NSA macht das Tool Ghidra öffentlich zugänglich

Die amerikanische National Security Agency hat eines ihrer internen Werkzeuge öffentlich zugänglich gemacht: Das Reverse-Engineering-Tool Ghidra kann nun von der Öffentlichkeit kostenlos genutzt und angepasst werden.

Ein eher überraschender Schritt von einem Auslandsgeheimdienst, der vor allem dafür bekannt ist, jahrelang den Zero-Day-Exploit EternalBlue ausgenutzt zu haben. Dieser Exploit wurde anschließend für Angriffe von WannaCry und Petya missbraucht.

Wie das Trennen von LEGO-Steinen

Wie wir seit den Vault-7-Enthüllungen von WikiLeaks im März 2017 wissen, ist Ghidra eine Reverse-Engineering-Plattform, die Software in ihre Einzelteile zerlegen kann. Wenn Sie sich Software als LEGO-Modell vorstellen, hilft Ghidra dabei, dieses Modell in seine einzelnen Bauteile und Schichten zu zerlegen. Ghidra entschlüsselt außerdem, an welcher Stelle die Teile auf welche Weise zusammengesetzt wurden und liefert so einen Bauplan in umgekehrter Reihenfolge.

Anders als die Tools, die bisher frei zugänglich gemacht wurden, gilt Ghidra als Verteidigungswerkzeug. Ghidra zerlegt Software, anstatt sie hinterhältig anzugreifen. Als kostenloses und einfach zugängliches Tool wird Ghidra jedoch mit Sicherheit von allen möglichen Entwicklern und Hackern für ihre Aufgaben genutzt – sowohl von den harmlosen als auch von den weniger harmlosen. Herunterladen können Sie das Tool hier.

Avira macht Ghidra-Probefahrt

Avira-Analyst Shahab Hamzeloofard hat mit Ghidra eine virtuelle Spritztour um den Block gemacht und die Plattform als „interessant“ befunden. „Zu Ghidras interessantesten Funktionen gehören der Code-Browser, ein geeigneter Dekompilierer für alle unterstützen Prozessoren, und die Collaboration-Fähigkeiten“, sagt Hamzeloofard. „Meiner Meinung nach ist IDA das einzige vergleichbare Reverse-Engineering-Tool.“

Mit IDA hat Ghidra allerdings bereits professionelle Konkurrenz. „Im Vergleich zu IDA hat Ghidra keinen Debugger. Außerdem unterstützt IDA mehr Module und File Loader“, ergänzt er. „IDA ist in der Reverse-Engineering-Community bereits sehr verbreitet, für das Tool gibt es verschiedene Plug-ins und Support. Dementsprechend ist ein Wechsel zu Ghidra nicht so einfach.“

Open Source, Open Door?

Die bisher bestgehütete komplette Plattform für NSA-Analysten wird als neues Open-Source-Projekt eine dramatische Wandlung durchmachen. Ab jetzt kann jeder Software-Entwickler das Tool nutzen, anpassen und sogar zur Verbesserung des Codes beitragen. Andere bekannte Open-Source-Projekte sind der Apache HTTP Server, das Betriebssystem GNU/Linux, LibreOffice, die Browser Mozilla Firefox und Chromium und der Windows Calculator.

In der Sicherheitsbranche wird kontrovers diskutiert, ob Ghidra einen einfachen Programmfehler oder sogar eine absichtliche Hintertür hat, über die die NSA einsehen kann, was User mit dem Tool machen. Eine Hintertür in einem öffentlich zugänglichen Open-Source-Projekt zu verstecken, gefährdet sowohl die Funktionalität des Tools als auch den Ruf der NSA. „Meiner Meinung nach ist die Aufregung um die Hintertür übertrieben. Ich glaube nicht, dass es sich wirklich um eine Hintertür handelt. Für mich sieht es eher wie ein kleiner Bug aus“, sagt Hamzeloofard.

Die NSA und der Dienst an der Öffentlichkeit

Der Schritt, Ghidra zu einem Open-Source-Projekt zu machen, ist eine riesige Veränderung. Im Grunde bedeutet das, dass sich die NSA sicher genug fühlt, um ihr internes Tool der breiten Masse zur Verfügung zu stellen. Außerdem ist es ein kluger PR-Schachzug, um das durch Zero-Day-Exploits und abgehörte Telefongespräche angekratzte Image des Auslandsgeheimdienstes aufzupolieren. Schließlich trägt Ghidra dazu bei, die Welt etwas sicherer zu machen. Und nicht zuletzt sorgt die NSA so für Nachwuchskräfte, die ihr Reverse-Engineering-Tool bereits bei der Einstellung beherrschen.

Aus wirtschaftlicher Sicht senkt es zudem die Kosten für das Zerlegen von Software. Außer Ghidra sind für Privatpersonen und Firmen nur einige andere, meist aber kostspielige Tools erhältlich. Laut Axios trägt eine verbesserte Verfügbarkeit solcher Tools dazu bei, allen Anwendern eine Möglichkeit zur Sicherheitsforschung zu geben.

Die Geschichte hinter Name und Logo

Ghidra ist eine Figur aus dem Computerspiel Final Fantasy. Anscheinend handelt es sich um eine falsche Übersetzung des Namens Hydra aus der griechischen Mythologie.

Das NSA-Logo für Ghidra zeigt eine Schlange mit Drachenkopf in Form eines Unendlichkeitssymbols. Das Tier beißt sich in den eigenen Schwanz, der aus Binärcode besteht. Und ja, dieser Code hat eine Bedeutung. Er steht für die traditionellen ersten Worte der Programmierer: „Hello world.“

Dieser Artikel ist auch verfügbar in: Englisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.