Tech

De NSA heeft zijn reverse-engineeringtool ‘Ghidra’ vrijgegeven

Ghidra.

De NSA heeft een tot op heden geheime reverse-engineeringtool vrijgegeven, en daarmee veel mensen op het gebied van informatiebeveiliging enthousiast gemaakt.

De hooggeplaatste NSA-adviseur Rob Joyce gaf dinsdag een presentatie over de applicatie op de RSA conferentie in San Francisco. De app, genaamd Ghidra, kan gebruikt worden om malware te analyseren, compileren en reverse-engineeren.

Videos by VICE

De release van Ghidra was weken geleden al aangekondigd door de NSA, en de hype onder cybersecurity-professionals was vergelijkbaar met die van Star Wars-fans die niet kunnen wachten op de trailer van Episode IX. Ghidra bestaat al jaren als interne tool van de NSA. Het bestaan ervan werd onthuld door WikiLeaks in 2017, middels gelekte documenten van de CIA.

Ghidra is natuurlijk niet de eerste tool waarmee je malware-applicaties kan reverse-engineeren. Je had bijvoorbeeld ook al IDA, ontwikkeld door het Europese bedrijf Hex Rays; Radare, ontwikkeld door vrijwilligers; en Binary Ninja, door Vector 35 uit Florida. Het verschil is alleen dat je voor Binary Ninja tussen de 131 en 529 euro betaalt, en je voor IDA zelfs tussen de 777 en 3487 euro kwijt bent. Ghidra is daarentegen gratis. En de tool is ook nog eens open source – het is door de NSA zelf op GitHub gezet.

“Het werkt heel goed,” vertelt Darren Martyn, een onafhankelijke veiligheidsonderzoeker die ook al veel andere reverse-engineeringtools heeft gebruikt, in een online chat. “De decompiler is echt fantastisch.”

Martyn is enthousiast over verschillende functies van Ghidra, zoals de undo-functie, het feit dat meerdere mensen tegelijkertijd aan hetzelfde project kunnen werken, de ondersteuning voor verschillende processoren, de configureerbare gebruikersinterface, de optie om sjablonen te gebruiken en extensies en plug-ins te schrijven.

“En om het te betalen hoef ik niet eens mijn nier te verkopen, of het risico te lopen om opgespoord te worden,” voegt Martyn er nog aan toe. Met dat laatste verwijst hij naar het feit dat het bedrijf achter IDA soms om wel heel veel persoonlijke informatie vraagt, voordat ze een licentie voor hun software verkopen. Daar is dan ook al vaker over geklaagd.

Beveiligingsonderzoeker Joxean Koret zei op Twitter dat “Ghidra de vloer aanveegt met welke andere RE-tool dan ook, met IDA als enige uitzondering.”

Dat de tool zowel gratis als open source is, zal het hoogstwaarschijnlijk tot een groot succes maken. Volgens Marcus Hutchins, ook bekend als MalwareTech, is dit de reden waarom het een “totale gamechanger is voor mensen die het in deze industrie willen maken.”

Hutchins, die momenteel in afwachting is van een rechtszaak voor het schrijven van malware, zond dinsdagnacht een stream op Twitch uit waarop te zien was hoe hij met Ghidra experimenteerde.

“Tot nu toe bestond er geen goede, gratis beschikbare decompiler,” vertelt Hutchins Motherboard via een online chat. “Hiervoor moesten mensen kiezen tussen een slecht programma of een illegaal gedownloade versie van IDA.”

https://twitter.com/2sec4u/status/1102956705976123394

Natuurlijk is er het kleine detail dat deze software door de NSA is ontwikkeld. Dat is dezelfde partij die een mikpunt van spot werd na de onthullingen van Edward Snowden en het kwijtraken van hacktools die uiteindelijk werden gebruikt in een van de ergste malware-uitbraken ter wereld. Maar dat lijkt de liefhebbers van de app niet zo dwars te zitten.

“Het is ook wel fijn om iets terug te krijgen in ruil voor al onze data ;),” aldus Martyn.