Es una excelente alternativa a las costosas herramientas comerciales de ingeniería inversa
La Agencia de Seguridad Nacional de los Estados Unidos - National Security Agency (NSA) - liberó finalmente ayer el código fuente completo de GHIDRA versión 9.0.2 que ahora está disponible en su repositorio de Github.
GHIDRA es la herramienta de ingeniería inversa de software clasificado localmente que los expertos de la agencia han estado utilizando internamente durante más de una década para detectar errores de seguridad en software y aplicaciones.
GHIDRA es un framework de ingeniería inversa basado en Java que cuenta con una interfaz gráfica de usuario (GUI) y se ha diseñado para ejecutarse en una variedad de plataformas que incluyen Windows, macOS y Linux.
La ingeniería inversa de un programa o software implica el desmontaje, es decir, la conversión de instrucciones binarias en código de ensamblaje cuando no está disponible su código fuente, lo que ayuda a los ingenieros de software, especialmente analistas de malware, a comprender la funcionalidad del código y la información de diseño e implementación real.
La existencia de GHIDRA fue revelada públicamente por primera vez por WikiLeaks en las filtraciones Vault 7 de la CIA, pero hoy la NSA lanzó públicamente la herramienta de forma gratuita en la conferencia RSA, lo que la convierte en una excelente alternativa a las costosas herramientas comerciales de ingeniería inversa como IDA-Pro.
"GHIDRA ayuda a analizar códigos maliciosos y malware como virus, y puede brindar a los profesionales de la ciberseguridad una mejor comprensión de las posibles vulnerabilidades en sus redes y sistemas", dice el sitio web oficial de la NSA al escribir sobre GHIDRA.
Descargar GHIDRA - Software Reverse Engineering Tool
• Github - código fuente
• Descargar GHIDRA 9.0 - paquete de software, diapositivas y ejercicios
• Guía de instalación - documentación de uso básico
• Hoja de trucos - atajos de teclado
• Issue Tracker - reportar errores
Hablando en la Conferencia RSA, el Asesor Principal de la NSA, Robert Joyce, asegura que GHIDRA no tiene puerta trasera, y dice: "Esta es la última comunidad a la que desea lanzar algo con una puerta trasera instalada, a las personas que buscan estas cosas para romperlas".
Joyce también dijo que GHIDRA incluye todas las características esperadas en las herramientas comerciales de gama alta, con una funcionalidad nueva y ampliada desarrollada de forma única por la NSA, y es compatible con una variedad de conjuntos de instrucciones de procesador, formato ejecutable y puede ejecutarse tanto en modo interactivo como automático.
"Módulos de procesador GHIDRA: X86 16/32/64, ARM/AARCH64, PowerPC 32/64, VLE, MIPS 16/32/64, micro, 68xxx, Java / DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8, AVR32, otras variantes también", tuiteó Joyce.
Primer error reportado en la herramienta de ingeniería inversa GHIDRA
GHIDRA ha recibido una cálida bienvenida por parte de la comunidad de infosec, y los investigadores y desarrolladores ya han comenzado a contribuir al proyecto informando sobre errores y agujeros de seguridad en su rastreador de problemas de Github.
Matthew Hickey, quien usa el alias en línea "HackerFantastic", ha sido el primero en informar un problema de seguridad en GHIDRA. El error ahora ha sido parchado en la última versión del software.
Hickey se dio cuenta de que la suit de ingeniería inversa abre el puerto de depuración JDWP 18001 para todas las interfaces cuando un usuario inicia GHIDRA en el modo de depuración, lo que permite a cualquier persona dentro de la red ejecutar de forma remota un código arbitrario en el sistema de los analistas.
Aunque el modo de depuración no está activado de forma predeterminada y se supone que funciona de la manera prevista, el software debería escuchar solo las conexiones de depuración del host local, en lugar de cualquier máquina de la red.
