Saltar al contenido

La NSA convierte a Ghidra, una poderosa herramienta de ciberseguridad, en código abierto

julio 2, 2021


La seguridad nacional La agencia desarrolla herramientas de piratería avanzada internamente tanto para la ofensiva como para la defensa, lo que probablemente podría adivinar incluso si algunos ejemplos notables no se hubieran filtrado en los últimos años. Pero el martes en la conferencia de seguridad de RSA en San Francisco, la agencia demostró Ghidra, una herramienta interna refinada que ha elegido para abrir código. Y aunque el asesor de ciberseguridad de la NSA, Rob Joyce, calificó la herramienta como una «contribución a la comunidad de ciberseguridad de la nación» al anunciarla en RSA, sin duda se utilizará mucho más allá de los Estados Unidos.

No puedes usar Ghidra para piratear dispositivos; en cambio, es una plataforma de ingeniería inversa que se utiliza para tomar software «compilado» y desplegado y «descompilarlo». En otras palabras, transforma los unos y los ceros que las computadoras entienden en una estructura, lógica y un conjunto de comandos legibles por humanos que revelan lo que hace el software que procesa. La ingeniería inversa es un proceso crucial para los analistas de malware y los investigadores de inteligencia de amenazas, ya que les permite trabajar hacia atrás desde el software que descubren en la naturaleza, como el malware que se usa para llevar a cabo ataques, para comprender cómo funciona, cuáles son sus capacidades y quién lo escribió o de dónde vino. La ingeniería inversa también es una forma importante para que los defensores comprueben su propio código en busca de debilidades y confirmen que funciona según lo previsto.

«Si ha realizado ingeniería inversa de software, lo que ha descubierto es que es arte y ciencia; no hay un camino difícil desde el principio hasta el final», dijo Joyce. «Ghidra es una herramienta de software de ingeniería inversa creada para nuestro uso interno en la NSA. No estamos afirmando que esta sea la que vaya a reemplazar todo lo que existe, no lo es. Pero nos ayudó a abordar algunas cosas en nuestro flujo de trabajo. «

Existen en el mercado productos de ingeniería inversa similares, incluido un popular desensamblador y depurador llamado IDA. Pero Joyce enfatizó que la NSA ha estado desarrollando Ghidra durante años, teniendo en cuenta sus propias prioridades y necesidades del mundo real, lo que la convierte en una herramienta poderosa y particularmente útil. Productos como IDA también cuestan dinero, mientras que hacer que Ghidra sea de código abierto marca la primera vez que una herramienta de su calibre estará disponible de forma gratuita, una contribución importante en la formación de la próxima generación de defensores de la ciberseguridad. (Sin embargo, al igual que otros códigos de fuente abierta, espere que tenga algunos errores). Joyce también señaló que la NSA ve el lanzamiento de Ghidra como una especie de estrategia de reclutamiento, lo que facilita que los nuevos empleados ingresen a la NSA en un nivel superior o para que los contratistas autorizados presten su experiencia sin necesidad de ponerse al día con la herramienta.

La NSA anunció la charla sobre RSA de Joyce y la inminente liberación de Ghidra a principios de enero. Pero el conocimiento de la herramienta ya era público gracias a la divulgación “Vault 7” de marzo de 2017 de WikiLeaks, que discutía una serie de herramientas de piratería utilizadas por la CIA y repetidamente hacía referencia a Ghidra como una herramienta de ingeniería inversa creada por la NSA. Sin embargo, el código real no había visto la luz del día hasta el martes, con 1,2 millones de líneas. Ghidra se ejecuta en Windows, MacOS y Linux y tiene todos los componentes que los investigadores de seguridad esperarían. Pero Joyce enfatizó la personalización de la herramienta. También está diseñado para facilitar el trabajo colaborativo entre varias personas en el mismo proyecto inverso, un concepto que no es una prioridad en otras plataformas.

Ghidra también tiene toques de interfaz de usuario y funciones destinadas a hacer que la marcha atrás sea lo más fácil posible, dado lo tedioso y, en general, desafiante que puede ser. ¿El favorito personal de Joyce? Un mecanismo de deshacer / rehacer que permite a los usuarios probar teorías sobre cómo puede funcionar el código que están analizando, con una forma sencilla de retroceder algunos pasos si la idea no funciona.

La NSA ha creado otro código de fuente abierta a lo largo de los años, como su Linux con seguridad mejorada y Android con seguridad mejorada iniciativas. Pero Ghidra parece hablar más directamente del discurso y la tensión en el corazón de la ciberseguridad en este momento. Al ser gratuito y fácilmente disponible, probablemente proliferará y podría informar tanto a la defensa como a la ofensiva de formas imprevistas. Si parece que lanzar la herramienta podría darles a los piratas informáticos maliciosos una ventaja para descubrir cómo evadir la NSA, aunque Dave Aitel, un ex investigador de la NSA que ahora es director de tecnología de seguridad en la firma de infraestructura segura Cyxtera, dijo que eso no es una preocupación.

“Los autores de malware ya saben cómo hacer que sea molesto revertir su código”, dijo Aitel. «Realmente no hay ningún inconveniente» en la liberación de Ghidra.

Independientemente de lo que suceda después de la poderosa herramienta de reversión de la NSA, Joyce enfatizó el martes que es una contribución seria a la comunidad de defensores de la ciberseguridad, y que los teóricos de la conspiración pueden estar tranquilos. «No hay puerta trasera en Ghidra», dijo. «Vamos, sin puerta trasera. En acta. El honor de Scout».


Más historias geniales de WIRED



Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *