La NSA presenta Ghidra, potente strumento per il reverse engineering

(di Enrico Secci )
13/03/19

Se un giorno ci dovessimo trovare ad analizzare un manufatto tecnologico alieno, per comprenderne il principio di funzionamento, replicarne la tecnologia e acquisire quella nuova conoscenza, ci troveremo a dover compiere un processo di reverse engineering, ovvero partendo da un prodotto finito, “smontarlo” per capire che cosa è, cosa fa e come lo fa.

Durante la RSA Conference di San Francisco (tenuta il 5 Marzo 2019), convegno internazionale sulla sicurezza informatica, la National Security Agency, l’organismo governativo degli Stati Uniti preposto a difendere il paese da attacchi di qualunque tipo, ha presentato Ghidra, uno strumento open source per la sicurezza informatica sviluppato dall’Agenzia.

Lo strumento scritto in Java, non serve per violare ma per i processi di reverse engineering. In questo caso, permette di scomporre (decompilare) un programma per rivelarne i codici, permettendo di risalire o intuire ciò che veramente il software analizzato è in grado di fare.

Gli SRE (Software Reverse Engineering) svolgono un processo essenziale per gli analisti di malware poiché, grazie a essi si è in grado di “editare” le righe di codice dei programmi, ricavando così preziose e vitali informazioni, reali o potenziali funzioni, gli autori del codice e da dove potrebbe venire l’attacco. Questo permette di attuare le necessarie azioni (contromisure) atte a vanificarlo o a ridurne l'impatto.

Ghidra è uno dei tanti strumenti open source rilasciato dalla NSA. Rob Joyce, capo delle operazioni Cyber della NSA ha sottolineato come l’Agenzia stia lavorando a Ghidra da diversi anni (a dirla tutta è in uso da circa una decina, come appare su WikiLeaks Vault7, CIA Hacking Tools) e come questo sia uno strumento molto potente e particolarmente versatile. Il programma dispone di una interfaccia grafica (GUI) interattiva ed è compatibile con Windows, Mac OS e Linux, dispone inoltre di un meccanismo di annullamento/ripristino che consentirà agli utenti di provare le teorie sul possibile funzionamento del codice analizzato.

Joyce, ha definito Ghidra come un “contributo alla comunità della sicurezza informatica della nazione” ma la natura open source del potente software dell’NSA lo rende, di fatto, un appetibile strumento anche per tutte le altre nazioni.

Questa notizia ha avuto un grande impatto ed ha reso la community molto eccitata e preoccupata allo stesso tempo. Si è pensato alla presenza di una backdoor nel software stesso (e alcuni utenti dicono di averla trovata poche ore dopo il rilascio, sospetta apertura connessione sulla porta 18001 quando il software viene avviato in modalità debug) oppure, sono nati alcuni sospetti sulla possibilità che questo rilascio al mondo intero sia in realtà conseguenza di uno spostamento, da parte dell’Agenzia, verso una suite di SRE molto più sofisticata.

Il rilascio avrebbe dunque lo scopo di dare l’illusione al mondo della community cyber che “lo stato dell’arte” di questo tipo di software per la cyber sicurezza sia quello raggiunto da Ghidra, in modo tale che se un programma, dalla struttura inedita e non contemplata dall’ormai superato tool, venisse analizzato sarebbe visto solo come un ET, strano, non del tutto capito, semplicemente un buffo e non pericoloso “alieno”.

- https://www.wired.com/story/nsa-ghidra-open-source-tool/ 
- https://www.wired.it/internet/web/2019/03/07/nsa-ghidra-malware/
- https://itsfoss.com/nsa-ghidra-open-source/
- https://systemscue.it/ghidra-la-svolta-opensource-della-nsa/14730/
- https://www.securityinfo.it/2019/03/06/ghidra-il-tool-di-reverse-enginee...
https://www.nsa.gov/resources/everyone/ghidra/