Gratis NSA-hacktool levert backdoordiscussie op

De Amerikaanse inlichtingendienst NSA heeft gisteren een zelf ontwikkelde hacktool vrijgegeven als open source. Met dit zogeheten Ghidra valt code te analyseren, zoals bijvoorbeeld malware. Dit framework voor reverse engineering van software kan helpen om kwetsbaarheden te vinden, en eventueel te benutten. Ghidra heeft ook gelijk de discussie over bugs, documented features en backdoors opgestart. De tool lijkt zelf kwetsbaar te zijn voor code-uitvoering op afstand, maar dat is bedoeld gedrag.

Jasper BakkerredacteurMeer van deze auteur

De Amerikaanse spionagedienst NSA heeft Ghidra als open source uitgebracht op de grote securityconferentie van beveiligingsleverancier RSA. Het heeft daar ook gelijk een demonstratie van en presentatie over deze intern ontwikkelde hacktool gegeven. Reverse engineers kunnen hiermee de werking van andere, gecompileerde software uitdokteren met behulp van een interactieve grafische interface. Ook commandline-gebruik en scripting behoren tot de mogelijkheden van de krachtige tool.

Windows, macOS en Linux op van alles

Ghidra valt te gebruiken voor een groot aantal platformen: uiteenlopend van Windows, macOS en Linux tot een zeer breed bereik aan processorarchitecturen. De processormodules van de NSA-tool omvatten x86-chips zoals die van Intel en AMD in 16-, 32- en 64-bit uitvoeringen, maar ook ARM en 64-bit ARM (AARCH64), en PowerPC in 32- en 64-bit. Daarnaast bereikt Ghidra ook oudere en tegenwoordig minder gebruikte chipplatformen zoals MIPS, PA-RISC, Sparc, en vele anderen. Senior adviseur voor cybersecurity Rob Joyce van de NSA heeft voor zijn presentatie over de tool al informatie getweet en geteased.

Ghidra processor modules: X86 16/32/64, ARM/AARCH64, PowerPC 32/64, VLE, MIPS 16/32/64,micro, 68xxx, Java / DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8, AVR32, Others+ variants as well. Power users can expand by defining new ones
— Rob Joyce (@RGB_Lights) March 5, 2019

Debugmodus open

Binnen 24 uur na het vrijgeven van de Ghidra-code claimt een security-onderzoeker al een kwetsbaarheid te hebben gevonden in die software. Het lijkt hierbij niet om een bescheiden bug te gaan, maar om een ernstig beveiligingsgat. Of toch niet? De in Java geschreven NSA-tool valt in debugmodus te openen en daarbij luistert het Java Debug Wire Protocol (JDWP) op poort 18001. Computers vanaf IP-adressen intern en extern kunnen zo communiceren met de software voor debugging-doeleinden.

Dit valt echter te gebruiken om code naar keuze op afstand uit te voeren, tweet Matthew Hickey, de mede-oprichter en directeur van My Hacker House. Het gevaar van hackmogelijkheden via JDWP is al jaren bekend. Hickey heeft de door hem ontdekte exploit in Ghidra uiteengezet in een blogpost én biedt gelijk een fix. Het aanpassen van een coderegel in Ghidra volstaat: de wildcard * dient te worden gewijzigd in het lokale IP-loopback adres 127.0.0.1 om de hacktool niet te laten luisteren naar externe input. Een andere security-expert komt met een verbeterde oplossing: het ongeldig maken (middels REM-statements bij programmaregels) van een deel van de debug-startende Ghidra-launchcode.