Si chiama Ghidra il tool che permetterà a chiunque di smantellare i malware ed effettuare operazioni di reverse engineering
La National Security Agency (NSA) sta pianificando di rilasciare uno strumento che permetta ai responsabili della sicurezza di effettuare operazioni di reverse engineering sui malware. Soprannominato Ghidra, il programma, open source, consentirà agli IT aziendali di smanettare con i codici sviluppati per colpire i sistemi Windows, macOS, Android e iOS, per trasformarli in binari da poter esaminare ed analizzare, così da capire come sia stato creato un malware, a cosa puntava e in che modo si sarebbe potuto insediare nei dispositivi di dipendenti e amministratori.
Ghidra sarà presentato alla RSA Conference 2019 di marzo, nota convention in quel di San Francisco per la sicurezza informatica. Sebbene sia rivolto principalmente ai professionisti della cybersec, lo strumento verrà aperto a chiunque desideri di studiare le minacce.
Come funziona
Stando a quanto comunicato dalla NSA, il tool funziona in questa maniera: ”Un’interfaccia interattiva permetterà agli ingegneri di sfruttare un set integrato di opzioni che girano su una varietà di piattaforme tra cui Windows, macOS e Linux a supporta di istruzioni per vari processi. La piattaforma Ghidra include tutte le funzionalità previste in strumenti commerciali pari e di fascia alta, La NSA lo ha sviluppato in modo univoco e lo rilascerà ad uso gratuito in occasione della RSA”.
In termini tecnici, il software è un “disassemblatore” che suddivide i file eseguibili in codice e quindi li rende più facili da analizzare per chi ha competenze IT. Anche se Ghidra viene pubblicizzato quale iniziativa open source di rilievo, c’è chi, come il sito ZDNet, ha notato che non si tratta esattamente di una tecnologia nuova, essendo in circolazione già dall’inizio degli anni 2000, quando però era stato diffuso solo all’interno di agenzie governative statunitensi.
La stessa esistenza di Ghidra è stata rivelata quando Wikileaks ha pubblicato una serie di documenti interni nel faldone Vault4, presumibilmente cancellato dalla rete interna della CIA. Esistono altri tool che consentono lo smontaggio di file e di malware ma è necessario uno sforzo maggiore per smanettare con programmi di cui non si hanno procedure di base e dunque possono risultare ostici, almeno all’inizio. La NSA rilascerà il software alla comunità open source tramite GitHub, dove probabilmente trarrà beneficio dagli appassionati in grado di migliorarlo e renderlo meno buggato di quanto lo sia ora.
