Descubrir cómo funcionan es una parte importante de la lucha contra los nuevos virus. Para hacer eso, necesitas invertirlo. Claramente, la Agencia de Seguridad Nacional (NSA) tiene que hacer mucho de este tipo de trabajo, por lo que crearon su propia herramienta, llamada Ghidra, para ayudarlos a hacer esto.
Por cierto, se pronuncia Ghee-dra. Se lanzó al público de forma gratuita y como código abierto el 5 de marzo de 2019 en la Conferencia RSA en San Francisco. Incluso puede ver las notas de presentación de Gidra de Robert Joyce, asesor principal de la Agencia de Seguridad Nacional (NSA).
Para comprender realmente por qué era importante lanzar Ghidra, debemos comprender qué es la ingeniería inversa y para qué se utiliza.
En general, la ingeniería inversa (RE) se refiere al proceso de separar algo entre sí para descubrir cómo se hizo. Tal vez lo hiciste tú mismo con un pequeño electrodoméstico en casa, tratando de descubrir cómo repararlo tú mismo. Pero estamos hablando del programa RE. Es solo código, ¿verdad? ¿Por qué no simplemente mirar el código detrás de él?
Cuando escribes un programa en un lenguaje como C o Java, hay un paso entre escribirlo y poder usarlo en una computadora. El lenguaje en el que está programando es legible para usted, pero no necesariamente legible por computadora. Necesita ser traducido a algo con lo que la computadora pueda trabajar. Este proceso se llama compilación.
Una vez que se ha creado un programa, ya no es legible para los humanos.
Si desea descubrir cómo funciona ese programa, debe desarmarlo hasta el nivel en el que pueda ver qué es. Para ello necesita un juego de herramientas, al igual que necesita un destornillador y un juego de herramientas para manipular un pequeño electrodoméstico o una máquina.
Ahí es donde entra en juego Ghidra. Es una caja de herramientas para desmontar software para ver cómo funciona. Ya existen otras herramientas similares como IDA, Radare y Binary Ninja.
La NSA usa Ghidra para atacar virus, malware y otros programas que pueden representar una amenaza para la seguridad nacional. Luego, en base a lo que encuentran, desarrollan un plan de acción para hacer frente a la amenaza. Con la cantidad de eventos de piratería patrocinados por el estado en las noticias recientemente, sabes que esto es un gran problema.
No exactamente. Debe tener al menos cierta competencia en programación. No es necesario que sea ingeniero de software, pero si ha realizado algunos cursos universitarios de programación, puede ingresar a Gidra y aprender cómo usarlo.
Además, el sitio web oficial de Ghidra contiene una guía de instalación, referencias rápidas, un wiki y un rastreador de problemas. El punto es proporcionar todo eso para que todos puedan aprender y juntos hacer que el mundo sea más seguro contra piratas informáticos malintencionados.
La NSA está haciendo esto para «… mejorar las herramientas de ciberseguridad…» y «… construir una comunidad…» de investigadores que sean competentes en Gidra y contribuyan a su crecimiento, como está escrito en la presentación de Robert Joyce.
Él es de la NSA. ¿Qué empresa tiene el tipo de recursos que tiene una agencia federal de EE.UU.? ¿Qué tipo de experiencia podría tener la mejor empresa de seguridad en comparación con una agencia que se preocupa por la seguridad de la nación más poderosa del mundo?
Entonces, sí, es una herramienta muy poderosa. El investigador de seguridad Joxen Coret tuiteó «Entonces, Ghidra está por encima de cualquier otra herramienta de ER, excepto IDA».
Luego está la función gratuita. Debido a que se puede argumentar que la herramienta RE más poderosa se puede obtener de forma gratuita, la barra de entrada en la investigación de seguridad se reduce solo hasta que tenga una computadora y acceso a Internet.
Esta es parte de la razón por la que la NSA lo publicó. Esperan que una nueva generación de investigadores competentes lo encuentre y piense en carreras con la NSA.
Luego está la función de código abierto. No se sabe que las agencias de seguridad permitan que las personas miren detrás de la cortina por una buena razón. Si sabes cómo hacen lo que hacen, será más fácil prevenirlos. Sin embargo, el código fuente completo de Gidra se está haciendo público para que cualquiera pueda revisarlo y ver exactamente cómo funciona.
Y no, no hay informes de una reacción violenta del gobierno. Ron Joyce habló con él rápidamente y le dijo a la comunidad de investigación de seguridad: «… es la última comunidad que desea lanzar algo con una puerta trasera instalada, para las personas que buscan estas cosas para destrozar».
Desde un punto de vista educativo, Ghidra permite a los nuevos ingenieros de software separar programas para ver cómo funcionan y luego aprender a hacer algo similar con sus propios proyectos. Mirar el código de otra persona entre programadores y desarrolladores para convertirse en mejores programadores es una práctica aceptada desde hace mucho tiempo. Si ese código hubiera sido compartido abiertamente, por supuesto.
Quizás el maIr mercado es que Ghidra fue diseñado para uso conjunto. Puede tener un repositorio compartido con sus compañeros de trabajo o amigos para que todos puedan trabajar en un proyecto al mismo tiempo. Esto acelera enormemente el proceso de análisis.
¿Ahora que?
El gobierno federal de EE. UU. se ha comprometido a lanzar más y más software relacionado con la seguridad. Algunos serán de naturaleza muy técnica, como Ghidra, y otros serán más fáciles de usar, como una versión de seguridad mejorada de Android.
Todo representa un momento único de cooperación gubernamental y civil para mantener nuestra infraestructura de datos lo más segura posible.
Servicio Secreto de EE. UU. – https://www.secretservice.gov/data/press/reports/USSS_FY2013AR.pdf
https://media.defense.gov/2012/Apr/27/2000157039/-1/-1/0/120417-F-JM997-405.JPG
