Há dois meses anunciamos que a a ferramenta de espionagem norte-americana Ghidra seria liberada. Pois bem, o anúncio finalmente ocorreu e a NSA lançou o Ghidra, um kit de ferramentas de engenharia reversa de software livre. Ele foi recebido com críticas positivas pela comunidade de infosec.
O anúncio oficial da liberação ocorreu durante a conferência de segurança da RSA, a Agência de Segurança Nacional divulgou o Ghidra. A agência vinha usando internamente há mais de uma década.
Abaixo está um vídeo do pesquisador de segurança Marcus “MalwareTech” Hutchins dando uma primeira olhada no Ghidra e suas características.
Objetivos da liberação
A ferramenta é ideal para engenheiros de software, porém, antes de tudo, será especialmente útil para analistas de malware. O plano da NSA era liberar o Ghidra para que os pesquisadores de segurança pudessem se acostumar a trabalhar com ele antes de se candidatar a cargos na NSA ou em outras agências de inteligência do governo com as quais a NSA compartilhava anteriormente Ghidra.
O Ghidra está atualmente disponível para download somente através de seu site oficial. No entanto, a NSA também planeja lançar seu código-fonte sob uma licença de código aberto no GitHub no futuro próximo.
A notícia de que a NSA iria liberar o Ghidra surgiu no começo do ano, e a ferramenta está na mente de todos nos últimos dois meses.
A razão é que o Ghidra é uma alternativa gratuita ao IDA Pro, uma ferramenta de engenharia reversa similar que está disponível apenas sob uma licença comercial muito cara, com preços na faixa de milhares de dólares americanos por ano.
Sendo oferecida gratuitamente, a maioria dos especialistas espera que a Ghidra abocanhe uma grande parte do mercado de ferramentas de engenharia reversa dentro de algumas semanas, especialmente porque as primeiras avaliações de usuários são quase todas inteiramente positivas.
Características técnicas
Quanto às suas características técnicas, o Ghidra é codificado em Java, possui uma interface gráfica de usuário (GUI) e funciona em Windows, Mac e Linux.
De acordo com Rob Joyce, consultor sênior da National Security Agency e funcionário da NSA que anunciou o lançamento da ferramenta na conferência da RSA, o Ghidra pode analisar binários escritos para uma ampla variedade de arquiteturas e pode ser facilmente estendido com mais, se necessário.
We join Rob Joyce in announcing that #Ghidra is alive! Download your copy: https://t.co/h7hOPQIChJ and start reversing! #RSAC #RSAC2019 pic.twitter.com/VXUSFopMOk
— NSA/CSS (@NSAGov) 6 de março de 2019
Instalar o Ghidra é tão simples quanto descompactar um arquivo ZIP. O único requisito é uma versão do Java Development Kit 11 ou posterior necessária para executar a GUI do aplicativo. Mais sobre a rotina de instalação da ferramenta nos documentos oficiais da ferramenta:
O Ghidra não usa um programa de instalação tradicional. Em vez disso, o arquivo de distribuição do Ghidra é simplesmente extraído no local no sistema de arquivos. Esta abordagem tem vantagens e desvantagens. Do lado de cima, o privilégio administrativo não é necessário para instalar o Ghidra para uso pessoal. Além disso, como a instalação do Ghidra não atualiza nenhuma configuração do sistema operacional, como o registro no Windows, a remoção do Ghidra é tão simples quanto a exclusão do diretório de instalação do Ghidra.
Além de um guia de instalação, os documentos do Ghidra também vêm com classes e exercícios para iniciantes, intermediários e níveis avançados que ajudarão os usuários a se acostumar com a GUI da ferramenta, que é muito diferente de qualquer ferramenta similar.
Visual
Você é um usuário avançado do IDA Pro? Não tem problema, há um guia para isso também.
lol – Ghidra has tools to help convert users from IDA: pic.twitter.com/A649uIHmtj
— Silas Cutler // p1nk (@silascutler) March 6, 2019
Precisa de um folheto de atalhos de teclado? Não há problema, há um hospedado on-line, aqui .
Não gosta da GUI brilhante? Não há problema, há um modo escuro incluído na seção de configurações do Ghidra.
Na época deste artigo – uma hora após o lançamento da ferramenta – a reação da comunidade de infosec (segurança da informação) foi quase inteiramente positiva, com resenhas brilhantes de alguns dos maiores nomes da indústria de segurança cibernética. Veja mensagens abaixo:
Ghidra's out and we've got those ARM proc modules, the UNDO button, and the ability to collaborate on analysis…for FREE! https://t.co/CAkwg9WWcK pic.twitter.com/Lq6I9fXAYx
— Maddie Stone (@maddiestone) March 6, 2019
So, Ghidra shits all over any other RE tool out there with the only exception of IDA.
— Joxean Koret (@[email protected]) (@matalaz) March 6, 2019
Yes, I'm going to start using it for all new projects. So far, it looks like it can replace enough of my workflow in IDA that I can switch, phew!
— Tavis Ormandy (@taviso) March 6, 2019
Ghidra pode não ser o assassino da IDA Pro que a maioria dos especialistas espera, já que o IDA Pro ainda oferece um componente de depuração que não está presente no Ghidra, mas as coisas estão melhorando.
Como o código do Ghidra será de código aberto, isso também significa que ele estará aberto a contribuições da comunidade, e muitos esperam que ele receba um depurador no futuro próximo e permita que os analistas de malware abandonem o navio e deixem de pagar uma fortuna pelas licenças da IDA.
E a comunidade infosec já começou a contribuir com o Ghidra, mesmo que o código-fonte da ferramenta ainda não tenha sido publicado no GitHub.
Apenas alguns minutos após o lançamento da ferramenta, Matthew Hickey, co-fundador e diretor da firma de segurança cibernética Hacker House, relatou o primeiro problema de segurança na ferramenta da NSA, que executa um componente de servidor que ouve os comandos que recebe do servidor. Internet. A correção deve ser uma mudança de uma linha, de acordo com Hickey.
Ghidra opens up JDWP in debug mode listening on port 18001, you can use it to execute code remotely ????.. to fix change line 150 of support/launch.sh from * to 127.0.0.1 https://t.co/J3E8q5edC7
— hackerfantastic.x (@hackerfantastic) March 6, 2019
Com o open-sourcing GHIDRA, a NSA se beneficiará de uma base diversificada de usuários cujo feedback tornará a ferramenta ainda mais eficaz”, disse Patrick Miller, pesquisador de segurança da Raytheon Intelligence, Information and Services.
Para equipes cibernéticas desprivilegiadas que enfrentam falta de pessoal ou recursos, a ferramenta gratuita é uma virada de jogo para diminuir a barreira de entrada na força de trabalho cibernética e aumentar a proficiência dessas equipes. Como usuário dessa ferramenta há anos, não posso espere para ver como isso melhora nas mãos de meus colegas, disse Miller.
Mais informações e repositório do Arch Linux
Para os leitores que buscam informações adicionais sobre a ferramenta, consulte o site oficial , o repositório do GitHub ou a documentação incluída.
A notícia do open-sourcing da NSA, uma de suas ferramentas internas, não deve mais ser uma surpresa. A NSA tem uma fonte aberta de todos os tipos de ferramentas nos últimos anos, sendo as mais bem-sucedidas o Apache NiFi , um projeto para automatizar grandes transferências de dados entre aplicativos da Web e que se tornou um favorito no cenário da computação em nuvem.
No total, a NSA tem 32 projetos de código aberto como parte de seu Programa de Transferência de Tecnologia (TTP) até agora e até mesmo abriu uma conta oficial do GitHub.
Além disso, uma hora depois do lançamento, o Ghidra já foi disponibilizado como um pacote para o Arch Linux, um sistema operacional preferido pela maioria dos hackers de branco, cinza e preto.
O programa de vigilância da NSA está vivo, mas “inativo”. Fim parece estar próximo
Anos depois de toda a polêmica em torno da espionagem denunciada por Edward Snowden, a Agência de Segurança Nacional (NSA) norte-americano, o programa ainda existe, mas talvez não por muito tempo. De acordo com o assessor de Segurança Nacional Luke Murry, seguindo ordens Kevin McCarthy, líder da maioria do Estados Unidos Câmara dos Representantes, o programa foi parado em silêncio.
De acordo com o conselheiro, a agência estatal não está mais coletando detalhes de ligações e mensagens de texto, acrescentando que a administração Trump não usou vigilância durante os últimos seis meses do mandato. Outro aspecto fundamental em torno do programa é que a autorização para coleta de dados expira em dezembro. Segundo Murry, é improvável que o Congresso o renove.
A NSA já estava muito fraca há anos
O programa que Snowden denunciou poderia obter informações de telefonemas de cidadãos estrangeiros, mas também americanos. A reação da mídia e dos cidadãos sempre foi crítica, apesar do fato de que as autoridades defendiam que tudo o que faziam era defender a segurança nacional .
Ainda assim, Obama assinou uma lei em 2015 (EUA Freedom Act ou Lei de Liberdade EUA) enfraquecendo significativamente a capacidade da ação NSA, após ter sido aprovado pelo Senado e Câmara dos Deputados. Com ele, a agência governamental conseguiu armazenar dados sobre as chamadas e eles foram devolvidos aos operadores. A partir desse momento, seria necessário ter autorização judicial para cada caso.
Mais tarde, por 180 dias, uma decisão judicial permitiu que a NSA ativasse novamente os programas de coleta de dados. A posição de Trump no início do mandato parecia favorável para buscar a reforçar a vigilância em massa.
Nos últimos tempos, em Junho de 2018, a NSA informou que iria eliminar registros de dados telefônicos obtidos de operadores desde 2015, após a descoberta de “irregularidades técnicas”.