Se un giorno ci dovessimo trovare ad analizzare un manufatto tecnologico alieno, per comprenderne il principio di funzionamento, replicarne la tecnologia e acquisire quella nuova conoscenza, ci troveremo a dover compiere un processo di reverse engineering, ovvero partendo da un prodotto finito, “smontarlo” per capire che cosa è, cosa fa e come lo fa.
Durante la RSA Conference di San Francisco
(tenuta il 5 Marzo 2019), convegno internazionale sulla sicurezza
informatica, la National Security Agency, l’organismo
governativo degli Stati Uniti preposto a difendere il paese da
attacchi di qualunque tipo, ha presentato Ghidra, uno
strumento open source per la sicurezza
informatica sviluppato dall’Agenzia.
Lo
strumento scritto in Java, non serve per violare ma bensì per i
processi di reverse engineering In questo caso, permette di
scomporre (decompilare) un programma per rivelarne i codici,
permettendo di risalire o intuire ciò che veramente il software
analizzato è in grado di fare.
Gli SRE (Software
Reverse Engineering) svolgono un processo essenziale per gli
analisti di malware poiché, grazie a essi si è in grado
di “editare” le righe di codice dei programmi, ricavando così
preziose e vitali informazioni, reali o potenziali funzioni, gli
autori del codice e da dove potrebbe venire l’attacco. Questo
permette di attuare le necessarie azioni (contromisure) atte a
vanificarlo o a ridurne l'impatto.
Ghidra è uno dei
tanti strumenti open source rilasciato dalla Nsa. Rob Joyce,
capo delle operazioni Cyber della NSA ha sottolineato come l’Agenzia
stia lavorando a Ghidra da diversi anni (a dirla tutta è in uso da
circa una decina, come appare su WikiLeaks Vault7, CIA Hacking Tools)
e come questo sia uno strumento molto potente e particolarmente
versatile. Il programma dispone di una interfaccia grafica (GUI)
interattiva ed è compatibile con Windows, Mac OS e Linux, dispone
inoltre di un meccanismo di annullamento/ripristino che consentirà
agli utenti di provare le teorie sul possibile funzionamento del
codice analizzato.
Joyce, ha definito Ghidra come un “contributo alla comunità della sicurezza informatica
della nazione” ma la natura open source del potente software
dell’NSA lo rende, di fatto, un appetibile strumento anche per
tutte le altre nazioni. Questa notizia ha avuto un grande impatto ed
ha reso la community molto eccitata e preoccupata allo stesso tempo.
Si è pensato alla presenza di una backdoor nel software stesso (e
alcuni utenti dicono di averla trovata poche ore dopo il rilascio,
sospetta apertura connessione sulla porta 18001 quando il software
viene avviato in modalità debug) oppure, sono nati alcuni sospetti
sulla possibilità che questo rilascio al mondo intero sia in realtà
conseguenza di uno spostamento, da parte dell’Agenzia, verso una
suite di SRE molto più sofisticata. Il rilascio avrebbe dunque lo
scopo di dare l’illusione al mondo della community cyber che “lo
stato dell’arte” di questo tipo di software per la cyber
sicurezza sia quello raggiunto da Ghidra, in modo tale che se un
programma, dalla struttura inedita e non contemplata dall’ormai
superato tool, venisse analizzato sarebbe visto solo come un ET,
strano, non del tutto capito, semplicemente un buffo e non
pericoloso “alieno”.
Enrico Secci
- https://www.wired.com/story/nsa-ghidra-open-source-tool/
- https://www.wired.it/internet/web/2019/03/07/nsa-ghidra-malware/
- https://itsfoss.com/nsa-ghidra-open-source/
- https://systemscue.it/ghidra-la-svolta-opensource-della-nsa/14730/
- https://www.securityinfo.it/2019/03/06/ghidra-il-tool-di-reverse-engineering-dellnsa-disponibile-per-tutti/
- https://www.nsa.gov/resources/everyone/ghidra/