image

NSA maakt gratis reverse engineering tool beschikbaar

woensdag 6 maart 2019, 10:06 door Redactie, 32 reacties
Laatst bijgewerkt: 06-03-2019, 12:06

De Amerikaanse geheime dienst NSA heeft zo als aangekondigd een gratis opensourcetool beschikbaar gemaakt voor het reverse engineeren van software. De tool wordt Ghidra genoemd en bevat volgens de NSA alle features die ook van hoogwaardige commerciële tools worden verwacht (pdf).

Via het programma kunnen onderzoekers en reverse engineers software analyseren en onderzoeken. Als voorbeeld noemt de Amerikaanse geheime dienst het onderzoeken van kwaadaardige code zoals malware. Ook moet het cybersecurityprofessionals een beter besef geven van potentiële kwetsbaarheden in hun netwerken en systemen.

De NSA heeft naar eigen zeggen de tool beschikbaar gemaakt om cybersecuritytools te verbeteren, een gemeenschap op te bouwen, mensen te onderwijzen en belastinggeld effectief in te zetten. Ghidra maakt het onder andere mogelijk voor meerdere personen om aan een analyse te werken. Het ondersteunt daarnaast meerdere platformen, bestandssystemen en formaten, alsmede een grote verscheidenheid aan processorinstructiesets. Gebruikers kunnen daarnaast hun eigen Ghidraplug-ins en -scripts ontwikkelen.

Op Hacker News zijn de reacties positief en wordt het door sommigen een concurrent voor de bekende, maar prijzige, reverse engineering tool IDA Pro genoemd. Ghidra is daarnaast open source, wat niet geldt voor IDA Pro. Hoewel Ghidra open source is, is de broncode nog niet op GitHub verschenen.

Inmiddels is er op Twitter ook een discussie ontstaan over een vermeende kwetsbaarheid in de tool. Wanneer Ghidra in de debugmode wordt gestart zou de JDWP-debugpoort 18001 op alle interfaces worden geopend, waardoor het mogelijk is om op afstand code uit te voeren. Critici vinden echter dat er geen sprake van een bug is, omdat de tool alleen lokaal wordt gebruikt en de gebruiker bewust voor de debugmode heeft gekozen.

Image

Reacties (32)
06-03-2019, 10:29 door Anoniem
aardig van Ze toch .
06-03-2019, 10:53 door Anoniem
Hey leuk bericht. Gaan we naar kijken in een virtuele client :)
06-03-2019, 11:58 door Anoniem
Door Anoniem: Hey leuk bericht. Gaan we naar kijken in een virtuele client :)

Hopelijk denk je niet dat een virtuele client een obstakel voor de NSA is als en indien ze de rest van je systeem willen inspecteren. Dit zijn mensen die onder andere voor een grote bibliotheek harde schijven kwaadaardige firmware ontwikkeld hebben. Uit een VM breken zal geen enkel probleem voor ze zijn.

Voor je eigen boekhouding kan het handig zijn om de boel apart te houden.
06-03-2019, 13:20 door Anoniem
Vertrouw het zo ver als je het ziet. Respons of massa destruction. We vergeten wel heel snel en selectief.
06-03-2019, 13:40 door Krakatau
De Amerikaanse geheime dienst NSA heeft zo als aangekondigd een gratis opensourcetool beschikbaar gemaakt voor het reverse engineeren van software. De tool wordt Ghidra genoemd en bevat volgens de NSA alle features die ook van hoogwaardige commerciële tools worden verwacht (pdf).

Mooi tool!
06-03-2019, 13:51 door Anoniem
Door Anoniem: aardig van Ze toch .

Best, maar het werkt op een paar fronten.

Het geeft de kans dat toekomstige werknemers bekend zijn met de gebruikte toolset .

In de concurrentie om developers met allerhande andere tech bedrijven geeft het een bepaald beeld 'ook bij ons werk je aan coole dingen' , en zelfs de hint dat open sourcen mogelijk is - voor sommige developers is dat een goed pluspunt - hetzij uit ideologie, hetzij als persoonlijk visitekaartje .

'your taxdollars at work' - Er is in de VS de sterke gedachte dat als iets met belastinggeld betaald is, de resultaten voor de belastingbetaler beschikbaar moeten zijn. Je ziet het voornamelijk bij research (NASA data, research grants e.d.). Ik denk dat dit aspect ook wel meegespeeld zal hebben , en de NSA op deze basis ook wat puntjes gescoord heeft.
06-03-2019, 13:54 door Anoniem
Door Anoniem:
Door Anoniem: Hey leuk bericht. Gaan we naar kijken in een virtuele client :)

Hopelijk denk je niet dat een virtuele client een obstakel voor de NSA is als en indien ze de rest van je systeem willen inspecteren. Dit zijn mensen die onder andere voor een grote bibliotheek harde schijven kwaadaardige firmware ontwikkeld hebben. Uit een VM breken zal geen enkel probleem voor ze zijn.

Voor je eigen boekhouding kan het handig zijn om de boel apart te houden.

Het publiek weggeven van zo'n -1 day exploit in een wereldwijd beschikbare release - en die ook door Amerikanen gebruikt wordt - zou echt wel een heel stevig probleem zijn voor de NSA .
Zeker een groter probleem dan de waarde van de 'opbrengst'.
06-03-2019, 14:36 door Anoniem
Door Anoniem: Hey leuk bericht. Gaan we naar kijken in een virtuele client :)
Ik zou dat maar doen ja.
06-03-2019, 14:59 door Anoniem
Valt me nog mee dat het open source is. Zo zie je maar: ook de NSA ziet de voordelen van software met een open karakter. De wonderen zijn de wereld nog niet uit...
06-03-2019, 15:02 door Anoniem
Waarom doet me dit toch denken aan "Het paard van Troje"......
06-03-2019, 16:22 door _R0N_
Door Anoniem: Valt me nog mee dat het open source is. Zo zie je maar: ook de NSA ziet de voordelen van software met een open karakter. De wonderen zijn de wereld nog niet uit...

Heb je de source al gezien?
Eerst een pakketje software vrijgeven waarvan je zegt dat het open is voor je de source ook werkelijk vrijgeeft is duister..
06-03-2019, 17:07 door Anoniem
Door _R0N_:
Door Anoniem: Valt me nog mee dat het open source is. Zo zie je maar: ook de NSA ziet de voordelen van software met een open karakter. De wonderen zijn de wereld nog niet uit...

Heb je de source al gezien?
Eerst een pakketje software vrijgeven waarvan je zegt dat het open is voor je de source ook werkelijk vrijgeeft is duister..
En als je deze source hebt dan zelf compileren.
06-03-2019, 18:15 door Anoniem
Door Anoniem: Valt me nog mee dat het open source is. Zo zie je maar: ook de NSA ziet de voordelen van software met een open karakter. De wonderen zijn de wereld nog niet uit...

De NSA heeft altijd opengestaan voor opensource, vroegahh brachten ze SELinux uit als een los pakket en dat was volledig opensource.
06-03-2019, 18:16 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Valt me nog mee dat het open source is. Zo zie je maar: ook de NSA ziet de voordelen van software met een open karakter. De wonderen zijn de wereld nog niet uit...

Heb je de source al gezien?
Eerst een pakketje software vrijgeven waarvan je zegt dat het open is voor je de source ook werkelijk vrijgeeft is duister..
En als je deze source hebt dan zelf compileren.

Ho ho, wel eerst "even" de source code lezen -EN- begrijpen wat het doet.
06-03-2019, 18:27 door Anoniem
Please, sit calm and dumb down, you may fully trust us.

Onze tools moet u gebruiken als security researcher.
Verder blijft het natuurlijk allemaal de schuld van Kaspersky (da Ruzzianz) en Huawei (op zoek naar 5G dominantie).
Dat hoort u toch elke dag. Dat is onze narrative.

NSA en FBI en CIA (Crooks In Action), all these services, are above board.

Geloof me nu toch, dear Mr. Feynman, "we came here only to rescue you and the world through more wars".
Uw Saint Snowden is bij ons volksvijand nr. 1.

#sockpuppet
06-03-2019, 18:57 door Anoniem
Leuk! De disassembler is opnieuw uitgevonden!
06-03-2019, 19:33 door Anoniem
Het tweede window van links geeft processor opcodes. Het derde voornamelijk de loop structuur en sprongtjes over de address bus. De derde geeft een vertaling in C. Met allemaal random variabelen. Dat wat een klantnummer is of een errorstring, dat blijft allemaal spahetti. Want dat komt niet mee in gecompileerde software. Is heel lastig lezen en aanpassen. Maar echte kerels editen natuurlijk de opcodes. Want die kennen echte kerels uit hun hoofd.

De meeste php-mysql wijven dat zich tegenwoordig programmeur noemt, zal dus weinig aan kunnen vangen met die tooltje.
06-03-2019, 20:39 door spatieman
ik vraag me af welke DDOS backdoor ze hebben ingebouwd
06-03-2019, 21:31 door Anoniem
Lijkt verdacht veel op het 4chan logo.
06-03-2019, 21:47 door Anoniem
Door Anoniem: Het tweede window van links geeft processor opcodes.

Volgens mij zijn de oplopende nummers gewoon 32 bit instruction pointers. Met wat assembly ernaast.
Ik ben benieuwd wat er met Ghidra gebeurt als het gebruikt wordt om Intellectual Property van games en dergelijke te cracken.
07-03-2019, 06:33 door Anoniem
Door _R0N_: Heb je de source al gezien?
Eerst een pakketje software vrijgeven waarvan je zegt dat het open is voor je de source ook werkelijk vrijgeeft is duister..
Dat hoeft niet meteen verdacht te zijn. Als je op Github (waar nu alleen een aanzetje staat) in de file "INTENT" kijkt kan je lezen dat er ingewikkelde kanten aan de licentie zitten. Primair omdat de door ambtenaren geschreven delen van de code in de VS in het publieke domein vallen maar in landen waar het auteursrecht geen publiek domein kent onder Apache 2.0, zodat de licentiestatus van code straks afhangt van in welk land je hem gebruikt; terwijl code die niet-ambtenaren gaan bijdragen wel altijd onder Apache 2.0 zal zijn.

Maar er staat ook dat "some modules may incorporate code under other licenses". Dat suggereert dat men bij het ontwikkelen van de tool bestaande code die publiek beschikbaar was heeft toegevoegd. Dan moet men onderzoeken welke code waar vandaan is gekomen, onder wat voor licentie die valt, en als die licentie niet compatibel is met Apache 2.0 dan moet hij vervangen worden door andere code of moet toestemming geregeld worden om het in de tool te blijven gebruiken. Dat kost tijd.

Het is eerder gebeurd. Java was oorspronkelijk wel gratis beschikbaar maar niet open source. Toen Sun Microsystems aankondigde het open source te maken was dat ook niet van de ene dag op de andere rond. Mij staat bij dat het daar zelfs jaren heeft geduurd voor alles rond was.
07-03-2019, 07:09 door Anoniem
Door Anoniem: Vertrouw het zo ver als je het ziet. Respons of massa destruction. We vergeten wel heel snel en selectief.

Wat bedoel je hiermee te zeggen? Waar gaat dat "respons of mass destruction" over? Hoe is jouw bijdrage gerelateerd aan deze tool?
07-03-2019, 07:13 door Anoniem
Door Anoniem:De meeste php-mysql wijven dat zich tegenwoordig programmeur noemt, zal dus weinig aan kunnen vangen met die tooltje.

Dan vormen zij dus niet de doelgroep van deze tool. Dat is hetzelfde als een kleuter die net begint met fietsen kwalijk nemen dat hij de kennis niet heeft om een Ferrari-motor te finetunen.
07-03-2019, 08:02 door Anoniem
Door Anoniem:
Door Anoniem: Hey leuk bericht. Gaan we naar kijken in een virtuele client :)

Hopelijk denk je niet dat een virtuele client een obstakel voor de NSA is als en indien ze de rest van je systeem willen inspecteren. Dit zijn mensen die onder andere voor een grote bibliotheek harde schijven kwaadaardige firmware ontwikkeld hebben. Uit een VM breken zal geen enkel probleem voor ze zijn.

Voor je eigen boekhouding kan het handig zijn om de boel apart te houden.


Die illusie heb ik totaal niet. MEt die extra hw layer op die routers kunnen ze al genoeg. lol
07-03-2019, 09:47 door Anoniem
Ik bedoelde nsa en trust, net als destijds die massa vernietigingswapens waar ieder in moest geloven. Wat heeft ieder toch een kort geheugen. Daarom komen ze overal mee weg, die yankie spooks.
08-03-2019, 02:00 door Anoniem
Nieuwschierig als ik ben heb ik deze tool even getest en ik moet eerlijk zeggen dat het wel een stukje vakwerk is. Nee het is geen IDA Pro maar de zoekfunctie is bv wel veel sneller. Voor een gratis tool meer dan fantastisch. Jammer van de verdenkingen en die blijven ook in mijn hoofd zwerven.
08-03-2019, 07:36 door Anoniem
heeft backdoor.
08-03-2019, 14:00 door Anoniem
Door Anoniem: heeft backdoor.
reactie: top!
08-03-2019, 14:21 door Anoniem
Als iets gratis is, ben jij het product
(betekent hier in vele gevallen de "sjaak").

Een hele grote categorie valt hier buiten,
maar die voor deze tool gaan juist weer niet.
Dat is de in-crowd zogezegd
en vaak weer interessant voor deze sp**ks.

Te mooi om waar te zijn, is dat dus ook vaak.
Dat weten we hier toch wel, zeker?

luntrus
08-03-2019, 15:38 door Anoniem
Door Anoniem: heeft backdoor.
Debug die open staat, 1 regel code aanpassen en klaar.
08-03-2019, 17:49 door Bartbartbart
Door Anoniem:
Door Anoniem: heeft backdoor.
Debug die open staat, 1 regel code aanpassen en klaar.
Describe the bug
Remote code execution is achievable through the JDWP debug port 18001 which is opened to all interfaces when launching in debug mode.

github[punt]com/NationalSecurityAgency/ghidra/issues/6
08-03-2019, 17:49 door Bartbartbart
Door Anoniem:
Door Anoniem: heeft backdoor.
Debug die open staat, 1 regel code aanpassen en klaar.

Describe the bug
Remote code execution is achievable through the JDWP debug port 18001 which is opened to all interfaces when launching in debug mode.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.