Das Analyse-Tool Ghidra ist der interessierten Öffentlichkeit spätestens seit den Vault 7 genannten Wikileaks-Enthüllungen vom Frühjahr 2017 ein Begriff. Dabei handelt es sich um ein Reverse-Engineering-Werkzeug, das mindestens genauso gut funktionieren soll wie das kommerzielle Standard-Tool der Reverse-Engineering-Branche IDA Pro. Jetzt hat die NSA auf der RSA-Sicherheitskonferenz in San Francisco die Geheimdienstsoftware als Open-Source-Projekt angekündigt – kostenlos zum Download, wie Heise Online berichtet.
NSA-Tool Ghidra: Community zweifelt an hehren Motiven der Veröffentlichung
Neben Softwareentwicklern sollen laut dem hochrangigen NSA-Beamten Rob Joyce, der das Toolkit vorgestellt hat, von Ghidra auch Sicherheitsforscher bei der Analyse von Schadsoftware profitieren. Die Meinungen der Entwickler sind gespalten. Auf der einen Seite wird das Toolkit für macOS, Windows und Linux als mächtiges Werkzeug zur Softwareanalyse und mindestens gleichwertig mit dem kostspieligen IDA Pro gehandelt. Auf der anderen Seite zweifelt die Community wenig verwunderlich an den hehren Motiven des US-Geheimdienstes.
Joyce versuchte auf der Konferenz, die Bedenken der anwesenden Sicherheitsexperten zu zerstreuen – das Tool enthalte keine versteckten Hintertüren. Und tatsächlich wäre es etwas seltsam, wenn die NSA versuchen würde, ausgerechnet jenen Experten eine solche Sicherheitslücke unterzuschmuggeln, die auf das Aufspüren genau dieser Dinge spezialisiert sind.
Allerdings hat der britische Sicherheitsexperte Matthew Hickey laut The Register schon eine Unregelmäßigkeit gefunden. Im Debug-Modus öffne das Programm Port 18001 des lokalen Netzwerks und erlaube die Ausführung von Befehlen von jedem Gerät aus, das sich in dem Netzwerk befinde, so Hickey. Das Feature sei aber nicht voreingestellt, die Lücke lasse sich zudem vergleichsweise einfach fixen.
Obwohl es sich dabei eher um einen unbeabsichtigten Fehler als eine bewusst eingebaute Hintertür handeln dürfte, ist ein solcher Bug natürlich nicht dazu geeignet, das Vertrauen in die NSA-Software zu erhöhen. Wie mächtig das Tool vor allem im Vergleich zu IDA Pro ist, muss sich erst noch erweisen. Einen ersten Einblick in das Toolkit bietet der Malwaretechblog in einem Twitch-Stream.