image

Агенство Национальной безопасности США планирует выпустить в свободное пользование свой внутренний инструмент для реврс-инжиниринга. Данное событие было анонсировано старшим советником и оратором АНБ Робертом Джойсом.
Разработанная специалистами из АНБ среда реверс-инжиниринга под кодовым названием GHIDRA будет впервые представлена общественности на RSAC 2019. Данный инструмент поддерживает наборы команд различных процессоров, а его возможности позволяют реверс-инженерам использовать интегрированный набор функций, работающих на различных платформах, включая Windows, Mac OS и LINUX. Платформа GHIDRA включает в себя все функции, ожидаемые от высокопроизводительных коммерческих инструментах, с новой и расширенной функциональностью, и будет выпущена для свободного публичного использования.
Пользователь hash_define социальной сети Reddit утверждает, что АНБ уже не первый год делится своим инструментом с различными правительственными учреждениями США. Например, он уже давно используется в ЦРУ: на wikileaks опубликовано руководство для новых IOS-разработчиков, в котором есть пункт, посвященный GHYDRA. Среда включает в себя дополнительные компоненты. Hash_define сообщает, что есть модуль, предоставляющий возможность применять машинное обучение. Но он сомневается, что его опубликуют.

Пользователь твиттера evm_sec пишет, что инструмент очень похож на IDA, правда, намного медленнее его. А главным преимуществом является независимый от архитектуры декомпилятор C, использующий промежуточное представление кода PCode.
Из википедии:

P-код (Пи-код) — концепция аппаратно-независимого исполняемого кода в программировании, часто его определяют как «Ассемблер для гипотетического процессора». Иногда этот термин используется в качестве синонима термину байт-код для различных виртуальных машин (например, виртуальной Java-машина, байт-кода CIL в платформе .NET и т. п.).
До сих пор не сообщается, планирует ли АНБ представить исходный код, что могло бы обрадовать OpenSource сообщество. К сведению, АНБ имеет свой собственный репозиторий на Github и уже опубликовали там 32 проекта.

Комментарии (15)


  1. axifive
    21.01.2019 02:34
    +3

    Ого, такое читать действительно неожиданно!
    В США полезные инструменты выкладывают в открытый доступ, а в России запуск межконтинентальной ракеты дарят гражданам на Новый Год.


    1. iroln
      21.01.2019 12:15

      У них даже гитхаб-аккаунт есть :)
      https://github.com/nationalsecurityagency


      1. glowingsword
        21.01.2019 21:16

        И не удивительно, это знатный контрибьютор в open source-сообществе. Один selinux чего стоит...


        1. DVoropaev Автор
          21.01.2019 22:46

          Selinux сделан анб-шниками? а почему тогда в википедии указан RedHat?


          1. glowingsword
            21.01.2019 23:13

            А тут на https://en.wikipedia.org/wiki/Security-Enhanced_Linux в графе Original author(s) кто автором указан? Не NSA and Red Hat? NSA — это и есть хорошие ребята из АНБ. Конкретно Selinux пилили в отделе IAD, который кроме selinux пилил и секьюрити патчи к опенсорсным решениям. Там работают по настоящему талантливые люди.


            P.S.: Не обижайтесь, но если вы себя уважаете — не читайте русскую википедию, русские статьи в ней не особо информативные и качественные. Такое ощущение что их писали криворуки копирайтеры, на понимающие о чём они пишут. Англоязычная вики — на порядок лучше. Хотя я больше доверяю британской эциклопедии, но это уже вкусовщина...


  1. old_bear
    21.01.2019 04:42

    А сбор и отправка на сервер АНБ статистики использования там будет встроена?


    1. Inanity
      21.01.2019 05:34

      Оффлайн — наше всё.


      1. oteuqpegop
        21.01.2019 06:59

        Оффлайн отправка статистики тоже будет работать.


  1. Inanity
    21.01.2019 05:35

    Очень круто! Интересен мотив. IDA оказалась лучше, всё перебрались на её, и прятать свою разработку больше не было смысла?


    1. AlexRed
      21.01.2019 14:17

      мотив прост — исходники допилят и усовершенствуют, исправят баги и АНБ возьмет на вооружение усовершенствованный продукт. Ну может особо талантливых завербует на работу)


    1. CorvOrk
      21.01.2019 20:35

      В обсуждениях отмечается, что GHIDRA проигрывает своему оппоненту в скорости и надежности, но ее преимущество заключается в дружелюбном интерфейсе и возможности работы с мобильными ОС.


      IDA стоит довольно дорого — для личных экспериментов не всем подойдет. Плюс сообщество может помочь с устранением недочетов.


  1. Ezhyg
    21.01.2019 07:34
    +1

    Хайль Гидра!


  1. dartraiden
    21.01.2019 15:48

    Судя по всему, на двадцатой странице скриншот этого инструмента.


  1. ashotog
    21.01.2019 16:12

    > А главным преимуществом является независимый от архитектуры декомпилятор C, использующий промежуточное представление кода PCode.

    Hex-Rays, не? ;)


    1. FForth
      22.01.2019 01:42

      Например в Radare2 для промежуточного представления ассемблерных команд используется Форт подобный язык ESIL radare.gitbooks.io/radare2book/content/disassembling/esil.html по которому с помощью утилиты radeco строится графичесое представление кода и по нему же симулируется код.
      Псевдо «Си» представление тоже вроде делают или сделали.

      P.S. radare2 периодически получает поддержку в рамках GSOC и Radare2 тоже мультипроцессрный реверс инструмент.