Am 5.3.2019 wurde das lange erwartete Reverse Engineering Tool des US-Geheimdienstes NSA auf der RSA Conference vorgestellt. Unser Head of Product Management Dr. Yvonne Bernard war live vor Ort dabei und schildert hier ihre Eindrücke.


Ghidra! – selbst unser Security Lab ist gespannt, was das Tool, das die NSA als “Open Source Software” veröffentlichen wird, mitbringt. Reverse Engineering Tools sind rar und hochpreisig – für Security Researcher und Malware Analysten aber unerlässlich um verdächtigen Dateien auf den Zahn zu fühlen. Der Andrang zum Vortrag von Rob Joyce, Senior Advisor for Cybersecurity (NSA), war entsprechend groß, sodass der Vortragsraum vergrößert werden musste. Rob Joyce startete seinen Vortrag mit einer Prise Humor, denn er stellte fest, dass die Hälfte der Zuschauer doch nur dabei sei, weil “NSA” im Titel stand.
Direkt eingehend stellte er klar, das Tool habe keine Backdoor; wenn es eine Community gebe in der man es sich nicht erlauben könne, dann sei es diese. Gegebenenfalls anders als bei offenen Betriebssystemen – „Each of your Android phones has a little bit of NSA in it“. Erste Stimmen im Netz wiederlegen jedoch die Aussage zu fehlenden Hintertüren bei Ghidra – derzeit ist der Java Debug-Port im Gespräch.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Ghidra bietet eine große Bandbreite von nützlichen Funktionen für Security Researcher und es ist für kollaborative Nutzung ausgelegt: Analysten können auf Projektbasis zusammenarbeiten und Informationen einfach und weltweit teilen. Dies ist eines der Ziele die sich der Geheimdienst mit der Veröffentlichung setzte.
Durch die einfache Erweiterbarkeit können Forscher eigene Tools ergänzen und eigene kleine Programme z. B. in Java oder Python einbinden.
Ein generisches Prozessormodell (Sleigh) im Hintergrund ermöglicht es, bei Veränderungen einzelner Stellen im Binary in allen Schichten direkt die Auswirkungen zu sehen und somit fremde Software besser zu verstehen. Neben dem interaktiven Benutzer-Interface sind auch Batch Jobs möglich, um große Mengen von Analysen gleichzeitig parallel auszuführen.

Ein wichtiges Feature ist die Undo/Redo-Funktion, mit der bestimmte Aktionen rückgängig gemacht werden können, ohne die kompletten Analyseergebnisse zu verstehen. Zudem kann man damit auch Aktionen auf andere Samples übertragen.
Der erste Eindruck des Tools ist sehr vielversprechend, trotzdem wird die Software bei Hornetsecurity allenfalls in isolierten gesicherten Umgebungen nur auf Datenbeispiele, die hierfür geeignet sind, getestet – denn etwas Skepsis bleibt.

Bilder vom Vortrag der NSA über Ghidra