Una gran parte de la lucha contra los nuevos virus consiste en averiguar cómo funcionan. Para hacer eso, necesitas hacer ingeniería inversa. La Agencia de Seguridad Nacional (NSA) obviamente debe hacer mucho este tipo de trabajo, por lo que crearon su propia herramienta, llamada Ghidra, para ayudarlos a hacer esto.
Por cierto, se pronuncia Ghee-dra. Se lanzó al público de forma gratuita y como código abierto el 5 de marzo de 2019, en la Conferencia RSA en San Francisco. Incluso puede ver las notas de presentación de Ghidra de Robert Joyce, asesor principal de la Agencia de Seguridad Nacional (NSA).
Para comprender realmente por qué fue importante liberar a Ghidra, debemos comprender qué es la ingeniería inversa y para qué se utiliza.
En general, la ingeniería inversa (RE) se refiere al proceso de desarmar algo para descubrir cómo se hizo. Es posible que lo hayas hecho tú mismo con un pequeño electrodoméstico en casa, solo tratando de averiguar cómo arreglarlo tú mismo. Pero estábamos hablando de RE un programa. Es solo código, ¿verdad? ¿Por qué no miramos el código que hay detrás?
Cuando escribes un programa en un lenguaje como C o Java, hay un paso entre escribirlo y poder usarlo en una computadora. El lenguaje en el que está programando es legible para usted, pero no necesariamente legible por la computadora. Debe traducirse en algo con lo que la computadora pueda trabajar. Este proceso se llama compilación.
Una vez que se compila un programa, ya no es legible por humanos.
Si desea averiguar cómo funciona ese programa, debe desarmarlo hasta el nivel en el que pueda ver lo que contiene. Necesita un juego de herramientas para eso, al igual que necesita un juego de herramientas de destornilladores y llaves para llevar sobre un pequeño electrodoméstico o motor.
Ahí es donde entra en juego Ghidra. Es una caja de herramientas para desarmar el software para ver cómo funciona. Ya existen otras herramientas similares como IDA, Radare y Binary Ninja.
La NSA usa Ghidra para detectar virus, malware y otros programas que pueden representar una amenaza para la seguridad nacional. Luego, en base a lo que encuentran, desarrollan un plan de acción para enfrentar la amenaza. Con la cantidad de eventos de piratería patrocinados por el estado en las noticias recientemente, sabes que esto es un gran problema.
No exactamente. Necesitas tener cierta habilidad con la programación por lo menos. No necesita ser un ingeniero de software, pero si ha realizado algunos cursos universitarios de programación, puede ingresar a Ghidra y aprender cómo usarlo.
Además, el sitio web oficial de Ghidra también tiene una guía de instalación, referencias rápidas, un wiki y un rastreador de problemas. El objetivo de proporcionar todo eso es para que todos puedan aprender y juntos hacer que el mundo sea más seguro contra piratas informáticos malintencionados.
La NSA está haciendo esto para mejorar las herramientas de ciberseguridad y construir una comunidad de investigadores competentes con Ghidra y que contribuyan a su crecimiento, como está escrito en la presentación de Robert Joyces.
Es de la NSA. ¿Qué empresa tiene el tipo de recursos que tiene una agencia federal de EE.UU.? ¿Qué tipo de experiencia podría tener incluso la mejor empresa de seguridad en comparación con una agencia encargada de la seguridad de la nación más poderosa de la Tierra?
Entonces, sí, es una herramienta muy poderosa. El investigador de seguridad Joxen Coret tuiteó Entonces, Ghidra es una mierda sobre cualquier otra herramienta de ER, con la única excepción de IDA.
Luego está el aspecto libre. Al poder obtener lo que podría decirse que es la herramienta RE más poderosa de forma gratuita, la barra de entrada a la investigación de seguridad se ha reducido a simplemente poseer una computadora y tener acceso a Internet.
Esta es parte de la razón por la que la NSA lo publicó. Esperan que una nueva generación de investigadores lo domine y considere carreras en la NSA.
Luego está el aspecto de código abierto. Las agencias de seguridad no son conocidas por dejar que la gente mire detrás de la cortina por una buena razón. Si sabes cómo hacen lo que hacen, será más fácil frustrarlos. Sin embargo, el código fuente completo de Ghidra se está haciendo público para que cualquiera pueda revisarlo y ver exactamente cómo funciona.
Y no, no hay informes de puertas traseras del gobierno. Ron Joyce abordó eso rápidamente y dijo que la comunidad de investigación de seguridad es la última comunidad a la que desea lanzar algo con una puerta trasera instalada, a las personas que buscan estas cosas para destrozarlas.
Desde el punto de vista de la educación, Ghidra también permite a los ingenieros de software en ciernes desarmar programas para ver cómo funcionan y luego aprender a hacer algo similar con sus propios proyectos. Mirar el código de otra persona ha sido durante mucho tiempo una práctica aceptada entre programadores y desarrolladores para convertirse en mejores programadores. Si ese código se compartió abiertamente, por supuesto.
Quizás lo más importante es que Ghidra fue diseñado para ser utilizado en colaboración. Puede tener un repositorio compartido con sus compañeros de trabajo o amigos para que todos puedan trabajar en un proyecto a la vez. Eso acelera dramáticamente el proceso de análisis.
¿Ahora que?
El gobierno federal de EE. UU. se ha comprometido a lanzar más y más software relacionado con la seguridad. Algunos serán de naturaleza muy técnica, como Ghidra, y otros serán más fáciles de usar, como una versión de Android con seguridad mejorada.
