Si un día tuviéramos que encontrarnos analizando un artefacto tecnológico extraño, para comprender su principio de funcionamiento, replicar su tecnología y adquirir ese nuevo conocimiento, tendremos que llevar a cabo un proceso de ingeniería inversa, o a partir de un producto terminado, "desarmarlo" para entender qué es, qué hace y cómo lo hace.
Durante su Conferencia RSA de San Francisco (celebrada el 5 de marzo de 2019), una conferencia internacional sobre ciberseguridad, la Agencia de Seguridad Nacional, el organismo del gobierno de los Estados Unidos responsable de defender al país de ataques de cualquier tipo, presentó Ghidra, una herramienta de código abierto para la seguridad informática desarrollado por la Agencia.
La herramienta escrita en Java, no se utiliza para violar sino para los procesos de ingeniería inversa. En este caso, le permite descompilar (descompilar) un programa para revelar los códigos, lo que le permite rastrear o adivinar lo que el software analizado es realmente capaz de hacer.
La ingeniería inversa de software (SRE) realiza un proceso esencial para los analistas en el malware Porque, gracias a ellos, es posible "editar" las líneas de código de los programas, obteniendo así los autores del código, de los cuales podría provenir el ataque, información valiosa y vital, funciones reales o potenciales. Esto permite implementar las acciones necesarias (contramedidas) para negarlo o reducir su impacto.
Ghidra es una de muchas herramientas de código abierto emitido por la NSA. Rob Joyce, jefe de operaciones cibernéticas de la NSA, destacó cómo está trabajando la agencia en Ghidra durante varios años (para ser honesto, ha estado en uso durante una docena, como aparece en WikiLeaks Vault7, CIA Hacking Tools) y en cómo esta es una herramienta muy potente y particularmente versátil. El programa tiene una interfaz gráfica interactiva (GUI) y es compatible con Windows, Mac OS y Linux, también tiene un mecanismo de cancelación / restauración que permitirá a los usuarios probar teorías sobre la posible operación del código analizado.
Joyce, ha definido Ghidra como una "contribución a la comunidad de seguridad cibernética de la nación", pero la naturaleza de código abierto El potente software NSA lo convierte, de hecho, en una herramienta atractiva incluso para todas las demás naciones.
Esta noticia tuvo un gran impacto e hizo a la comunidad muy emocionada y preocupada al mismo tiempo. Se pensó en la presencia de una puerta trasera en el propio software (y algunos usuarios dicen que lo encontraron unas horas después del lanzamiento, sospecha de conexión al puerto 18001 cuando el software se inicia en modo depurar) O bien, surgieron algunas sospechas sobre la posibilidad de que este lanzamiento para todo el mundo sea en realidad una consecuencia de un cambio, por parte de la Agencia, hacia un conjunto de SRE mucho más sofisticado.
Por lo tanto, el lanzamiento tendría como objetivo dar la ilusión al mundo de la comunidad cibernética de que "el estado del arte" de este tipo de software de seguridad cibernética es el logrado por Ghidra, de modo que si se analiza un programa, con una estructura nueva y no cubierta por la herramienta obsoleta, se verá solo como un ET, extraño, no del todo entendido, simplemente un "extranjero" divertido y no peligroso.
- https://www.wired.com/story/nsa-ghidra-open-source-tool/
- https://www.wired.it/internet/web/2019/03/07/nsa-ghidra-malware/
- https://itsfoss.com/nsa-ghidra-open-source/
- https://systemscue.it/ghidra-la-svolta-opensource-della-nsa/14730/
- https://www.securityinfo.it/2019/03/06/ghidra-il-tool-di-reverse-enginee...
- https://www.nsa.gov/resources/everyone/ghidra/
