Ghidra är ett verktyg för att dekompilera exekverbara binärfiler (reverse engineering) och är användbart för att se hur kompilerade program fungerar. Om inte källkoden för programmet finns att tillgå återstår i stort sett att försöka backa bandet och reversera kompileringen från binärfil till källkod. Det är dock inte direkt enkelt, och det är inte säkert att det blir rätt, alltså att den källkod reverseringen får fram faktiskt är exakt den källkod som användes vid kompileringen.

Även om cyberkriminella ofta använder verktyg publicerade under öppen källkod, utvecklar de en hel del egen kod, och den resulterade binärfilen – det som ofta utgör den skadliga koden – är fördold, och det är inte enkelt att utreda vad den gör. Att kunna dekompilera binärfilen ger med andra ord ofta den avgörande informationen som behövs för att kunna utveckla motmedel.

Att NSA, National Security Agency, utvecklat ett kraftfullt dekompileringsverktyg förvånar ingen; det ligger i NSA:s uppdrag att försvara USA i ett cyberkrig, och att kunna analysera hot är fundamentalt. Det har länge ryktats om Ghidras existens, som blivit närmast mytiskt, och på senare tid har rykten gjort gällande att NSA kommer att släppa ut Ghidra under en öppen källkodslicens, något även TechWorld skrivit om tidigare.

På RSA-konferensen i San Francisco i tisdags kom så besked från NSA via den seniora rådgivaren Robert Joyce. Ghidra släpps fri under en öppen källkodslicens och därmed har it-säkerhetsbranschen begåvats med ett avancerat dekompileringsverktyg de tidigare fick betala dyrt för, skriver TechTarget.

Enligt Robert Joyce arbetar NSA sedan länge tillsammans med it-säkerhetsbranschen och vill ge något tillbaka. Enligt honom hoppas NSA på att den öppna utvecklingen av verktyget kan gynna dem, men även att verktygen kan komma att användas för utbildning på universiteten och som träningsverktyg för dem som vill arbeta på NSA.

Ghidra är en modulär verktygslåda som NSA började utveckla redan under tidigt 2000-tal. Just modulariteten är en grundläggande orsak till att NSA kan släppa ut verktygen – de behåller vissa moduler för sig själva, men det finns gott om färdiga fria moduler och utvecklare kan fritt lägga till fler genom Javascript eller Python. Enligt Robert Joyce är Ghidra fortfarande ett levande projekt och utvecklingen fortsätter inom NSA.

Ghidra har grundläggande stöd för att dekompilera binärer för Windows, Mac, Linux, Ios och Android. Användare kan köra verktyget på Windows, Mac eller Linux och de kan dra nytta av en delad repo på Github, versionskontroll och ett filsystem för att inspektera, extrahera och importera nestade funktioner av skadlig kod. NSA, genom Robert Joyce, försäkrar också att Ghidra är fri från bakdörrar – ”en hederssak” säger Joyce.

Läs också:
NSA släpper verktyg för reverse engineering som öppen källkod