Cơ quan An ninh Quốc gia Mỹ (NSA) vừa chính thức phát hành công cụ GHIDRA 9.0 nhằm giúp phát hiện những lỗi bảo mật trong phần mềm và ứng dụng.
GHIDRA là chương trình nội bộ của Cơ quan An ninh Quốc gia Mỹ (NSA), được phát triển đã hơn một thập kỷ nhằm giúp những chuyên gia phát hiện các lỗi bảo mật trong phần mềm và ứng dụng.
Cụ thể, đây là một công cụ kỹ thuật đảo ngược (reverse engineering) hoạt động dựa trên Java có giao diện đồ họa người dùng (GUI). Công cụ này được thiết kế để chạy trên nhiều nền tảng như Windows, macOS và Linux.
Kỹ thuật đảo ngược một chương trình hoặc phần mềm liên quan đến việc phân tách, chuyển đổi các chuỗi nhị phân thành mã assembly khi mã nguồn không có sẵn, giúp những kỹ sư phần mềm, nhất là các nhà phân tích phần mềm độc hại, hiểu rõ chức năng của mã nguồn, thông tin thiết kế, từ đó triển khai thực tế.
GHIDRA được tiết lộ lần đầu tiên trong vụ rò rỉ CIA Vault 7 nhưng đến hôm nay mới được NSA phát hành chính thức. Công cụ này được đánh giá cao hơn những kỹ thuật đảo ngược thương mại đắt tiền khác như IDA-Pro, Radare, Capstone và Hopper.
“GHIDRA giúp phân tích các loại mã độc, phần mềm chứa virus và giúp những chuyên gia an ninh mạng hiểu rõ hơn về một số lỗi tiềm ẩn trong hệ thống mạng”, trang web chính thức của NSA cho biết.
Hướng dẫn download GHIDRA
- Github — mã nguồn (sớm khả dụng)
- Download GHIDRA 9.0 — phần mềm, slide hướng dẫn, bài thực hành
- Installation Guide — tài liệu sử dụng cơ bản
- Cheat Sheet — phím tắt
- Issue Tracker — báo cáo lỗi
Phát biểu tại Hội nghị RSA, Robert Joyce – cố vấn cấp cao của NSA – đảm bảo chương trình GHIDRA hoàn toàn không có backdoor. Ông cũng cho biết thêm, công cụ này gồm toàn những tính năng được mong đợi ở các phiên bản kỹ thuật đảo ngược đắt tiền.
NSA đã phát triển những tính năng mới độc đáo, hỗ trợ nhiều bộ hướng dẫn xử lý, định dạng thực thi, có thể chạy ở cả chế độ tương tác và chế độ tự động. Sự ra đời của GHIDRA nhận được sự chào đón nồng nhiệt của cộng đồng quan tâm đến lĩnh vực an toàn thông tin (infosec). Nhiều nhà nghiên cứu và phát triển đã bắt đầu đóng góp cho dự án bằng cách theo dõi, báo cáo những lỗi, lỗ hổng bảo mật trên Github.
Matthew Hickey, người dùng có nickname “HackerFantastic”, đã báo cáo vấn đề bảo mật đầu tiên. Hickey nhận thấy bộ công cụ kỹ thuật đảo ngược mở JDWP debug port 18001 trên tất cả các giao diện khi khởi chạy GHIDRA ở chế độ debug, cho phép người dùng thực thi mã tùy ý từ xa trên hệ thống của những nhà phân tích.
Giả dụ chương trình đang hoạt động bình thường, dù chế độ debug không được kích hoạt thì phần mềm cũng chỉ “lắng nghe” kết nối debug từ localhost, chứ không phải bất từ bất kỳ máy nào trong hệ thống.
“Vấn đề này có thể được khắc phục bằng cách thay đổi một dòng mã trong phần mềm”, Hickey cho biết.
Theo: The Hacker News