АНБ объявило о выпуске внутреннего инструмента для реверс-инжиниринга

    image

    Агенство Национальной безопасности США планирует выпустить в свободное пользование свой внутренний инструмент для реврс-инжиниринга. Данное событие было анонсировано старшим советником и оратором АНБ Робертом Джойсом.
    Разработанная специалистами из АНБ среда реверс-инжиниринга под кодовым названием GHIDRA будет впервые представлена общественности на RSAC 2019. Данный инструмент поддерживает наборы команд различных процессоров, а его возможности позволяют реверс-инженерам использовать интегрированный набор функций, работающих на различных платформах, включая Windows, Mac OS и LINUX. Платформа GHIDRA включает в себя все функции, ожидаемые от высокопроизводительных коммерческих инструментах, с новой и расширенной функциональностью, и будет выпущена для свободного публичного использования.
    Пользователь hash_define социальной сети Reddit утверждает, что АНБ уже не первый год делится своим инструментом с различными правительственными учреждениями США. Например, он уже давно используется в ЦРУ: на wikileaks опубликовано руководство для новых IOS-разработчиков, в котором есть пункт, посвященный GHYDRA. Среда включает в себя дополнительные компоненты. Hash_define сообщает, что есть модуль, предоставляющий возможность применять машинное обучение. Но он сомневается, что его опубликуют.

    Пользователь твиттера evm_sec пишет, что инструмент очень похож на IDA, правда, намного медленнее его. А главным преимуществом является независимый от архитектуры декомпилятор C, использующий промежуточное представление кода PCode.
    Из википедии:

    P-код (Пи-код) — концепция аппаратно-независимого исполняемого кода в программировании, часто его определяют как «Ассемблер для гипотетического процессора». Иногда этот термин используется в качестве синонима термину байт-код для различных виртуальных машин (например, виртуальной Java-машина, байт-кода CIL в платформе .NET и т. п.).
    До сих пор не сообщается, планирует ли АНБ представить исходный код, что могло бы обрадовать OpenSource сообщество. К сведению, АНБ имеет свой собственный репозиторий на Github и уже опубликовали там 32 проекта.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 27

      +1
      Ого, такое читать действительно неожиданно!
      В США полезные инструменты выкладывают в открытый доступ, а в России запуск межконтинентальной ракеты дарят гражданам на Новый Год.
        +1

        У них даже гитхаб-аккаунт есть :)
        https://github.com/nationalsecurityagency

          0

          И не удивительно, это знатный контрибьютор в open source-сообществе. Один selinux чего стоит...

            0
            Selinux сделан анб-шниками? а почему тогда в википедии указан RedHat?
              0

              А тут на https://en.wikipedia.org/wiki/Security-Enhanced_Linux в графе Original author(s) кто автором указан? Не NSA and Red Hat? NSA — это и есть хорошие ребята из АНБ. Конкретно Selinux пилили в отделе IAD, который кроме selinux пилил и секьюрити патчи к опенсорсным решениям. Там работают по настоящему талантливые люди.


              P.S.: Не обижайтесь, но если вы себя уважаете — не читайте русскую википедию, русские статьи в ней не особо информативные и качественные. Такое ощущение что их писали криворуки копирайтеры, на понимающие о чём они пишут. Англоязычная вики — на порядок лучше. Хотя я больше доверяю британской эциклопедии, но это уже вкусовщина...

        +1
        А сбор и отправка на сервер АНБ статистики использования там будет встроена?
        0
        Очень круто! Интересен мотив. IDA оказалась лучше, всё перебрались на её, и прятать свою разработку больше не было смысла?
          +1
          мотив прост — исходники допилят и усовершенствуют, исправят баги и АНБ возьмет на вооружение усовершенствованный продукт. Ну может особо талантливых завербует на работу)
            0
            В обсуждениях отмечается, что GHIDRA проигрывает своему оппоненту в скорости и надежности, но ее преимущество заключается в дружелюбном интерфейсе и возможности работы с мобильными ОС.


            IDA стоит довольно дорого — для личных экспериментов не всем подойдет. Плюс сообщество может помочь с устранением недочетов.
              0
              Может, как с Касперским — «российский продукт может быть угрозой для безопасности, пользуйтесь нашим».
              0
              Хайль Гидра!
                0
                Судя по всему, на двадцатой странице скриншот этого инструмента.
                  0
                  > А главным преимуществом является независимый от архитектуры декомпилятор C, использующий промежуточное представление кода PCode.

                  Hex-Rays, не? ;)
                    +1
                    Например в Radare2 для промежуточного представления ассемблерных команд используется Форт подобный язык ESIL radare.gitbooks.io/radare2book/content/disassembling/esil.html по которому с помощью утилиты radeco строится графичесое представление кода и по нему же симулируется код.
                    Псевдо «Си» представление тоже вроде делают или сделали.

                    P.S. radare2 периодически получает поддержку в рамках GSOC и Radare2 тоже мультипроцессрный реверс инструмент.
                    0
                    А не начнется ли попрашайничество? И как будут реагировать на это администрация?
                    +1
                    Некоторое продолжение истории топика.
                    www.opennet.ru/opennews/art.shtml?num=50260

                    P.S. Инструмент доступен, но исходники ещё не опубликованы.
                      0
                      Видимо, вырезают кое-какие вещи.
                        0
                        Интересно какие возможности?

                        P.S. Для полного реверса может и IDA не подойти и легче изобрести самопальный инструмент реверса.:)
                        Как пример такой задачи, starflight reverse проект переводa бинарников игры из Форт в Си подобный код. (исходники данной игры в i-net сети тоже имеются)
                        Как интересно озвученные выше инструменты справились бы с этой задачей?
                          0
                          И много игр и популярных программ написано на этом языке?
                          Случай редкий и дикий уж, да.
                            0
                            Самые популярные программы на этом языке — сами Форт-системы как коммерческие так и частные c реализацией в рамках всевозможных языков. :) (можно предположить из этого, что и потребитель существует)
                            а из популярных-массовых почти ничего нет т.к. данный язык не достаточно популярен и массов (48-e место в рейтинге IEEE) и в основном находит массовое применение во встраиваемых устройствах (микроконтроллеры, FPGA-CPU процессоры, робототехника ...) и зачастую частные разработки на данном языке остаются частными (даже при размещении в i-net сети), а в коммерческих можно бывает увидеть Форт в том или ином виде. При этом результирующий код Forth языка может быть полноценно скомпилирован в код целевого процессора и мало что оставить для отнесения его к конкретному используемому инструменту.

                            P.S. Но, всё же, одна из «массовых» программ написанная на этом языке — nncron.ru/index_ru.shtml (ещё была esrv). Но, при этом, всевозможных примеров в составе Форт-систем много. Пример: sites.google.com/site/win324th/sources
                            Проекты с игровой направленностью на этом языке можно найти например на Github.

                      0
                      . del
                        0
                        через несколько часов после публикации Ghidra в пакете нашли уязвимость в реализации отладочного режима (отключен по умолчанию), в котором открывается сетевой порт 18001 для удалённой отладки приложения по протоколу JDWP (Java Debug Wire Protocol). По умолчанию сетевые соединения принимались на всех доступных сетевых интерфейсах, а не на 127.0.0.1, что позволяло подключиться к Ghidra с других систем и выполнить любой код в контексте приложения.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое