Ghidra. АНБ США оприлюднило інструмент для проведення реверс-інжинірингу
Ghidra. АНБ США оприлюднило інструмент для проведення реверс-інжинірингу
Агентство національної безпеки (АНБ) США оприлюднило інструмент під назвою Ghidra, який відомство вже протягом 10 років використовує для проведення інжинірингу. В даний час програма доступна тільки на офіційному сайті АНБ, проте агентство має намір в найближчому майбутньому розмістити вихідний код інструменту на GitHub.
Проект активно застосовується спецслужбами США для виявлення закладок, аналізу шкідливого коду, вивчення різних файлів, що виконуються, і розбору скомпільованого коду. Ghidra має подібні можливості з розширеною версією пропрієтарного пакету IDA Pro, але розрахований виключно на аналіз коду і не містить відладчика.
Код Ghidra написаний мовою Java, інструмент включає графічний інтерфейс і може працювати на пристроях під керуванням Windows, macOS та Linux. Для роботи інтерфейсу потрібна наявність Java Development Kit (версія 11 або пізніші).
Примітно, лише через кілька хвилин після публікації інструментарію, експерти виявили вразливість у реалізації серверного компонента. Проблема полягає в тому, що Ghidra відкриває мережевий порт 18001 для віддаленого налагодження програми за протоколом JDWP (Java Debug Wire Protocol). За умовчанням мережні з'єднання приймалися на всіх доступних мережних інтерфейсах, а не на 127.0.0.1, що давало змогу підключитися до Ghidra з інших систем та виконати будь-який код у контексті програми. Як зазначається, проблему легко виправити – для цього потрібно лише змінити рядок коду.
