NSA-Tool Ghidra: Mächtiges Tool, seltsamer Fehler

Mit der Software könnte die NSA richtig Geld verdienen, stattdessen veröffentlicht sie das Reverse-Engineering-Tool Ghidra als freie Software. Eine Backdoor gibt es ausdrücklich nicht, ein Sicherheitsforscher hat aber eine "Bugdoor" gefunden.

Artikel veröffentlicht am ,
Logo der Reverse-Engineering-Software Ghidra
Logo der Reverse-Engineering-Software Ghidra (Bild: NSA)

Der US-amerikanische Überwachungsgeheimdienst NSA (National Security Agency) hat ein Reverse-Engineering-Tool als Open-Source-Software veröffentlicht. Rob Joyce, Referent für Cybersicherheit bei der NSA, hat das Tool mit dem Namen Ghidra am 5. März 2019 auf der Sicherheitskonferenz RSA vorgestellt. Vergleichbares gab es bisher nur als teure Closed-Source-Software. "Es gibt keine Hintertür in Ghidra", betont er. Doch der Sicherheitsforscher Matthew Hickey fand laut dem Onlinmagazin The Register dennoch einen merkwürdigen Port.

Stellenmarkt
  1. IT-Architekt*in für IT-Security - Zero Trust Architecture und Cloud Security (w/m/d)
    Landeshauptstadt München, München
  2. Softwareentwickler IoT (m/w/d)
    Pfeiffer Vacuum GmbH, Aßlar
Detailsuche

Im Debug-Modus öffne die Software den Port 18001. An diesen könnten über das lokale Netzwerk Befehle gesendet werden, die auf dem Rechner ausgeführt würden. Der Debug-Modus wird standardmäßig nicht aktiviert. Sicherheitsforscher und Entwickler, die die Software im Debug-Mode starten, um sie beispielsweise zu verbessern oder Probleme zu beheben, sollten jedoch über das Verhalten Bescheid wissen - und es gegebenenfalls deaktivieren.

Keine Backdoor, sondern Bugdoor

In der Datei support/launch.sh müsse in Codezeile 150 nur das * durch 127.0.0.1 ersetzt werden, um nur noch lokale Befehle und keine Remote-Befehle mehr auszuführen, twittert Hickey. Eine richtige Hintertür vermutet er dahinter jedoch nicht und spricht vielmehr von einem Fehler, einer Bugdoor.

Ein NSA-Sprecher erklärte The Register, der offene Port diene dem Austausch von Nachrichten und dem kolaborativen Zusammenarbeiten. Hickey entgegnete, dass für diesen Zweck bereits ein anderer Port (13100) geöffnet würde.

Golem Karrierewelt
  1. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    23.-25.11.2022, Virtuell
  2. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    19./20.12.2022, Virtuell
Weitere IT-Trainings

Der eigentliche Zweck der Software ist jedoch die Analyse von Binärdateien. Ghidra kann maschinenlesbaren Code dekompilieren und so für die menschliche Analyse zugänglich machen. Auf diese Weise kann eine Software und deren Schnittstellen verstanden und nachgebaut werden. Ghidra steht unter der Apache-2.0-Lizenz und benötigt eine Java-Laufzeitumgebung. Sie läuft auf Windows, Linux und MacOS. Die Software kann durch Java und Python-Plugins erweitert und auf der NSA-Webseite heruntergeladen werden.

Bisher setzen Sicherheitsforscher häufig auf die Software IDA, die mit ähnlichen Funktionen wie Ghidra aufwartet. Diese ist jedoch Closed Source und teuer. Durch seinen Funktionsumfang und die Erweiterungsmöglichkeiten über Plugins, dürfte das mächtige Tool, das Leben vieler Forscher erleichtern. Mit dem Tool lässt sich beispielsweise binäre Schadsoftware analysieren.

Tools und Standards der NSA sind umstritten

Auch andere Open-Source-Tools stammen von der NSA, beispielsweise SELinux (Security Enhanced Linux), eine Erweiterung des Linux-Kernels, über das Zugriffskontrollen implementiert und Programme abgeschottet werden können. Es kommt beispielsweise bei der Distribution Fedora standardmäßig zum Einsatz.

Durch die NSA erstellte Software ist jedoch nicht unumstritten. 2012 standardisierte die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) den Zufallszahlengenerator Dual EC DRBG. Dieser wurde von der NSA entwickelt. Sicherheitsforscher gehen davon aus, dass der Zufallszahlengenerator eine Hintertür enthält. Das Nist bestätigte die Hintertür 2013 zwar nicht direkt, zog den Standard jedoch zurück. Ausgerechnet in einer Software der Firma RSA kam der Zufallszahlengenerator standardmäßig zum Einsatz - nachdem die NSA der Firma 10 Millionen US-Dollar dafür bezahlt hatte. Die Firma RSA richtet die Konferenz aus, auf der nun Ghidra vorgestellt wurde.

Auch der NSA-Verschlüsselungsalgorithmus Speck wurde nach Kritik aus dem Linux-Kernel entfernt. Dieser war ursprünglich von Google für die Aufnahme in den Kernel vorgeschlagen worden, um auch auf leistungsschwachen Geräten, wie Smartphones mit Android Go, eine Systemverschlüsselung zu ermöglichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Kondom 08. Mär 2019

Oder gibt es eine andere Erklärung warum die NSA den Quelltext veröffentlicht?

misfit 08. Mär 2019

Die Diskussion führt doch zu nichts. Wenn der Staat das Produkt oder Dienstleistung nicht...

barxxo 07. Mär 2019

...auch wenn sie Geschenke bringen

brotiger 07. Mär 2019

...die Umstellung auf 64-Bit-Pointer und die Optimierung für SIMD-Einheiten dürften...



Aktuell auf der Startseite von Golem.de
Core-i-13000
Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
Artikel
  1. Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
    Ukrainekrieg
    Meta stoppt ausgefeilte russische Desinformationskampagne

    Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

  2. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

  3. Ukrainekrieg: Ericsson entlässt seine Beschäftigten in Russland
    Ukrainekrieg
    Ericsson entlässt seine Beschäftigten in Russland

    Der Konzernchef kündigt das Ende des Betriebs in Russland an. Bislang profitierte Ericsson von Ausnahmeregelungen von den Exportsanktionen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /