Connexion
Abonnez-vous

La NSA publie Ghidra, son outil gratuit de rétroingénierie logicielle

La NSA publie Ghidra, son outil gratuit de rétroingénierie logicielle

Le 06 mars 2019 à 09h45

En pleine conférence RSA, la NSA a annoncé la publication de son outil Ghidra, spécialisé dans la rétroingénierie. L’agence américaine souhaite que les analystes de malwares s’en emparent, se fassent à son usage avant éventuellement de venir postuler.

Cette arrivée est un évènement, attendue depuis le début de l’année quand les rumeurs ont commencé à l’évoquer. Un outil complet de rétroingénierie logicielle est en effet une aubaine, Ghidra jouant dans la même cours qu’IDA Pro, dont la licence coûte des milliers de dollars par an.

Développé en Java et fonctionnant sous Linux, mac OS et Windows, Ghidra est proposé gratuitement. Mieux, dans « un futur proche », son code source sera publié sur le dépôt GitHub de la NSA, assorti d’une licence open source (Apache 2.0 a priori).

Les architectures supportées sont très nombreuses, comme le signale Rob Joyce, de la NSA : x86 16/32/64, arm/Aarch64, PowerPC 32/64, VLE, MIPS 16/32/64, micro, 68xxx, Java/DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8 ou encore AVR32, la liste n’étant pas exhaustive.

L’outil se télécharge directement depuis site de la NSA et se présente comme une archive Zip à décompresser sur le disque, sans installation classique. Comme noté par le chercheur en sécurité Silas Cutler, la documentation de Ghidra fournit même des conseils pour transiter depuis IDA Pro.

Pour l’instant, l’outil semble recevoir les éloges de nombreux chercheurs, y compris de Tavis Ormandy de chez Google, connu pour avoir trouvé de nombreuses vulnérabilités.

Le 06 mars 2019 à 09h45

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En attendant que le code soit sur GitHub, ça me viendrai pas à l’esprit d’installer un truc proposé par la NSA :p

votre avatar

Tu peux toujours l’installer sur une machine offline

votre avatar

Développé en Java, tu peux tenter une décompilation - si le code n’est pas masqué  ça peut te donner une idée.

votre avatar







anagrys a écrit :



Développé en Java, tu peux tenter une décompilation - si le code n’est pas masqué  ça peut te donner une idée.





Tu peux même utiliser ghidra pour ça <img data-src=" />


votre avatar

Bizarrement, je n’arrive pas à faire confiance …

votre avatar

Moi non plus, mais je ne doute pas que le logiciel va être trituré dans les semaines qui viennent.

votre avatar

&nbsp;

Le problème n’est pas de l’avoir sur gitHub mais que quelqu’un relise et teste ce code. Un quelqu’un de confiance. C’est pas gagné.

votre avatar

Bah quelqu’un y a déjà trouvé une porte dérobée …



twitter.com Twitter

votre avatar

Cet outil a l’air vraiment puissant , mais faites attention en l’utilisant en mode debug, il ouvre le port 18001 à toutes les IP et permet de lancer du code à distance , ici il est conseillé de modifier ça avant de l’utiliser :twitter.com TwitterEdit : Damn, grilled&nbsp;<img data-src=" />

votre avatar

Le public pouvant être intéressé par ce soft est justement des personnes capables de faire cette lecture et analyse du logiciel. De plus, ce sont des gens qui font sûrement attention à ce qu’elles installent sur leurs machines. Je suis bien plus optimiste que vous sur ce sujet.



Rien que cela devrait éviter que la NSA prenne le risque de fournir un logiciel en open source qui aurait des fonctionnalités cachées.

votre avatar

Ce n’est pas une porte dérobée, mais une fonction du mode debug.



Il y a peu de raison d’utiliser le mode debug tant que l’on n’a pas les sources et quand on les a, il est facile de changer les IP acceptées sur ce port.

votre avatar

Or la fonction doit limiter l’ouverture du port à seulement 127.0.0.1, au lieu de n’importe quelle adresse.

Et c’est ce que pointe le chercheur du doigt.

votre avatar







Raito Yagami a écrit :



Or la fonction doit limiter l’ouverture du port à seulement 127.0.0.1, au lieu de n’importe quelle adresse.

Et c’est ce que pointe le chercheur du doigt.







Yep et de toutes manières y a pas de raison de le faire, c’est presque un bug dans l’idée. Le mode debug fonctionne très bien en mettant cette partie du code en commentaire (voir les com sur twitter)



<img data-src=" /> petite pensée aux équipes chez IDA qui doivent comparer leur produit avec Ghidra et pleurer de le voir gratuit, c’est le moment de mettre à jour son CV là bas.


votre avatar







Raito Yagami a écrit :



Or la fonction doit limiter l’ouverture du port à seulement 127.0.0.1, au lieu de n’importe quelle adresse.

Et c’est ce que pointe le chercheur du doigt.







Mouais… enfin bon… analyser des malware sur un PC connecté au réseau sans firewall/isolation, c’est pas courant. Faut être un peu suicidaire question sécurité.


votre avatar

Tous les grands noms du domaine de la sécurité vont bien sûr jeter un oeil à ce code.

votre avatar

Ils ont corrigé quasiment tous les problèmes d’IDA et le décompilateur semble vraiment aboutit.



Cela va faire très mal à IDA.&nbsp;

votre avatar

Et c’est une très bonne chose

votre avatar

Et voilà comment en un clic IDA passe d’incontournable à dépassé

votre avatar







linkin623 a écrit :



Moi non plus, mais je ne doute pas que le logiciel va être trituré dans les semaines qui viennent.





J’aurais bien dit l’ANSSI, mais j’attends toujours leurs recommandations vis à vis de Veracrypt …


votre avatar







fred42 a écrit :



Le public pouvant être intéressé par ce soft est justement des personnes capables de faire cette lecture et analyse du logiciel. De plus, ce sont des gens qui font sûrement attention à ce qu’elles installent sur leurs machines. Je suis bien plus optimiste que vous sur ce sujet.

Rien que cela devrait éviter que la NSA prenne le risque de fournir un logiciel en open source qui aurait des fonctionnalités cachées.





C’est clair, et ça serait complètement idiot (déjà que vu les commentaires ici, certains se méfient par principe).



De toutes façons, la NSA a bien d’autres moyens d’écoute/espionnage que de viser quelques spécialistes qui vont utiliser ce logiciel (et qui sont bien placés pour y trouver des portes dérobées).


votre avatar







Raito Yagami a écrit :



Bah quelqu’un y a déjà trouvé une porte dérobée …



twitter.com TwitterJe suis partagé entre dépits et hilarité.



&nbsp;



fred42 a écrit :



Le public pouvant être intéressé par ce soft est justement des personnes capables de faire cette lecture et analyse du logiciel. De plus, ce sont des gens qui font sûrement attention à ce qu’elles installent sur leurs machines. Je suis bien plus optimiste que vous sur ce sujet.



Rien que cela devrait éviter que la NSA prenne le risque de fournir un logiciel en open source qui aurait des fonctionnalités cachées.







J’ai précisé “de confiance”. Avant même la compétence comment faire confiance? C’est une très grosse question du 21éme siècle.

&nbsp;

&nbsp;



Xaelias a écrit :



Tous les grands noms du domaine de la sécurité vont bien sûr jeter un oeil à ce code.





J’estime qu’un vrai grand nom de la sécurité doit avoir ses propres outils.





Et globalement, pour conclure : qui peut faire confiance à la NSA ? Sans déconner.



&nbsp;

&nbsp;


La NSA publie Ghidra, son outil gratuit de rétroingénierie logicielle

Fermer