en Post

NSA libera el código de GHIDRA su herramienta de ingeniería inversa

Hoy, NSA finalmente lanzó el código fuente completo para GHIDRA versión 9.0.2 que ahora está disponible en su repositorio de Github.

GHIDRA es la herramienta de ingeniería inversa de software clasificado creado por los expertos de la agencia de inteligencia norteamericana. Esta herramienta ha estado siendo utilizando internamente durante más de una década para detectar errores de seguridad en software y aplicaciones.

GHIDRA es un framework de ingeniería inversa basado en Java que cuenta con una interfaz gráfica de usuario (GUI) y se ha diseñado para ejecutarse en una variedad de plataformas que incluyen Windows, macOS y Linux.

La ingeniería inversa de un programa o software implica el desmontaje, es decir, la conversión de instrucciones binarias en código de ensamblaje cuando su código fuente no está disponible, lo que ayuda a los ingenieros de software, especialmente analistas de malware, a comprender la funcionalidad del código y la información de diseño e implementación real.

La existencia de GHIDRA fue revelada públicamente por primera vez por WikiLeaks en las filtraciones de CIA Vault 7, pero hoy la NSA lanzó públicamente la herramienta de forma gratuita en la conferencia RSA, lo que la convierte en una excelente alternativa a las costosas herramientas comerciales de ingeniería inversa como IDA-Pro.

Durante su exposición en la Conferencia RSA, el Asesor Principal de la NSA, Robert Joyce, asegura que GHIDRA no tiene puerta trasera, y dice: “Esta es la última comunidad a la que se desea lanzar algo con una puerta trasera instalada, a las personas que buscan estas cosas para romperlas“.

Joyce también dijo que GHIDRA incluye todas las características esperadas en las herramientas comerciales de gama alta, con una funcionalidad nueva y ampliada desarrollada de forma única por NSA y es compatible con una variedad de conjuntos de instrucciones de procesador, formato ejecutable y puede ejecutarse tanto en modo interactivo como automático.

GHIDRA ha recibido una cálida bienvenida por parte de la comunidad de investigadores de seguridad informática y los medios de comunicación. Ya los desarrolladores han comenzado a contribuir al proyecto informando sobre errores y agujeros de seguridad en el registro de problemas de Github.

Matthew Hickey, quien usa el alias en línea “@HackerFantastic“, ha sido el primero en informar sobre un problema de seguridad en GHIDRA. El error ahora ha sido parchado en la última versión del software.

Hickey se dio cuenta de que la utilidad de ingeniería inversa abre el puerto de depuración JDWP 18001 para todas las interfaces cuando un usuario inicia GHIDRA en el modo de depuración, lo que permite a cualquier persona dentro de la red ejecutar de forma remota un código arbitrario en el sistema de los analistas.

Aunque el modo de depuración no está activado de forma predeterminada y se supone que funciona de la manera prevista, el software debería escuchar solo las conexiones de depuración del host local, en lugar de cualquier máquina de la red.