ghidra

La NSA dévoile GHIDRA 9.0 – Logiciel de rétro-ingénierie

L’Agence de Sécurité National des Etats-Unis (NSA) a dévoilé la version 9.0 de GHIDRA, leur propre logiciel de rétro-ingénierie qu’ils utilisent depuis plus d’une décennie pour déceler des bugs de sécurité dans les logiciels et les applications.

GHIDRA est une framework de rétro-ingénierie basée sur Java, elle inclut une interface graphique et a été conçu pour s’exécuter sur différentes plateformes y compris Windows, macOS et Linux.

La rétro-ingénierie consiste à convertir le code binaire en code assembleur quand le code source n’est pas disponible, cela permet aux ingénieurs logiciels (plus spécialement les analystes de malware) de comprendre le fonctionnement du code du logiciel, de sa conception et de son implémentation.

L’existence de GHIDRA avait été rendu publique par WikiLeaks, mais la NSA a décidé de partager cet outils gratuitement lors de la conférence RSA. C’est donc une très bonne alternative face aux outils de rétro-ingénierie payants comme IDA-Pro.

« Le logiciel [GHIDRA] aide à analyser le code malveillant et les malware, et permet aux professionnels de la cybersécurité de mieux comprendre les vulnérabilités potentielles sur leurs réseaux et leurs systèmes, » – site officiel de la NSA.

Télécharger GHIDRA — Logiciel de rétro-ingénierie

Lors de la conférence RSA, Robert Joyce, conseiller principal de la NSA, a assurer que GHIDRA ne contenait aucune porte dérobée, déclarant « C’est la dernière communauté avec laquelle vous souhaitez partager quelque chose avec une porte dérobée installée, des personnes qui aiment décortiquer et comprendre le fonctionnement.. »

Joyce a aussi déclaré que GHIDRA inclut tout les fonctionnalités attendues dans un outil commercial haut de gamme, avec des fonctionnalités nouvelles uniquement développé par la NSA, et le support d’une variété de jeux d’instruction de processeurs, un format exécutable et peut être utilisé en mode interactif ou en mode automatique.

Premier Bug signalé dans GHIDRA

GHIDRA a été accueilli chaleureusement par la communauté infosec. Les chercheurs et les développeurs ont déjà commencé à contribuer au projet en signalant des bugs et des failles de sécurité sur Github .

Matthew Hickey aka « HackerFantastic » a été le premier à signaler un poblème de sécurité dans GHIDRA.

Hickey a remarqué que le logiciel ouvrait le port 18001 (débogage JDWP) pour toutes les interfaces quand un utilisateur lançait GHIDRA en mode débogage, permettant à n’importe qui sur le réseau d’exécuter du code arbitraire sur le système de l’analyste.

Bien que le mode débogage ne soit pas activé par défaut, il devrait quand même fonctionné comme voulu. Le logiciel devrait seulement écouté les instructions du localhost et pas des autres machines sur le réseau.

Selon Hickey, le problème pourrait être réglé en changeant seulement une ligne de code dans le logiciel.

Laisser un commentaire