Patch me if you can: Soll man einem NSA-Hacking-Tool vertrauen? Eindeutig jein!
Vor zwei Jahren hat die National Security Agency das Tool Ghidra zum allgemeinen Gebrauch freigegeben. Wie geht es uns heute damit?
- David Fuhr
Ein Gedankenexperiment: Wem würden Sie eher vertrauen, wenn es um die Analyse gefährlicher Schadsoftware geht? Den Bordmitteln des Betriebssystems, dem Antivirenhersteller Ihres Vertrauens oder Ihrem Incident-Response- und Forensik-Dienstleister? Tausende von „Reverse Engineers“ haben diese Frage im Frühjahr 2019 mit „Ich möchte meinen Geheimdienst-Joker einsetzen“ beantwortet. Wie das? Die NSA, spätestens seit 2013 und Edward Snowden auch größeren Kreisen nicht gerade als Hort der informationellen Selbstbestimmung bekannt und eher für „maßgeschneiderte Zugriffsoperationen“ (Tailored Access Operations, TAO) und fiese „Implants“ berüchtigt, hatte ihr internes Reverse-Engineering-Tool „Ghidra“ der Community zur Verfügung gestellt. Frei, kostenlos, völlig Open Source. Kann das etwas taugen? Da musste doch ein Haken dran sein.
Erste Reaktionen der Szene rangierten damals von neugierig bis begeistert. Teilweise mag das einem Markt geschuldet sein, auf dem der stärkste Mitbewerber und unangefochtene bisherige Marktführer IDA Pro zwar mit noch mehr Funktionen, aber auch mit ungewöhnlich ungemütlichen Nutzungsbedingungen und happigen Preisen glänzt.
Schlapphüte auf Kontaktsuche
Zumindest kann man dem technischen US-Geheimdienst jedoch die Kompetenzen in der Thematik nicht absprechen. Mit Sicherheit enthält Ghidra (sprich „Dschidra“) bis heute nicht alle Tricks und Kniffe der Schlapphüte aus Maryland. Für die Staatsdiener selbst tut sich allerdings ungeheures Potenzial in der Zusammenarbeit mit der Hackerszene auf: Sichtbarkeit, Respekt, Fame, Street Credibility, mindestens aber (selbst wenn etwas schiefgeht) Dialog – ein wahres Wunschkonzert der Recruiting-Abteilung, die es auch im Land der unbegrenzten Möglichkeiten nicht leicht hat, Google, Apple und Co. ein paar der besten Bewerberinnen und Bewerber zu entreißen.
Muss ich mir Sorgen machen, dass mich die NSA überwacht, wenn ich Ghidra nutze? Ja und nein. Überwachen tut sie uns eh alle, mit Ghidra oder ohne. Und die Staatshacker wären sicher nicht so dumm, die Überwachungsroutinen ausgerechnet im Open-Source-Code desjenigen Tools zu verstecken, das massenhaft von den besten Reverse Engineers der Welt heruntergeladen wird.
Muss ich mir Sorgen machen, dass ich die NSA unterstütze, wenn ich Ghidra nutze? Ja und ja. Denn das hat wiederum eine gute und eine schlechte Seite, so wie die Aufgaben der Geheimdienste unterschiedlich sind – erst recht in Ländern, wo die hierzulande historisch bedingte und immer wieder in Diskussion befindliche Trennung in Polizei, Verfassungsschutz und Nachrichtendienst weniger stark ausgeprägt ist.
Ghidra dürfte, im Verbund mit vielen anderen Tools, einen Teil dazu beitragen, dass IT-Infrastrukturen sicherer werden, da sich Angriffe besser und effizienter untersuchen lassen. Andererseits dürften die Verbesserungen aus der Community zahlreichen unterschiedlichen Projekten zugutekommen, bei der NSA ebenso wie bei nicht ganz so befreundeten Diensten.
Open Source im Zwielicht
Das Thema des „Dual Use“, also Technik, die als Waffe sowie zur zivilen Verteidigung eingesetzt werden kann, tritt hier besonders deutlich hervor. Und dass der Siegeszug der Open Source nun auch vor diesen traditionell eher undurchsichtigen Winkeln der Softwareentwicklung nicht mehr haltmacht, ist ein weiteres Zeichen der Umkrempelung alter Geschäftsmodelle und Produktionsbedingungen.
Ghidra ist nun seit zwei Jahren ein Teil des Standardarsenals, das allen zur Verfügung steht. Es zu ignorieren, nützt niemandem. Beim Nutzen und der Mitarbeit in Richtung Resilienz unserer Welt mitzuwirken, kann den Unterschied ausmachen.
Diese Kolumne ist in iX 05/2019 erschienen und wurde für die Online-Ausgabe aktualisiert.
(ur)
