La Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) lanzó finalmente la versión gratuita de GHIDRA 9.0, la herramienta de ingeniería inversa de software clasificada propia de la agencia, que los expertos de la agencia han estado utilizando internamente durante más de una década para detectar errores de seguridad en software y aplicaciones.
GHIDRA es un marco de ingeniería inversa basado en Java que cuenta con una interfaz gráfica de usuario (GUI) y se ha diseñado para ejecutarse en una variedad de plataformas que incluyen Windows, macOS y Linux.
La ingeniería inversa de un programa o software implica el desmontaje, es decir, la conversión de instrucciones binarias en código de ensamblaje cuando su código fuente no está disponible, lo que ayuda a los ingenieros de software, especialmente analistas de malware, a comprender la funcionalidad del código y la información de diseño e implementación real.
Los investigadores de malware han estado esperando el lanzamiento del kit de herramientas con entusiasmo, especialmente porque las personas familiarizadas con él compararon Ghidra con el software profesional con licencias de miles de dólares, como IDA Pro.
RSAConference
El martes, en la RSAConference en San Francisco, la NSA lanzó una versión de Ghidra para el público, disponible para macOS, Windows y Linux en un sitio web dedicado. También está presente un repositorio de GitHub, donde se espera que se publique el código.
El investigador de seguridad Marcus Hutchins de Kryptos Logic transmitió en vivo una revisión de video de Ghidra y se declaró satisfecho con las características del proyecto, pero no con la interfaz (y por una buena razón).
Ver Ghidra First Look! desde MalwareTechBlog en www.twitch.tv
"Hasta ahora me gusta esto más de lo que pensé", dice Hutchins hacia el final del video.
Aunque la interfaz no es moderna, Ghidra viene con una gran lista de opciones de análisis:
Primera falla detectada de la Aplicación
Poco después del lanzamiento de la herramienta, Matthew Hickey, cofundador y jefe del equipo de seguridad de Hacker House, encontró un error cuando Ghidra se ejecuta en modo de depuración. Abre el Java Debug Wire Protocol (JDWP) y escucha las conexiones de red en el puerto 18001. Esto puede servir para la ejecución remota de código, tuiteó el experto en seguridad.
Ghidra opens up JDWP in debug mode listening on port 18001, you can use it to execute code remotely 🤦♂️.. to fix change line 150 of support/launch.sh from * to 127.0.0.1 https://t.co/J3E8q5edC7— Hacker Fantastic (@hackerfantastic) 6 de marzo de 2019
El modo de depuración no está activo de manera predeterminada y el problema tiene una solución simple: cambie el script de shell del iniciador para que escuche las conexiones desde la máquina local solamente. Esta es una clara indicación de un error en lugar de la intención de comprometer las computadoras de los profesionales que invierten el malware.
Puedes descargar la aplicación tanto del repositorio oficial: https://ghidra-sre.org/ como del repositorio de github: https://github.com/NationalSecurityAgency/ghidra
