Die National Security Agency (NSA) hat intern eine ganze Sammlung von Tools zur Software-Analyse entwickeln lassen und im Einsatz. Es gibt jetzt Anzeichen, dass ein Reverse Engineering Tool mit dem Namen GHIDRA für die Allgemeinheit freigegeben werden könnte. Ergänzung: Das Ganze ist wohl bestätigt und soll demnächst passieren. Details nachgetragen.
Anzeige
Ein Reverse Engineering Tool Namens GHIDRA
Die Information ist für Leute interessant, die sich mit Reverse Engineering von Software befassen. Dort kommen Tools wie ein Interactive Disassembler (IDA) zum Einsatz, um den Programmcode zu analysieren. Auch bei der Malware-Analyse greift man zu solchen Tools. Tavis Ormandy, Sicherheitforscher beim Projekt Zero von Google weist in einem Tweet auf eine interessante Diskussion hin.
Interesting thread about a reverse engineering IDA-like tool the NSA are apparently planning to open source soon. Fingers crossed this shakes up the RE ecosystem https://t.co/jAqgjNZcVn
— Tavis Ormandy (@taviso) 4. Januar 2019
Im verlinkten reddit.com-Thread findet sich die Information, dass die NSA das eigene Tool bereits seit längerem mit US-Behörden teilt. Und es könnte das Tool bald als OpenSource für die Öffentlichkeit geben.
Ergänzung: Im März 2019 wird es soweit sein
Der Beitrag wurde am Samstag zur Veröffentlichung am Sonntag verfasst. Die Nacht bin ich auf diesen ZDNet.com-Artikel gestoßen. Catalin Cimpanu hat weitere Details zum Thema herausgefunden und veröffentlicht.
Anzeige
Die US National Security Agency (NSA) wird auf der kommenden RSA-Sicherheitskonferenz, die Anfang März 2019 in San Francisco stattfindet, ein kostenloses Reverse Engineering-Tool veröffentlichen. Bei GHIDRA handelt es sich um einen Disassembler, eine Software, die ausführbare Dateien in Assembler-Code zerlegt, der dann von Menschen analysiert werden kann.
Die NSA hat GHIDRA Anfang der 2000er Jahre entwickelt, und in den letzten Jahren mit den Cyber-Security-Teams anderer US-Regierungsbehörden geteilt. Die Existenz von GHIDRA war nie geheim. Die Welt erfuhr davon im März 2017, als WikiLeaks Vault7, eine Sammlung von internen Dokumentationsdateien, veröffentlichte. Diese Dokumente zeigten, dass die CIA Zugang zu dem Tool hatte.
Gemäß diesen Dokumenten ist GHIDRA in Java kodiert, verfügt über eine grafische Benutzeroberfläche (GUI) und funktioniert unter Windows, Mac und Linux. GHIDRA kann auch Binärdateien für alle gängigen Betriebssysteme wie Windows, Mac, Linux, Android und iOS analysieren. Eine modulare Architektur ermöglicht es Benutzern, Pakete hinzuzufügen, falls sie zusätzliche Funktionen benötigen.
Laut der Beschreibung von GHIDRA in der Einführung zur RSA-Konferenz beinhaltet das Tool "alle Funktionen, die von hochwertigen kommerziellen Tools erwartet werden, mit neuen und erweiterten Funktionen, die die NSA speziell entwickelt hat". Mitarbeiter der US-Regierung, mit denen ZDNet gesprochen hat, sagten, dass das Tool bekannt und beliebt sei und im Allgemeinen verwendet werde, um Malware in Regierungsnetzwerken zu analysieren.
Einige Leute, die das Tool kennen und Informationen über HackerNews, Reddit und Twitter geteilt haben, verglichen GHIDRA mit IDA, einem bekannten Reverse-Engineering-Tool. Letzteres erfordert aber Lizenzen im Wert von Tausenden von Dollar.
Die meisten Anwender sagen, dass GHIDRA langsamer und fehlerhafter als IDA sei. Durch das Open-Sourcing profitiert die NSA von der kostenlosen Wartung durch die Open-Source-Community, so dass GHIDRA das Tool IDA schnell einholen und vielleicht sogar übertreffen kann. Weitere Infos lassen sich bei ZDNet.com nachlesen.
Anzeige
borncity [.] com liefert eine leere Seite? Blog (/blog) scheint nicht betroffen.
Danke – ist behoben – siehe https://www.borncity.com/blog/2019/01/07/windows-7-malwarebytes-verursacht-sporadische-freezes/#comment-67068
Frohes Neues!
Ein kostenloses Tool der NSA? Solange ich nicht weiß welche Daten (im Hintergrund) an wen übertragen werden, würde ich mir das sehr genau überlegen…
Theo
an wen werden denn da wohl, wenn, Daten übertragen, hmmm?!
kleiner Tip, die lokale Kirchengemeinde wirds eher nicht sein… ;)
wenn es denn lokal überhaupt Daten hat, des es wert sind, für die nsa abgeschnorchelt zu werden.