• IT-Karriere:
  • Services:

NSA-Tool Ghidra: Mächtiges Tool, seltsamer Fehler

Mit der Software könnte die NSA richtig Geld verdienen, stattdessen veröffentlicht sie das Reverse-Engineering-Tool Ghidra als freie Software. Eine Backdoor gibt es ausdrücklich nicht, ein Sicherheitsforscher hat aber eine "Bugdoor" gefunden.

Artikel veröffentlicht am ,
Logo der Reverse-Engineering-Software Ghidra
Logo der Reverse-Engineering-Software Ghidra (Bild: NSA)

Der US-amerikanische Überwachungsgeheimdienst NSA (National Security Agency) hat ein Reverse-Engineering-Tool als Open-Source-Software veröffentlicht. Rob Joyce, Referent für Cybersicherheit bei der NSA, hat das Tool mit dem Namen Ghidra am 5. März 2019 auf der Sicherheitskonferenz RSA vorgestellt. Vergleichbares gab es bisher nur als teure Closed-Source-Software. "Es gibt keine Hintertür in Ghidra", betont er. Doch der Sicherheitsforscher Matthew Hickey fand laut dem Onlinmagazin The Register dennoch einen merkwürdigen Port.

Stellenmarkt
  1. Weisenburger Bau GmbH, Karlsruhe
  2. Der Polizeipräsident in Berlin, Berlin

Im Debug-Modus öffne die Software den Port 18001. An diesen könnten über das lokale Netzwerk Befehle gesendet werden, die auf dem Rechner ausgeführt würden. Der Debug-Modus wird standardmäßig nicht aktiviert. Sicherheitsforscher und Entwickler, die die Software im Debug-Mode starten, um sie beispielsweise zu verbessern oder Probleme zu beheben, sollten jedoch über das Verhalten Bescheid wissen - und es gegebenenfalls deaktivieren.

Keine Backdoor, sondern Bugdoor

In der Datei support/launch.sh müsse in Codezeile 150 nur das * durch 127.0.0.1 ersetzt werden, um nur noch lokale Befehle und keine Remote-Befehle mehr auszuführen, twittert Hickey. Eine richtige Hintertür vermutet er dahinter jedoch nicht und spricht vielmehr von einem Fehler, einer Bugdoor.

Ein NSA-Sprecher erklärte The Register, der offene Port diene dem Austausch von Nachrichten und dem kolaborativen Zusammenarbeiten. Hickey entgegnete, dass für diesen Zweck bereits ein anderer Port (13100) geöffnet würde.

Der eigentliche Zweck der Software ist jedoch die Analyse von Binärdateien. Ghidra kann maschinenlesbaren Code dekompilieren und so für die menschliche Analyse zugänglich machen. Auf diese Weise kann eine Software und deren Schnittstellen verstanden und nachgebaut werden. Ghidra steht unter der Apache-2.0-Lizenz und benötigt eine Java-Laufzeitumgebung. Sie läuft auf Windows, Linux und MacOS. Die Software kann durch Java und Python-Plugins erweitert und auf der NSA-Webseite heruntergeladen werden.

Bisher setzen Sicherheitsforscher häufig auf die Software IDA, die mit ähnlichen Funktionen wie Ghidra aufwartet. Diese ist jedoch Closed Source und teuer. Durch seinen Funktionsumfang und die Erweiterungsmöglichkeiten über Plugins, dürfte das mächtige Tool, das Leben vieler Forscher erleichtern. Mit dem Tool lässt sich beispielsweise binäre Schadsoftware analysieren.

Tools und Standards der NSA sind umstritten

Auch andere Open-Source-Tools stammen von der NSA, beispielsweise SELinux (Security Enhanced Linux), eine Erweiterung des Linux-Kernels, über das Zugriffskontrollen implementiert und Programme abgeschottet werden können. Es kommt beispielsweise bei der Distribution Fedora standardmäßig zum Einsatz.

Durch die NSA erstellte Software ist jedoch nicht unumstritten. 2012 standardisierte die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) den Zufallszahlengenerator Dual EC DRBG. Dieser wurde von der NSA entwickelt. Sicherheitsforscher gehen davon aus, dass der Zufallszahlengenerator eine Hintertür enthält. Das Nist bestätigte die Hintertür 2013 zwar nicht direkt, zog den Standard jedoch zurück. Ausgerechnet in einer Software der Firma RSA kam der Zufallszahlengenerator standardmäßig zum Einsatz - nachdem die NSA der Firma 10 Millionen US-Dollar dafür bezahlt hatte. Die Firma RSA richtet die Konferenz aus, auf der nun Ghidra vorgestellt wurde.

Auch der NSA-Verschlüsselungsalgorithmus Speck wurde nach Kritik aus dem Linux-Kernel entfernt. Dieser war ursprünglich von Google für die Aufnahme in den Kernel vorgeschlagen worden, um auch auf leistungsschwachen Geräten, wie Smartphones mit Android Go, eine Systemverschlüsselung zu ermöglichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 19,98€ (nach 1 Monat 9,99€/Monat für Amazon Music Unlimited - frühestens zum Ende des ersten...
  2. (aktuell u. a. LG-Fernseher günstiger (u. a. LG 49UN73906LE (Modelljahr 2020) für 449€), Eufy...
  3. (u. a. "Alles fürs Lernen zuhause!" und "Cooler Sommer, heiße Preise" und )
  4. (u. a. Mount & Blade II - Bannerlord für 28,99€, Resident Evil 3 (2020) für 24,99€, Detroit...

Kondom 08. Mär 2019

Oder gibt es eine andere Erklärung warum die NSA den Quelltext veröffentlicht?

misfit 08. Mär 2019

Die Diskussion führt doch zu nichts. Wenn der Staat das Produkt oder Dienstleistung nicht...

barxxo 07. Mär 2019

...auch wenn sie Geschenke bringen

brotiger 07. Mär 2019

...die Umstellung auf 64-Bit-Pointer und die Optimierung für SIMD-Einheiten dürften...

mtr (golem.de) 07. Mär 2019

Hallo multivac, vielen Dank für den Hinweis - ist korrigiert. Viele Grüße Moritz


Folgen Sie uns
       


Streamen und Aufnehmen in OBS Studio - Tutorial

Wir erläutern in einem kurzen Video die Grundfunktionen von OBS-Studio.

Streamen und Aufnehmen in OBS Studio - Tutorial Video aufrufen
PB60: Adminpasswort auf Asus-Rechnern wirkungslos
PB60
Adminpasswort auf Asus-Rechnern wirkungslos

Rechner aus der PB60-Serie hätten sehr leicht unbrauchbar gemacht werden können.
Eine Recherche von Hanno Böck

  1. Vivobook Flip 14 Asus-Convertible verwendet AMD Renoir ab 600 US-Dollar
  2. Asus 43-Zoll-Monitor hat HDMI 2.1 für die kommenden Konsolen
  3. ROG Phone 3 im Test Das Hardware-Monster nicht nur für Gamer

Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann


    Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
    Threat-Actor-Expertin
    Militärisch, stoisch, kontrolliert

    Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
    Ein Porträt von Maja Hoock

    1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
    2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
    3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

      •  /