Abo
  • Services:

NSA-Tool Ghidra: Mächtiges Tool, seltsamer Fehler

Mit der Software könnte die NSA richtig Geld verdienen, stattdessen veröffentlicht sie das Reverse-Engineering-Tool Ghidra als freie Software. Eine Backdoor gibt es ausdrücklich nicht, ein Sicherheitsforscher hat aber eine "Bugdoor" gefunden.

Artikel veröffentlicht am ,
Logo der Reverse-Engineering-Software Ghidra
Logo der Reverse-Engineering-Software Ghidra (Bild: NSA)

Der US-amerikanische Überwachungsgeheimdienst NSA (National Security Agency) hat ein Reverse-Engineering-Tool als Open-Source-Software veröffentlicht. Rob Joyce, Referent für Cybersicherheit bei der NSA, hat das Tool mit dem Namen Ghidra am 5. März 2019 auf der Sicherheitskonferenz RSA vorgestellt. Vergleichbares gab es bisher nur als teure Closed-Source-Software. "Es gibt keine Hintertür in Ghidra", betont er. Doch der Sicherheitsforscher Matthew Hickey fand laut dem Onlinmagazin The Register dennoch einen merkwürdigen Port.

Stellenmarkt
  1. Deloitte, Düsseldorf, München
  2. FLOCERT GmbH, Bonn

Im Debug-Modus öffne die Software den Port 18001. An diesen könnten über das lokale Netzwerk Befehle gesendet werden, die auf dem Rechner ausgeführt würden. Der Debug-Modus wird standardmäßig nicht aktiviert. Sicherheitsforscher und Entwickler, die die Software im Debug-Mode starten, um sie beispielsweise zu verbessern oder Probleme zu beheben, sollten jedoch über das Verhalten Bescheid wissen - und es gegebenenfalls deaktivieren.

Keine Backdoor, sondern Bugdoor

In der Datei support/launch.sh müsse in Codezeile 150 nur das * durch 127.0.0.1 ersetzt werden, um nur noch lokale Befehle und keine Remote-Befehle mehr auszuführen, twittert Hickey. Eine richtige Hintertür vermutet er dahinter jedoch nicht und spricht vielmehr von einem Fehler, einer Bugdoor.

Ein NSA-Sprecher erklärte The Register, der offene Port diene dem Austausch von Nachrichten und dem kolaborativen Zusammenarbeiten. Hickey entgegnete, dass für diesen Zweck bereits ein anderer Port (13100) geöffnet würde.

Der eigentliche Zweck der Software ist jedoch die Analyse von Binärdateien. Ghidra kann maschinenlesbaren Code dekompilieren und so für die menschliche Analyse zugänglich machen. Auf diese Weise kann eine Software und deren Schnittstellen verstanden und nachgebaut werden. Ghidra steht unter der Apache-2.0-Lizenz und benötigt eine Java-Laufzeitumgebung. Sie läuft auf Windows, Linux und MacOS. Die Software kann durch Java und Python-Plugins erweitert und auf der NSA-Webseite heruntergeladen werden.

Bisher setzen Sicherheitsforscher häufig auf die Software IDA, die mit ähnlichen Funktionen wie Ghidra aufwartet. Diese ist jedoch Closed Source und teuer. Durch seinen Funktionsumfang und die Erweiterungsmöglichkeiten über Plugins, dürfte das mächtige Tool, das Leben vieler Forscher erleichtern. Mit dem Tool lässt sich beispielsweise binäre Schadsoftware analysieren.

Tools und Standards der NSA sind umstritten

Auch andere Open-Source-Tools stammen von der NSA, beispielsweise SELinux (Security Enhanced Linux), eine Erweiterung des Linux-Kernels, über das Zugriffskontrollen implementiert und Programme abgeschottet werden können. Es kommt beispielsweise bei der Distribution Fedora standardmäßig zum Einsatz.

Durch die NSA erstellte Software ist jedoch nicht unumstritten. 2012 standardisierte die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) den Zufallszahlengenerator Dual EC DRBG. Dieser wurde von der NSA entwickelt. Sicherheitsforscher gehen davon aus, dass der Zufallszahlengenerator eine Hintertür enthält. Das Nist bestätigte die Hintertür 2013 zwar nicht direkt, zog den Standard jedoch zurück. Ausgerechnet in einer Software der Firma RSA kam der Zufallszahlengenerator standardmäßig zum Einsatz - nachdem die NSA der Firma 10 Millionen US-Dollar dafür bezahlt hatte. Die Firma RSA richtet die Konferenz aus, auf der nun Ghidra vorgestellt wurde.

Auch der NSA-Verschlüsselungsalgorithmus Speck wurde nach Kritik aus dem Linux-Kernel entfernt. Dieser war ursprünglich von Google für die Aufnahme in den Kernel vorgeschlagen worden, um auch auf leistungsschwachen Geräten, wie Smartphones mit Android Go, eine Systemverschlüsselung zu ermöglichen.



Anzeige
Top-Angebote
  1. ab 529,00€ (bei o2online.de)
  2. 1745,00€
  3. 64,89€
  4. 3,74€

Kondom 08. Mär 2019 / Themenstart

Oder gibt es eine andere Erklärung warum die NSA den Quelltext veröffentlicht?

misfit 08. Mär 2019 / Themenstart

Die Diskussion führt doch zu nichts. Wenn der Staat das Produkt oder Dienstleistung nicht...

barxxo 07. Mär 2019 / Themenstart

...auch wenn sie Geschenke bringen

brotiger 07. Mär 2019 / Themenstart

...die Umstellung auf 64-Bit-Pointer und die Optimierung für SIMD-Einheiten dürften...

mtr (golem.de) 07. Mär 2019 / Themenstart

Hallo multivac, vielen Dank für den Hinweis - ist korrigiert. Viele Grüße Moritz

Kommentieren


Folgen Sie uns
       


HMD zeigt das Nokia 210 (MWC 2019)

Das Nokia 210 ist ein 2,5G Featurephone.

HMD zeigt das Nokia 210 (MWC 2019) Video aufrufen
Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

XPS 13 (9380) im Test: Dell macht's ohne Frosch und Spiegel
XPS 13 (9380) im Test
Dell macht's ohne Frosch und Spiegel

Und wir dachten, die Kamera wandert nach oben und das war es - aber nein: Dell hat uns überrascht und das XPS 13 (9380) dort verbessert, wo wir es nicht erwartet hätten, wohl aber erhofft haben.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Mit Ubuntu Dell XPS 13 mit Whiskey Lake als Developer Edition verfügbar
  2. XPS 13 (9380) Dell verabschiedet sich von Froschkamera

    •  /