NSA-Tool Ghidra: Mächtiges Tool, seltsamer Fehler
Der US-amerikanische Überwachungsgeheimdienst NSA (National Security Agency) hat ein Reverse-Engineering-Tool als Open-Source-Software veröffentlicht. Rob Joyce, Referent für Cybersicherheit bei der NSA, hat das Tool mit dem Namen Ghidra am 5. März 2019 auf der Sicherheitskonferenz RSA vorgestellt. Vergleichbares gab es bisher nur als teure Closed-Source-Software. "Es gibt keine Hintertür in Ghidra", betont er. Doch der Sicherheitsforscher Matthew Hickey fand laut dem Onlinmagazin The Register(öffnet im neuen Fenster) dennoch einen merkwürdigen Port.
Im Debug-Modus öffne die Software den Port 18001. An diesen könnten über das lokale Netzwerk Befehle gesendet werden, die auf dem Rechner ausgeführt würden. Der Debug-Modus wird standardmäßig nicht aktiviert. Sicherheitsforscher und Entwickler, die die Software im Debug-Mode starten, um sie beispielsweise zu verbessern oder Probleme zu beheben, sollten jedoch über das Verhalten Bescheid wissen – und es gegebenenfalls deaktivieren.
Keine Backdoor, sondern Bugdoor
In der Datei support/launch.sh müsse in Codezeile 150 nur das * durch 127.0.0.1 ersetzt werden, um nur noch lokale Befehle und keine Remote-Befehle mehr auszuführen, twittert Hickey(öffnet im neuen Fenster). Eine richtige Hintertür vermutet er dahinter jedoch nicht und spricht vielmehr von einem Fehler, einer Bugdoor.
Ein NSA-Sprecher erklärte The Register, der offene Port diene dem Austausch von Nachrichten und dem kolaborativen Zusammenarbeiten. Hickey entgegnete, dass für diesen Zweck bereits ein anderer Port (13100) geöffnet würde.
Der eigentliche Zweck der Software ist jedoch die Analyse von Binärdateien. Ghidra kann maschinenlesbaren Code dekompilieren und so für die menschliche Analyse zugänglich machen. Auf diese Weise kann eine Software und deren Schnittstellen verstanden und nachgebaut werden. Ghidra steht unter der Apache-2.0-Lizenz und benötigt eine Java-Laufzeitumgebung. Sie läuft auf Windows, Linux und MacOS. Die Software kann durch Java und Python-Plugins erweitert und auf der NSA-Webseite heruntergeladen werden(öffnet im neuen Fenster).
Bisher setzen Sicherheitsforscher häufig auf die Software IDA, die mit ähnlichen Funktionen wie Ghidra aufwartet. Diese ist jedoch Closed Source und teuer. Durch seinen Funktionsumfang und die Erweiterungsmöglichkeiten über Plugins, dürfte das mächtige Tool, das Leben vieler Forscher erleichtern. Mit dem Tool lässt sich beispielsweise binäre Schadsoftware analysieren.
Tools und Standards der NSA sind umstritten
Auch andere Open-Source-Tools stammen von der NSA, beispielsweise SELinux (Security Enhanced Linux), eine Erweiterung des Linux-Kernels, über das Zugriffskontrollen implementiert und Programme abgeschottet werden können. Es kommt beispielsweise bei der Distribution Fedora standardmäßig zum Einsatz.
Durch die NSA erstellte Software ist jedoch nicht unumstritten. 2012 standardisierte die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) den Zufallszahlengenerator Dual EC DRBG. Dieser wurde von der NSA entwickelt. Sicherheitsforscher gehen davon aus, dass der Zufallszahlengenerator eine Hintertür enthält. Das Nist bestätigte die Hintertür 2013 zwar nicht direkt, zog den Standard jedoch zurück. Ausgerechnet in einer Software der Firma RSA kam der Zufallszahlengenerator standardmäßig zum Einsatz – nachdem die NSA der Firma 10 Millionen US-Dollar dafür bezahlt hatte. Die Firma RSA richtet die Konferenz aus, auf der nun Ghidra vorgestellt wurde.
Auch der NSA-Verschlüsselungsalgorithmus Speck wurde nach Kritik aus dem Linux-Kernel entfernt. Dieser war ursprünglich von Google für die Aufnahme in den Kernel vorgeschlagen worden, um auch auf leistungsschwachen Geräten, wie Smartphones mit Android Go, eine Systemverschlüsselung zu ermöglichen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.