Ghidra: NSA will Reverse-Engineering-Werkzeug als Open Source veröffentlichen

Kommerzielle Programmierer- und Hackerwerkzeuge wie IDA, mit denen sich die binär kodierte Maschinensprache einer Software in eine für Menschen lesbarere Assemblersprache umwandeln und so untersuchen lässt, sind mit Lizenzpreisen von über 1000 US-Dollar recht teuer. Eine Gratis-Alternative will die National Security Agency (NSA) im Rahmen der IT-Sicherheitskonferenz der Verschlüsselungsfirma RSA Anfang März in San Francisco online verfügbar machen. Dabei handelt es sich um den Disassembler Ghidra, den der US-Geheimdienst in den frühen 2000er-Jahren entwickelte und inzwischen schon mit anderen Regierungsbehörden teilt.

Reverse Engineering mit Ghidra

Robert Joyce, Berater des NSA-Präsidenten in Fragen der Cybersicherheit, preist die Software im Programm der RSA-Konferenz als "kostenloses Reverse-Engineering-Werkzeug" an. Er werde Ghidra, das unter verschiedenen Betriebssystemen wie Windows, macOS oder Linux laufe und über eine einfach bedienbare, grafische Benutzerschnittstelle verfüge, vor Ort erstmals öffentlich vorführen. Die Plattform enthalte "alle Funktionen", die man bei Profi-Werkzeugen für die Analyse von Quellcode erwarte. Dazu kämen "neue und erweiterte Funktionen, die die NSA in einzigartiger Form entwickelt hat".

Dass Ghidra existiert und ein angeblich "cooles" Werkzeug ist, weiß die interessierte Fachöffentlichkeit spätestens seit den "Vault 7"-Enthüllungen von Wikileaks im März 2017. Neben Angriffswerkzeugen und anderer Malware aus dem Fundus der CIA befand sich darunter auch die Reverse-Engineering-Software. Deren Installationspakete seien auf dem damals als eine Art Github geführten Devlan-Server mit veröffentlicht worden, hieß es bei Wikileaks. Ghidra erfordere Java, bei der zu diesem Zeitpunkt jüngsten verfügbaren Version habe es sich um 7.0.2 gehandelt.

Weniger Bugs durch Open Source

Laut ZDNet setzen Mitarbeiter der US-Behörden das Instrument vor allem dafür ein, um Trojaner, Viren und andere Computerschädlinge unter die Lupe zu nehmen, die in Regierungsnetzen und auf Rechnern der öffentlichen Verwaltung aufschlagen. Nutzern zufolge arbeitet Ghidra langsamer als IDA und enthalte einige Fehler. Die NSA könnte mit der Veröffentlichung von Ghidra als Open Source das Werkzeug mithilfe der Open-Source-Gemeinde verbessern.

Bislang hat die Geheimdienstbehörde, die auch für die IT-Sicherheit von US-Regierungsstellen zuständig ist, 32 Projekte im Quellcode im Rahmen ihres Programms zum Technologietransfer herausgegeben und jüngst auch einen offiziellen Github-Kanal eingerichtet. Es ist davon auszugehen, dass darüber auch der Ghidra-Code veröffentlicht wird. Eines der bekanntesten Open-Source-Projekte der NSA ist Apache NiFi für den automatischen Transfer großer Datenmengen zwischen Web-Apps. Einige Hacker dürften trotz der neuen Offenheit aber Bauchschmerzen haben, Instrumente des Auslandsgeheimdienstes ohne gründliche eigene Code-Analyse einzusetzen. (olb)