NSA-Tool Ghidra: Mächtiges Tool, seltsamer Fehler

Mit der Software könnte die NSA richtig Geld verdienen, stattdessen veröffentlicht sie das Reverse-Engineering-Tool Ghidra als freie Software. Eine Backdoor gibt es ausdrücklich nicht, ein Sicherheitsforscher hat aber eine "Bugdoor" gefunden.

Artikel veröffentlicht am ,
Logo der Reverse-Engineering-Software Ghidra
Logo der Reverse-Engineering-Software Ghidra (Bild: NSA)

Der US-amerikanische Überwachungsgeheimdienst NSA (National Security Agency) hat ein Reverse-Engineering-Tool als Open-Source-Software veröffentlicht. Rob Joyce, Referent für Cybersicherheit bei der NSA, hat das Tool mit dem Namen Ghidra am 5. März 2019 auf der Sicherheitskonferenz RSA vorgestellt. Vergleichbares gab es bisher nur als teure Closed-Source-Software. "Es gibt keine Hintertür in Ghidra", betont er. Doch der Sicherheitsforscher Matthew Hickey fand laut dem Onlinmagazin The Register dennoch einen merkwürdigen Port.

Stellenmarkt
  1. Data Analyst (m/w/d) Schwerpunkt Marketing und Sales
    Verlag Heinz Heise GmbH & Co. KG, Hannover
  2. Systemadministrator*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
Detailsuche

Im Debug-Modus öffne die Software den Port 18001. An diesen könnten über das lokale Netzwerk Befehle gesendet werden, die auf dem Rechner ausgeführt würden. Der Debug-Modus wird standardmäßig nicht aktiviert. Sicherheitsforscher und Entwickler, die die Software im Debug-Mode starten, um sie beispielsweise zu verbessern oder Probleme zu beheben, sollten jedoch über das Verhalten Bescheid wissen - und es gegebenenfalls deaktivieren.

Keine Backdoor, sondern Bugdoor

In der Datei support/launch.sh müsse in Codezeile 150 nur das * durch 127.0.0.1 ersetzt werden, um nur noch lokale Befehle und keine Remote-Befehle mehr auszuführen, twittert Hickey. Eine richtige Hintertür vermutet er dahinter jedoch nicht und spricht vielmehr von einem Fehler, einer Bugdoor.

Ein NSA-Sprecher erklärte The Register, der offene Port diene dem Austausch von Nachrichten und dem kolaborativen Zusammenarbeiten. Hickey entgegnete, dass für diesen Zweck bereits ein anderer Port (13100) geöffnet würde.

Golem Akademie
  1. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  2. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
  3. Online-Sprachkurse mit Golem & Gymglish
    Kurze Lektionen, die funktionieren
Weitere IT-Trainings

Der eigentliche Zweck der Software ist jedoch die Analyse von Binärdateien. Ghidra kann maschinenlesbaren Code dekompilieren und so für die menschliche Analyse zugänglich machen. Auf diese Weise kann eine Software und deren Schnittstellen verstanden und nachgebaut werden. Ghidra steht unter der Apache-2.0-Lizenz und benötigt eine Java-Laufzeitumgebung. Sie läuft auf Windows, Linux und MacOS. Die Software kann durch Java und Python-Plugins erweitert und auf der NSA-Webseite heruntergeladen werden.

Bisher setzen Sicherheitsforscher häufig auf die Software IDA, die mit ähnlichen Funktionen wie Ghidra aufwartet. Diese ist jedoch Closed Source und teuer. Durch seinen Funktionsumfang und die Erweiterungsmöglichkeiten über Plugins, dürfte das mächtige Tool, das Leben vieler Forscher erleichtern. Mit dem Tool lässt sich beispielsweise binäre Schadsoftware analysieren.

Tools und Standards der NSA sind umstritten

Auch andere Open-Source-Tools stammen von der NSA, beispielsweise SELinux (Security Enhanced Linux), eine Erweiterung des Linux-Kernels, über das Zugriffskontrollen implementiert und Programme abgeschottet werden können. Es kommt beispielsweise bei der Distribution Fedora standardmäßig zum Einsatz.

Durch die NSA erstellte Software ist jedoch nicht unumstritten. 2012 standardisierte die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) den Zufallszahlengenerator Dual EC DRBG. Dieser wurde von der NSA entwickelt. Sicherheitsforscher gehen davon aus, dass der Zufallszahlengenerator eine Hintertür enthält. Das Nist bestätigte die Hintertür 2013 zwar nicht direkt, zog den Standard jedoch zurück. Ausgerechnet in einer Software der Firma RSA kam der Zufallszahlengenerator standardmäßig zum Einsatz - nachdem die NSA der Firma 10 Millionen US-Dollar dafür bezahlt hatte. Die Firma RSA richtet die Konferenz aus, auf der nun Ghidra vorgestellt wurde.

Auch der NSA-Verschlüsselungsalgorithmus Speck wurde nach Kritik aus dem Linux-Kernel entfernt. Dieser war ursprünglich von Google für die Aufnahme in den Kernel vorgeschlagen worden, um auch auf leistungsschwachen Geräten, wie Smartphones mit Android Go, eine Systemverschlüsselung zu ermöglichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Kondom 08. Mär 2019

Oder gibt es eine andere Erklärung warum die NSA den Quelltext veröffentlicht?

misfit 08. Mär 2019

Die Diskussion führt doch zu nichts. Wenn der Staat das Produkt oder Dienstleistung nicht...

barxxo 07. Mär 2019

...auch wenn sie Geschenke bringen

brotiger 07. Mär 2019

...die Umstellung auf 64-Bit-Pointer und die Optimierung für SIMD-Einheiten dürften...

mtr (golem.de) 07. Mär 2019

Hallo multivac, vielen Dank für den Hinweis - ist korrigiert. Viele Grüße Moritz



Aktuell auf der Startseite von Golem.de
Computerspiele
Geniale Geheimtipps von Atomkraft bis Alltag

Radioaktive Abenteuer in Chernobylite und der (vermeintliche) Alltag in The Last Stop: Golem.de stellt ungewöhnliche Spiele-Neuheiten vor.
Von Rainer Sigl

Computerspiele: Geniale Geheimtipps von Atomkraft bis Alltag
Artikel
  1. Unite: Pokémon erobern mehr Plattformen
    Unite
    Pokémon erobern mehr Plattformen

    Jetzt ist Pokémon Unite auch für Smartphones und Tablets erhältlich. Das Pokémon Trading Card Game soll für Windows-PC und MacOS erscheinen.

  2. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

  3. Malware: Mehrere Kliniken nach Hackerangriff vom Netz genommen
    Malware
    Mehrere Kliniken nach Hackerangriff vom Netz genommen

    Neben den Kliniken seien auch Bildungseinrichtungen von dem Malware-Angriff betroffen. Sicherheitshalber wird nun mit Papier und Stift gearbeitet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 & Xbox Series X bestellbar • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Nintendo Switch OLED 359,99€ + Metroid Dread 411,98€ • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) [Werbung]
    •  /