Ein großer Teil der Bekämpfung neuer Viren besteht darin, herauszufinden, wie sie funktionieren. Um dies zu tun, müssen Sie es rückentwickeln. Die Nationale Sicherheitsbehörde (NSA) müssen offensichtlich viel für diese Art von Arbeit tun, deshalb haben sie ihr eigenes Tool namens Ghidra entwickelt, um ihnen dabei zu helfen.
Übrigens ausgesprochen Ghee-dra. Es wurde am 5. März 2019 auf der RSA-Konferenz in San Francisco kostenlos und als Open Source veröffentlicht. Sie können sogar Sehen Sie sich die Ghidra-Präsentationsnotizen von Robert Joyce an, Senior Advisor der National Security Agency (NSA).
Um wirklich zu verstehen, warum Ghidra veröffentlicht wurde, müssen wir verstehen, was Reverse Engineering ist und wofür es verwendet wird.
Was ist Reverse? Engineering und warum wird es verwendet?
Im Allgemeinen bezieht sich Reverse Engineering (RE) auf den Vorgang, etwas auseinanderzunehmen, um herauszufinden, wie es hergestellt wurde. Möglicherweise haben Sie dies selbst mit einem kleinen Gerät zu Hause gemacht und nur versucht, herauszufinden, wie Sie sich selbst reparieren können. Wir sprechen aber über RE, ein Programm. Es ist nur Code, richtig? Warum schauen wir uns nicht einfach den Code dahinter an?
Wenn Sie ein Programm in einer Sprache wie C oder Java schreiben, müssen Sie einen Schritt zwischen dem Schreiben und der Verwendung auf einem Computer beachten. Die Sprache, in der Sie programmieren, ist für Sie lesbar, jedoch nicht unbedingt für den Computer. Es muss in etwas übersetzt werden, mit dem der Computer arbeiten kann. Dieser Vorgang wird als Kompilieren bezeichnet.
Sobald ein Programm kompiliert wurde, kann es von Menschen nicht mehr gelesen werden.
In_content_1 all: [300x250] / dfp: [640x360]->Wenn Sie herausfinden möchten, wie dieses Programm funktioniert, müssen Sie es so weit auseinander nehmen, dass Sie sehen können, was darin enthalten ist. Dazu benötigen Sie ein Toolkit, genau wie Sie ein Toolkit mit Schraubendrehern und Schraubenschlüsseln für ein kleines Gerät oder einen kleinen Motor benötigen.
Hier kommt Ghidra ins Spiel. Es handelt sich um eine Toolbox, mit der man sehen kann, wie es funktioniert. Es gibt bereits andere ähnliche Tools wie IDA, Radare und Binary Ninja.
Die NSA verwendet Ghidra für sich mit Viren, Malware und anderen Programmen befassen, die die nationale Sicherheit gefährden könnten. Basierend auf diesen Erkenntnissen entwickeln sie dann einen Aktionsplan, um mit der Bedrohung umzugehen. Mit der Anzahl der staatlich geförderten Hacking-Events in den letzten Nachrichten wissen Sie, dass dies eine große Sache ist.
Kann jeder Ghidra verwenden?
Nicht genau. Sie müssen zumindest über gewisse Programmierkenntnisse verfügen. Sie müssen kein Software-Ingenieur sein, aber wenn Sie ein paar College-Kurse in Programmierung absolviert haben, können Sie Ghidra und kennenlernenBringe dir selbst bei, wie man es benutzt.
Die NSA tut dies, um „… Cybersicherheitstools zu verbessern…“ und „… eine Community aufzubauen…“ von Forschern, die mit Ghidra vertraut sind und zu dessen Wachstum beitragen, wie in Robert Joyces Präsentation geschrieben.
Warum ist Ghidra eine große Sache?
Es ist von der NSA. Welches Unternehmen verfügt über die Ressourcen einer US-Bundesbehörde? Was für eine Erfahrung hätte selbst das beste Sicherheitsunternehmen im Vergleich zu einer Behörde machen können, die mit der Sicherheit der mächtigsten Nation der Erde beauftragt ist?
Ja, es ist ein sehr leistungsfähiges Tool. Der Sicherheitsforscher Joxen Coret hat "Also, Ghidra ist mit Ausnahme von IDA mit jedem anderen RE-Tool auf dem Markt vertreten."
getwittert. Dann gibt es noch den kostenlosen Aspekt. Durch die Möglichkeit, das wohl leistungsstärkste RE-Tool kostenlos zu erhalten, wurde die Einstiegsleiste in die Sicherheitsforschung auf den Besitz eines Computers und den Zugang zum Internet gesenkt.
Dies ist einer der Gründe, warum die NSA es veröffentlicht hat. Sie hoffen, dass eine neue Generation von Forschern damit vertraut wird und über Karrieren bei der NSA nachdenken kann.
Dann ist da noch die Open Source Aspekt. Sicherheitsbehörden sind nicht dafür bekannt, Menschen aus gutem Grund hinter den Vorhang schauen zu lassen. Wenn Sie wissen, wie sie das tun, was sie tun, ist es einfacher, sie zu vereiteln. Der gesamte Quellcode für Ghidra wird jedoch veröffentlicht, sodass jeder darin stöbern und genau sehen kann, wie es funktioniert.
Und nein, es gibt keine Berichte darüber, dass Regierungs-Hintertüren vorhanden sind. Ron Joyce sprach das schnell an und sagte der Sicherheitsforschungsgemeinschaft: „… ist die letzte Community, für die Sie etwas veröffentlichen möchten, wenn eine Hintertür installiert ist, und zwar für Leute, die danach suchen, dass dieses Zeug auseinanderbricht.“
Vom Standpunkt der Ausbildung aus erlaubt Ghidra auch den Ingenieuren von Buddingsoftware, diese zu übernehmen auseinander Programme, um zu sehen, wie sie funktionieren, und dann zu lernen, wie man etwas Ähnliches mit ihren eigenen Projekten macht. Das Betrachten des Codes einer anderen Person ist unter Programmierern und Entwicklern seit langem eine gängige Praxis, um bessere Programmierer zu werden. Wenn dieser Code offen geteilt wurde, natürlich.
Das vielleicht größte Problem ist, dass Ghidra für die gemeinsame Nutzung entwickelt wurde. Sie können ein gemeinsames Repository mit Ihren Kollegen oder Freunden haben, sodass Sie alle gleichzeitig an einem Projekt arbeiten können. Dies beschleunigt den Analyseprozess erheblich.
Was jetzt?
Die US-Bundesregierung hat zugesagt, immer mehr sicherheitsrelevante Software zu veröffentlichen. Einige davon sind sehr technisch, wie Ghidra, und andere sind benutzerfreundlicher, wie ein Sicherheitsverbesserte Version von Android.
All dies kündigt eine einzigartige Zeit der Zusammenarbeit zwischen Regierung und Zivilbevölkerung an, um unsere Dateninfrastruktur so sicher wie möglich zu machen.
USA. Secret Service - https://www.secretservice.gov/data/press/reports/USSS_FY2013AR.pdf
https://media.defense.gov/2012/Apr/27/2000157039/-1/-1/0/120417-F-JM997-405.JPG
