Ghidra : l’outil d’analyse de code de la NSA n’est pas exempt de failles, mais il séduit

Chose promise, chose due ; la NSA vient de profiter de l’ouverture de RSA Conference, qui se déroule actuellement à San Francisco, pour rendre publique Ghidra, sa trousse à outils de rétro-ingénierie logicielle. L’agence américaine du renseignement l’a développée pour ses besoins internes d’analyse de code malicieux compilé pour un large éventail d’environnements, dont naturellement Windows, macOS et Linux. D’architecture modulaire, Ghidra peut être étendu à l’aide de composants Java ou Python.

Outre certaines questions empreintes d’une ironie bien compréhensible – « avec des portes dérobées ? » ont ainsi interrogés certains –, les premières remarques d’experts ne se sont pas faites attendre. Et elles apparaissent plutôt positives. Ainsi, Vicky Ray, chercheur au sein de l’unité 42 de Palo Alto Networks, souligne la qualité de la documentation associée.

Matthew Hickey, co-fondateur et directeur de Hacker House, est tout aussi positif, soulignant un excellent support de processeurs variés. Et l’éventail supporté est effectivement très très étendu. Comme d’autres, Marcus Hutchins apprécie l’interface utilisateur, qu’il décrit comme une avancée considérable : « avec IDA Pro, les mêmes capacités vous coûteraient environ 13 000 $ (et il supporte moins d’architectures). J’aime beaucoup IDA, mais leur monopole est le fléau de mon existence ».

We join Rob Joyce in announcing that #Ghidra is alive! Download your copy: https://t.co/h7hOPQIChJ and start reversing! #RSAC #RSAC2019 pic.twitter.com/VXUSFopMOk

— NSA/CSS (@NSAGov) March 6, 2019

Marcus Hutchins a même partagé quelques vidéos de ses premières expériences avec Ghidra sur sa chaîne Twitch. D’autres analystes ont commencé à publier des rapports d’expérience, généralement très flatteurs pour la trousse à outils de la NSA… et comparativement bien moins pour celui qui était jusqu’ici incontournable, IDA.

Mais Ghidra essuie toutefois quelques critiques et ne s’avère pas exempt de défauts. Une vulnérabilité, permettant l’exécution de code à distance, lui a d’ailleurs déjà été trouvée. Mais après quelques heures, la NSA semble bien partie pour retirer de sérieux bénéfices de l’exercice : les apports de la communauté sont là, au moins matérialisés par les contributions déjà nombreuses sur l’espace Github de Ghidra.

Ghidra opens up JDWP in debug mode listening on port 18001, you can use it to execute code remotely... to fix change line 150 of support/launch.sh from * to 127.0.0.1 https://t.co/J3E8q5edC7

— Hacker Fantastic (@hackerfantastic) March 6, 2019