Computer help - file server


[ Blog ] - [ File Server ] - [ Удаленная компьютерная помощь ]

Een groot deel van het aanpakken van nieuwe virussen is uitzoeken hoe ze werken. Om dat te doen, moet u het reverse-engineeren. De National Security Agency (NSA) moet dit soort werk natuurlijk veel doen, dus creëerden ze hun eigen tool, Ghidra genaamd, om hen hierbij te helpen.

Overigens wordt het uitgesproken als Ghee-dra. Het werd gratis en als open source vrijgegeven op 5 maart 2019 tijdens de RSA-conferentie in San Francisco. U kunt zelfs de Ghidra-presentatienotities bekijken van Robert Joyce, Senior Advisor van de National Security Agency (NSA).

Om echt te begrijpen waarom het vrijgeven van Ghidra belangrijk was, moeten we begrijpen wat reverse-engineering is en waarvoor het wordt gebruikt. Wat is reverse engineering en waarom wordt het gebruikt?

Over het algemeen verwijst reverse-engineering (RE) naar het proces waarbij iets uit elkaar wordt gehaald om erachter te komen hoe het is gemaakt. Je hebt dit misschien zelf gedaan met een klein apparaat thuis, in een poging erachter te komen hoe je het zelf kunt repareren. Maar we hebben het over RE, een programma. Het is gewoon code, toch? Waarom kijken we niet gewoon naar de code erachter?

Als je een programma schrijft in een taal als C of Java, zit er een stap tussen het schrijven en het kunnen gebruiken op een computer.De taal waarin u programmeert, is leesbaar voor u, maar niet noodzakelijk leesbaar voor de computer. Het moet worden vertaald in iets waar de computer mee kan werken. Dit proces wordt compileren genoemd.

Als een programma eenmaal is samengesteld, is het niet langer leesbaar voor mensen.

Als je wilt weten hoe dat programma werkt, moet je het uit elkaar halen tot het niveau waarop je kunt zien wat er in zit. Daar heb je een toolkit voor nodig, net zoals je een toolkit met schroevendraaiers en sleutels nodig hebt om een ​​klein apparaat of motor mee te nemen.

Dat is waar Ghidra komt spelen. Het is een gereedschapskist om software uit elkaar te halen om te zien hoe het tikt. Er zijn al andere vergelijkbare tools zoals IDA, Radare en Binary Ninja.

De NSA gebruikt Ghidra om virussen, malware en andere programma's aan te pakken die een bedreiging kunnen vormen voor de nationale veiligheid. Vervolgens ontwikkelen ze op basis van wat ze vinden een actieplan om de dreiging het hoofd te bieden. Met het aantal door de staat gesponsorde hackevenementen die onlangs in het nieuws zijn gekomen, weet u dat dit een groot probleem is.Kan iedereen Ghidra gebruiken?

Niet precies. Je moet op zijn minst enige vaardigheid hebben met programmeren. Je hoeft geen software-engineer te zijn, maar als je een paar universitaire cursussen in programmeren hebt gevolgd, kun je Ghidra binnengaan en jezelf leren hoe je het moet gebruiken.

Bovendien heeft de officiële Ghidra-website ook een installatiehandleiding, snelle referenties, een wiki en een issue-tracker. Het doel van dit alles is dat iedereen kan leren en samen de wereld veiliger kan maken voor kwaadwillende hackers.

De NSA doet dit om, "... cybersecurity-tools te verbeteren ...", en, "... een gemeenschap op te bouwen ..." van onderzoekers die bedreven zijn met Ghidra en bijdragen aan de groei ervan, zoals geschreven in de presentatie van Robert Joyce. Dus waarom is Ghidra zo belangrijk?

Het is van de NSA. Welk bedrijf heeft de middelen die een Amerikaanse federale instantie heeft? Wat voor ervaring zou zelfs het beste beveiligingsbedrijf kunnen hebben vergeleken met een agentschap dat belast is met de veiligheid van de machtigste natie op aarde?

Dus ja, het is een zeer krachtig hulpmiddel.Beveiligingsonderzoeker Joxen Coret tweette: "Ghidra s ** ts overal in elk ander RE-tool, met als enige uitzondering IDA."

Dan is er het gratis aspect. Doordat we in staat zijn om wat misschien wel de krachtigste RE-tool is, gratis te krijgen, is de toegangsbalk voor beveiligingsonderzoek zojuist verlaagd tot simpelweg het bezit van een computer en internettoegang.

Dit is een deel van de reden waarom de NSA het heeft vrijgegeven. Ze hopen dat een nieuwe generatie onderzoekers ermee bekwaam wordt en een loopbaan bij de NSA overwegen.

Dan is er het open source aspect. Het is niet bekend dat beveiligingsinstanties mensen om een ​​goede reden achter de schermen laten kijken. Als je weet hoe ze doen wat ze doen, wordt het gemakkelijker om ze te dwarsbomen. Toch wordt de volledige broncode voor Ghidra openbaar gemaakt, zodat iedereen er doorheen kan kammen en precies kan zien hoe het werkt.

En nee, er zijn geen meldingen dat er achterdeurtjes van de overheid aanwezig zijn. Ron Joyce sprak dat snel toe en zei, de veiligheidsonderzoeksgemeenschap, “… is de laatste gemeenschap waaraan je iets wilt uitbrengen met een achterdeur geïnstalleerd, aan mensen die op jacht zijn naar dit spul om uit elkaar te scheuren.”

Vanuit het oogpunt van onderwijs stelt Ghidra ook beginnende software-ingenieurs in staat om programma's uit elkaar te halen om te zien hoe ze werken en vervolgens te leren hoe ze iets soortgelijks kunnen doen met hun eigen programma's. projecten. Het kijken naar de code van iemand anders is al lang een geaccepteerde praktijk onder programmeurs en ontwikkelaars om betere programmeurs te worden. Als die code natuurlijk openlijk werd gedeeld.

Misschien wel de grootste deal is dat Ghidra is ontworpen om samen te worden gebruikt. U kunt een gedeelde opslagplaats hebben met uw collega's of vrienden, zodat u allemaal tegelijk aan een project kunt werken.Dat versnelt het analyseproces aanzienlijk. Wat nu?

De Amerikaanse federale overheid heeft beloofd om steeds meer beveiligingsgerelateerde software uit te brengen. Sommige zullen erg technisch van aard zijn, zoals Ghidra, en andere zullen gebruiksvriendelijker zijn, zoals een verbeterde versie van Android.

Het luidt allemaal een unieke tijd in van samenwerking tussen de overheid en burgers om onze data-infrastructuur zo veilig mogelijk te houden.

V.S. Geheime dienst - https://www.secretservice.gov/data/press/reports/USSS_FY2013AR.pdf

https://media.defense.gov/2012/Apr/27/2000157039/-1/-1/0/120417-F-JM997-405.JPG

.
SETUP UA COMPUTER BLOG