ส่วนใหญ่ในการจัดการกับไวรัสใหม่ ๆ ก็คือการค้นหาว่ามันทำงานอย่างไร ในการทำเช่นนั้น คุณต้องทำวิศวกรรมย้อนกลับ เห็นได้ชัดว่าสำนักงานความมั่นคงแห่งชาติ (NSA) ต้องทำงานประเภทนี้เป็นจำนวนมาก ดังนั้นพวกเขาจึงสร้างเครื่องมือของตนเองที่เรียกว่า Ghidra เพื่อช่วยพวกเขาทำเช่นนี้

อย่างไรก็ตาม มันออกเสียงว่า กี-ดรา เผยแพร่สู่สาธารณะฟรีและเป็นโอเพ่นซอร์สในวันที่ 5 มีนาคม ^th , 2019 ที่การประชุม RSA ในซานฟรานซิสโก คุณยังสามารถดูบันทึกการนำเสนอของ Ghidra จาก Robert Joyce ที่ปรึกษาอาวุโสของ National Security Agency (NSA) ได้อีกด้วย

เพื่อให้เข้าใจอย่างแท้จริงว่าเหตุใดการปล่อย Ghidra จึงมีความสำคัญ เราต้องเข้าใจว่าวิศวกรรมย้อนกลับคืออะไรและใช้ทำอะไร

วิศวกรรมย้อนกลับคืออะไรและทำไมจึงใช้

โดยทั่วไปแล้ว วิศวกรรมย้อนกลับ (RE) หมายถึงกระบวนการแยกส่วนบางอย่างออกจากกันเพื่อค้นหาว่ามันถูกสร้างขึ้นมาอย่างไร คุณอาจทำสิ่งนี้ด้วยตัวเองโดยใช้เครื่องใช้ไฟฟ้าขนาดเล็กที่บ้าน แค่พยายามหาวิธีแก้ไขด้วยตัวเอง แต่เรากำลังพูดถึงโปรแกรม RE มันเป็นแค่รหัสใช่ไหม ทำไมเราไม่ดูโค้ดเบื้องหลังมันล่ะ

เมื่อคุณเขียนโปรแกรมในภาษาเช่น C หรือ Java มีขั้นตอนระหว่างการเขียนโปรแกรมและความสามารถในการใช้งานบนคอมพิวเตอร์ ภาษาที่คุณเขียนโปรแกรมสามารถอ่านได้ แต่คอมพิวเตอร์ไม่จำเป็นต้องอ่านได้ ต้องแปลเป็นสิ่งที่คอมพิวเตอร์สามารถทำงานด้วย กระบวนการนี้เรียกว่าการคอมไพล์

เมื่อรวบรวมโปรแกรมแล้ว มนุษย์จะไม่สามารถอ่านได้อีกต่อไป

หากคุณต้องการทราบว่าโปรแกรมนั้นทำงานอย่างไร คุณต้องแยกมันออกไปยังระดับที่คุณสามารถดูว่ามีอะไรอยู่ในนั้น คุณต้องมีชุดเครื่องมือสำหรับสิ่งนั้น เช่นเดียวกับที่คุณต้องการชุดเครื่องมือไขควงและประแจสำหรับใช้กับเครื่องใช้ไฟฟ้าขนาดเล็กหรือเครื่องยนต์

นั่นคือสิ่งที่ Ghidra เข้ามาเล่น เป็นกล่องเครื่องมือที่แยกซอฟต์แวร์ออกจากกันเพื่อดูว่ามันทำงานอย่างไร มีเครื่องมือที่คล้ายกันอื่น ๆ เช่น IDA, Radare และ Binary Ninja

NSA ใช้ Ghidra เพื่อจัดการกับไวรัส มัลแวร์ และโปรแกรมอื่นๆ ที่อาจเป็นอันตรายต่อความมั่นคงของชาติ จากนั้น จากสิ่งที่พวกเขาพบ พวกเขาพัฒนาแผนปฏิบัติการเพื่อจัดการกับภัยคุกคาม ด้วยเหตุการณ์การแฮ็กที่ได้รับการสนับสนุนจากรัฐในข่าวเมื่อเร็วๆ นี้ คุณจึงรู้ว่านี่เป็นเรื่องใหญ่

มีใครใช้ Ghidra ได้บ้าง?

ไม่แน่ คุณต้องมีความชำนาญในการเขียนโปรแกรมอย่างน้อยที่สุด คุณไม่จำเป็นต้องเป็นวิศวกรซอฟต์แวร์ แต่ถ้าคุณเคยผ่านหลักสูตรวิทยาลัยมาแล้วสองสามหลักสูตรในการเขียนโปรแกรม คุณสามารถเข้าสู่ Ghidra และสอนวิธีใช้งานด้วยตนเอง

นอกจากนี้ เว็บไซต์อย่างเป็นทางการของ Ghidra ยังมีคู่มือการติดตั้ง ข้อมูลอ้างอิงด่วน Wiki และเครื่องมือติดตามปัญหาอีกด้วย จุดประสงค์ในการมอบทุกสิ่งเพื่อให้ทุกคนได้เรียนรู้ และทำให้โลกปลอดภัยยิ่งขึ้นจากแฮ็กเกอร์ที่มุ่งร้าย

NSA กำลังทำสิ่งนี้เพื่อ “…ปรับปรุงเครื่องมือความปลอดภัยทางไซเบอร์…” และ “…สร้างชุมชน…” ของนักวิจัยที่เชี่ยวชาญเกี่ยวกับ Ghidra และมีส่วนสนับสนุนการเติบโต ตามที่เขียนไว้ในการนำเสนอของ Robert Joyce

แล้วเหตุใด Ghidra จึงเป็นเรื่องใหญ่

มันมาจาก NSA บริษัทใดมีทรัพยากรประเภทใดบ้างที่หน่วยงานของรัฐบาลกลางสหรัฐมี? ประสบการณ์แบบใดที่แม้แต่บริษัทรักษาความปลอดภัยที่ดีที่สุดสามารถเทียบได้กับหน่วยงานที่ได้รับมอบหมายให้ดูแลความปลอดภัยของประเทศที่มีอำนาจมากที่สุดในโลก

ใช่แล้ว มันเป็นเครื่องมือที่ทรงพลังมาก Joxen Coret นักวิจัยด้านความปลอดภัยทวีตว่า "งั้น Ghidra แย่จังกับเครื่องมือ RE อื่นๆ ทั้งหมด ยกเว้น IDA"

แล้วมีแง่มุมฟรี ด้วยความสามารถในการรับเครื่องมือ RE ที่ทรงพลังที่สุดโดยไม่เสียค่าใช้จ่าย แถบรายการในการวิจัยด้านความปลอดภัยจึงถูกลดระดับลงเหลือเพียงการเป็นเจ้าของคอมพิวเตอร์และการเข้าถึงอินเทอร์เน็ต

นี่เป็นส่วนหนึ่งของเหตุผลที่ NSA เผยแพร่ พวกเขาหวังว่านักวิจัยรุ่นใหม่จะมีความเชี่ยวชาญและพิจารณาประกอบอาชีพกับ NSA

จากนั้นก็มีแง่มุมโอเพ่นซอร์ส หน่วยงานด้านความปลอดภัยไม่เป็นที่รู้จักในการให้ผู้คนมองไปหลังม่านด้วยเหตุผลที่ดี ถ้าคุณรู้ว่าพวกเขาทำอะไร มันจะง่ายกว่าที่จะขัดขวางพวกเขา อย่างไรก็ตาม ซอร์สโค้ดทั้งหมดของ Ghidra ถูกเปิดเผยต่อสาธารณะ ดังนั้นใครๆ ก็สามารถลองค้นดูและดูว่ามันทำงานอย่างไร

และไม่มีรายงานว่ามีแบ็คดอร์ของรัฐบาลอยู่ในนั้น Ron Joyce พูดอย่างรวดเร็วว่าชุมชนวิจัยด้านความปลอดภัย "...เป็นชุมชนสุดท้ายที่คุณต้องการเผยแพร่บางสิ่งออกไปเมื่อติดตั้งแบ็คดอร์ ให้กับผู้ที่ตามล่าหาสิ่งนี้เพื่อแยกส่วน"

จากมุมมองด้านการศึกษา Ghidra ยังอนุญาตให้วิศวกรซอฟต์แวร์รุ่นเยาว์แยกโปรแกรมเพื่อดูว่าพวกเขาทำงานอย่างไร จากนั้นเรียนรู้วิธีการทำสิ่งที่คล้ายกับโครงการของตนเอง การดูโค้ดของบุคคลอื่นเป็นที่ยอมรับกันมานานแล้วในหมู่โปรแกรมเมอร์และนักพัฒนาเพื่อให้เป็นโปรแกรมเมอร์ที่ดีขึ้น หากรหัสนั้นถูกเปิดเผยอย่างเปิดเผย

บางทีข้อตกลงที่ใหญ่ที่สุดก็คือ Ghidra ได้รับการออกแบบมาให้ทำงานร่วมกัน คุณสามารถมีที่เก็บข้อมูลที่ใช้ร่วมกันกับเพื่อนร่วมงานหรือเพื่อนของคุณ เพื่อให้คุณสามารถทำงานในโครงการได้ในคราวเดียว ซึ่งช่วยเร่งกระบวนการวิเคราะห์ได้อย่างมาก

ตอนนี้เป็นอย่างไรบ้าง

รัฐบาลกลางสหรัฐได้ให้คำมั่นที่จะเผยแพร่ซอฟต์แวร์ที่เกี่ยวข้องกับการรักษาความปลอดภัยมากขึ้นเรื่อยๆ บางส่วนจะมีลักษณะทางเทคนิคอย่างมาก เช่น Ghidra และบางส่วนจะเป็นมิตรกับผู้ใช้มากกว่า เช่น Android เวอร์ชันปรับปรุงความปลอดภัย

ทั้งหมดนี้เป็นการบอกเล่าถึงช่วงเวลาพิเศษของการทำงานร่วมกันของรัฐบาลและพลเรือนในการรักษาโครงสร้างพื้นฐานข้อมูลของเราให้ปลอดภัยที่สุด

หน่วยสืบราชการลับของสหรัฐอเมริกา – https://www.secretservice.gov/data/press/reports/USSS_FY2013AR.pdf

https://media.defense.gov/2012/Apr/27/2000157039/-1/-1/0/120417-F-JM997-405.JPG