilizzato internamente per oltre un decennio.
Lo strumento è ideale per gli ingegneri del software, ma sarà particolarmente utile per gli analisti di malware in primo luogo.
La NSA piano generale è stata quella di rilasciare Ghidra così i ricercatori di sicurezza può abituarsi a lavorare con esso prima di applicare per le posizioni alla NSA o di altre agenzie di intelligence del governo con cui la NSA ha condiviso in precedenza Ghidra in privato.
Ghidra è attualmente disponibile solo per il download attraverso il suo sito ufficiale, ma il NSA prevede anche di rilasciare il codice sorgente sotto licenza open source su GitHub nel prossimo futuro.
La notizia che la NSA è stato comunicato l’intenzione di Ghidra primo ha rotto all’inizio dell’anno, e lo strumento è stato nella mente di tutti per gli ultimi due mesi.
Il motivo è che Ghidra è un’alternativa gratuita a IDA Pro, un simile reverse engineering strumento che è disponibile solo in una molto costosa licenza commerciale, con un prezzo nella gamma di migliaia di dollari l’anno.
Viene offerto gratuitamente, la maggior parte degli esperti si aspettano Ghidra per scattare una grossa porzione di reverse engineering strumenti di quota di mercato nel giro di poche settimane, in particolare dall’inizio del le recensioni degli utenti sono quasi del tutto positiva.
Immagine: ZDNet
Immagine: ZDNet
Come per le sue caratteristiche tecniche, Ghidra è codificato in Java, ha un’interfaccia utente grafica (GUI), e funziona su Windows, Mac e Linux.
Secondo Rob Joyce, Consulente Senior presso l’Agenzia per la Sicurezza Nazionale e la NSA ufficiale che ha annunciato lo strumento del comunicato oggi alla conferenza RSA, Ghidra in grado di analizzare i binari scritti per una grande varietà di architetture, e può essere facilmente esteso con più, se mai necessario.
Ghidra moduli processore: X86 16/32/64, BRACCIO/AARCH64, PowerPC 32/64, VLE, MIPS 16/32/64,micro, 68xxx, Java / DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8, AVR32, Altri+ varianti. Potere che gli utenti possono espandere mediante la definizione di nuovi
— Rob Joyce (@RGB_Lights) 5 Marzo, 2019
Ci uniamo Rob Joyce annunciando che l’ #Ghidra è vivo! Scarica la tua copia: https://t.co/h7hOPQIChJ e invertire il movimento! #RSAC #RSAC2019 pic.twitter.com/VXUSFopMOk
— NSA/CSS (@NSAGov) il 6 Marzo 2019
L’installazione di Ghidra è semplice come aprire un archivio ZIP. L’unico requisito è una versione di Java Development Kit 11 o versione successiva che è necessario per eseguire l’applicazione GUI. Di più su l’installazione dello strumento di routine da parte dello strumento documentazione ufficiale:
Ghidra non fa uso di un tradizionale programma di installazione. Invece, il Ghidra di distribuzione di file viene semplicemente estratta posto sul filesystem. Questo approccio ha i suoi vantaggi e svantaggi. Sul lato alto, il privilegio amministrativo non è necessario per installare Ghidra per uso personale. Inoltre, poiché l’installazione di Ghidra non aggiornare qualsiasi OS configurazioni come ad esempio il registro di sistema di Windows, rimozione Ghidra è semplice come eliminare il Ghidra directory di installazione.
Oltre a una guida per l’installazione, Ghidra documenti del venire anche con lezioni ed esercizi per principianti, intermedi e avanzati che aiuterà gli utenti a ottenere utilizzato per la GUI dello strumento, che è molto diverso da qualsiasi strumenti simili.
Sei un IDA Pro power user? Nessun problema, c’è una guida anche per questo.
lol – Ghidra dispone di strumenti per aiutare a convertire gli utenti da IDA: pic.twitter.com/A649uIHmtj
— Sila Cutler (@silascutler) il 6 Marzo 2019
Bisogno di una scorciatoia da tastiera cheatsheet? Nessun problema, c’è un hosting online, qui.
Non come il luminoso GUI? Nessun problema, c’è un modo oscuro incluso nel Ghidra la sezione impostazioni.
Immagine: ZDNet
Al momento di questo articolo –un’ora dopo la versione dello strumento– la reazione infosec (sicurezza delle informazioni), la comunità è stata quasi del tutto positiva, con ottime recensioni da parte di alcuni dei più grandi nomi della cyber-sicurezza.
Ghidra fuori e noi abbiamo quelle del BRACCIO proc moduli, il pulsante ANNULLA, e la capacità di collaborare in analisi e…GRATIS! https://t.co/CAkwg9WWcK pic.twitter.com/Lq6I9fXAYx
— Maddie Pietra (@maddiestone) il 6 Marzo 2019
Le cose buone:
– Il decompiler è fottutamente fantastico.
– Il decompilatore supporta tutto ciò che si può smontare.
– Tutto è completamente integrato.
– Multi-binari progetti con il controllo di versione.
– Undo!— Joxean Koret (@matalaz) il 6 Marzo 2019
Sì, ho intenzione di iniziare ad usarlo per tutti i nuovi progetti. Finora, non sembra in grado di sostituire abbastanza del mio flusso di lavoro in IDA che posso passare, uff!
— Tavis Ormandy (@taviso) il 6 Marzo 2019
Ghidra non può essere IDA Pro killer più esperti previsto, poiché IDA Pro offre ancora un debugger componente non è presente in Ghidra, ma le cose sono migliorate.
Perché Ghidra del codice open-source, questo significa anche che sarà aperto ai contributi comunitari, e molti si aspettano di ricevere un debugger in un prossimo futuro e consentire analisti di malware per saltare la nave e smettere di pagare una fortuna per IDA licenze.
E infosec comunità ha già iniziato a contribuire a Ghidra, anche se lo strumento del codice sorgente non è stato pubblicato su GitHub.
Pochi minuti dopo la versione dello strumento, Matteo Hickey, co-fondatore e direttore del regno UNITO a base di cyber-sicurezza ditta di Hacker House, ha riferito il primo problema di sicurezza NSA strumento, che apprently viene eseguito un componente server che ascolta i comandi che riceve da internet. Il fissaggio deve essere una riga di cambiare, anche se, secondo Hickey.
Ghidra apre JDWP in modalità di debug in ascolto sulla porta 18001, è possibile utilizzarlo per eseguire codice da remoto 🤦♂️.. per risolvere modificare la riga di 150 support/launch.sh da * a 127.0.0.1 https://t.co/J3E8q5edC7
— Hacker Fantastico (@hackerfantastic) il 6 Marzo 2019
“Da open-sourcing GHIDRA, la NSA potranno beneficiare di una vasta base di utenti di cui il feedback di rendere questo strumento ancora più efficace”, Patrick Miller, ricercatore di sicurezza presso la Raytheon Intelligence, Informazioni e Servizi detto a ZDNet via e-mail.
“Svantaggiati cyber team alle prese con una carenza di personale o di risorse, lo strumento gratuito, è un cambio di gioco per facilitare la barriera di entrata in cyber forza lavoro e l’innalzamento delle competenze di queste squadre. Come utente di questo strumento per anni, non vedo l’ora di vedere come si migliora nelle mani dei miei coetanei,” Miller ha detto.
ZDNet lettori alla ricerca di ulteriori informazioni sullo strumento, si prega di consultare il sito ufficiale repo GitHub, o la documentazione inclusa.
La notizia della NSA open sourcing uno dei suoi strumenti interni non dovrebbe essere una sorpresa in più. La NSA ha aperto di provenienza di tutti i tipi di strumenti, negli ultimi anni, con più successo di loro Apache NiFi, un progetto per l’automazione di grandi trasferimenti di dati tra applicazioni web, e che è diventato un preferito sul cloud computing scena.
In totale, la NSA è open-source 32 progetti come parte del suo Programma di Trasferimento di Tecnologia (TTP) così lontano e più recentemente si è anche aperto un ufficiale di account di GitHub.
Di seguito un video di ricercatore di sicurezza Marcus “MalwareTech” Hutchins diamo un primo sguardo a Ghidra e le sue caratteristiche. Inoltre, all’interno di un’ora di rilascio, Ghidra è già stato reso disponibile come pacchetto per Arch Linux, un sistema operativo preferito dalla maggior parte di bianco, grigio e nero-hat hacker.
Relative cyber-copertura di sicurezza:
Ransomware attacco Israeliano utenti fallisce miseramente a causa di codifica errorGoogle Progetto Zero rivela zero-day macOS vulnerabilità al publicJapanese polizia carica 13-anno-vecchio per la condivisione di ‘l’unclosable popup scherzo onlineWordPress hanno rappresentato il 90 per cento di tutti i hacked siti CMS in 2018Researchers scoprire anello di GitHub conti promuovere 300+ backdoored appsVulnerability espone la posizione di migliaia di malware C&C server
Il Malware può ora eludere la sicurezza del cloud strumenti TechRepublicCryptomining malware scoperto che si presenta come aggiornamenti di Flash CNET
Argomenti Correlati:
Governo – NOI
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati