NSA chuyển công cụ dịch ngược Ghidra thành nguồn mở
Tuy chuyên gia bảo mật Rob Joyce của NSA nói tại hội nghị rằng, công cụ đó là một đóng góp cho cộng đồng an ninh mạng của quốc gia, nhưng chắc chắn nó sẽ được nhiều nước trên thế giới sử dụng.
Ghidra không phải là một phần mềm để hack các thiết bị, đó là một nền tảng dịch ngược để chuyển các phần mềm thành mã nguồn. Nói cách khác, phần mềm này chuyển mã máy (chuỗi các ký tự 0 và 1) thành các lệnh mà con người hiểu được, từ đó làm lộ ra những điều mà phần mềm thực hiện. Dịch ngược là một tiến trình không thể thiếu trong việc phân tích mã độc và nghiên cứu các nguy cơ an ninh. Ngoài ra, dịch ngược cũng là một cách giúp cho những người phòng vệ hệ thống tìm ra những điểm yếu trong chương trình của họ và đảm bảo rằng phần mềm sẽ hoạt động đúng như dự kiến.
Joyce nói "Nếu bạn đã từng dịch ngược phần mềm, bạn sẽ hiểu rằng nó vừa là khoa học vừa là nghệ thuật, không có con đường dẫn thẳng từ đầu đến cuối. Ghidra là phần mềm dịch ngược được xây dựng để sử dụng nội bộ tại NSA. Chúng tôi không nói rằng nó sẽ thay thế tất cả những thứ khác đang được sử dụng ngoài kia. Nhưng nó đã giúp chúng tôi giải quyết một số vấn đề trong công việc của mình."
Có nhiều công cụ dịch ngược tương tự trên thị trường, trong đó được biết đến khá nhiều là IDA. Nhưng Joyce nhấn mạnh rằng NSA đã phát triển Ghidra trong nhiều năm, với những nhu cầu và ưu tiên thực tế riêng của họ, điều đó khiến cho công cụ này trở thành một công cụ mạnh mẽ và hữu dụng. Các sản phẩm như IDA lại còn tốn tiền mua, vì thế việc chuyển Ghidra thành nguồn mở đánh dấu lần đầu một công cụ dịch ngược tốt có thể dùng miễn phí. Joyce cũng nói rằng NSA xem việc công bố Ghidra là một kiểu chiến lược tuyển dụng vì điều này giúp những người được tuyển vào hay thuê bởi NSA có được hiểu biết tốt ngay khi bắt tay vào công việc mà không tốn thời gian làm quen với công cụ.
NSA công bố về Ghidra vào đầu tháng 1 năm nay nhưng nó đã được nhiều người biết tới sau vụ tiết lộ “Vault 7” của WikiLeaks hồi tháng 3/2017, trong đó cho biết CIA đã sử dụng Ghidra (cùng nhiều công cụ khác của NSA). Mã nguồn của Ghidra mới được công bố gần đây với 1,2 triệu dòng lệnh. Phần mềm này chạy trên Windows, MacOS, Linux và có tất cả những cấu phần mà các nhà nghiên cứu an ninh mong đợi. Tuy nhiên, Joyce nhấn mạnh khả năng tùy biến của công cụ, hơn thế nó còn được thiết kế để hỗ trợ làm việc cộng tác trong nhóm đông người – một vấn đề không được ưu tiên trong những nền tảng khác.
Ghidra cũng có giao diện người dùng và các tính năng để giúp cho việc dịch ngược trở nên dễ dàng. Tính năng của phần mềm này được Joyce yêu thích là cơ chế undo/redo, thứ cho phép người dùng thử các giả thuyết khác nhau về cách hoạt động của phần mềm cần dịch ngược, nhờ đó họ có thể quay lại vài bước nếu giả định của họ không đúng.
NSA đã chuyển nhiều phần mềm của họ thành nguồn mở trong những năm qua, ví dụ như các sáng kiến Security-Enhanced Linux và Security-Enhanced Android. Nhưng Ghidra là phần mềm liên quan trực tiếp đến hướng tấn công và được cộng đồng an ninh mạng quan tâm. Theo Dave Aitel, một nhà nghiên cứu từng làm việc cho NSA và hiện đang là giám đốc an ninh tại công ty an ninh hạ tầng Cyxtera, chúng ta không phải lo ngại việc công bố Ghidra sẽ giúp tin tặc có được lợi thế để chống lại NSA. Những kẻ viết mã độc đã biết cách ngăn cản quá trình dịch ngược mã của chúng từ lâu.
Joyce nhấn mạnh rằng việc công bố Ghidra là một đóng góp nghiêm túc cho cộng đồng an ninh mạng và những người theo thuyết âm mưu không cần lo lắng vì không có cổng hậu nào trong phần mềm này.
Nguyễn Anh Tuấn
Theo Wired