Naja, wie der Vortragende von der NSA auf der Konferenz schon sagte: "Die Reverse-Engineering-Gemeinde sei wohl auch die schlechteste Community, der man so etwas (Backdoors etc) unterschieben könne"
Ich geh davon aus das es genug Leute gibt die schon intensiv nach Lücken sucht. Und ich denke die NSA is alles andere als doof. Ihre Ziele liegen eher weniger bei reverse engeneers. Ich finder die Aussage über mögliches Hiring glaubhafter.
Wie auch immer, der Code liegt offen und es ist nur eine Frage der Zeit. Ein kurzer Test in einer VM und monitoring mit Wireshark zeigte jedenfalls nix auffälliges. Aber ich bin auch kein Sicherheitsexperte.
Das wird mir nicht wirklich klar, denn das im Artikel erwähnte Technology Transfer Program der NSA leuchtet mir nicht vollständig ein. Dort heißt es plump
[...], benefitting the economy and the Agency mission.
Man sollte zunächst folgende Fakten festhalten: - Ghidra scheint dem "Alternativprodukt" (IDA Pro) des aktuellen Marktführers (Hex-Rays SA) das Wasser reichen zu können. [0] - Ghidras Quelltext ist bis dato unveröffentlicht. Dessen Veröffentlichung ist bisher nur ein rechtlich unverbindliches Lippenbekenntnis. - Die Veröffentlichung wird nicht grundlos umgesetzt worden sein.
Könnte es etwas aus dieser Liste sein?
Die NSA ist verpflichtet Ghidra an die Allgemeinheit veröffentlichen (z.B. da Ghidra steuerfinanziert ist, öffentliches Interesse besteht, eine Veröffentlichung der nationalen Sicherheit nicht diametral ggü. steht, zukünftige Abhängigkeiten minimiert und weitere öffentliche Ausgaben spart). [1][2] Wenn das der Fall wäre, so würde sich daraus allerdings die Frage ableiten, warum das nicht schon viel eher geschehen ist.
Es wird erwartet, dass eine aktive "Community" um die Software entsteht, und diese kostengünstig gepflegt und weiterentwickelt wird. Die NSA möchte damit Synergieeffekte für Ihre eigene Anwendung der Software oder jene anderer nationaler Behörden oder Dienstleister ausnutzen.
Die NSA möchte Ghidra verstärkt einsetzen und benötigt daher viele günstige Arbeitskräfte am Arbeitsmarkt, die sich mit Ghidra auskennen, und außerdem Kosten einer professioneller Einweisung in die Software einsparen könnten.
Die NSA möchte ihr Image aufpolieren, insbesondere unter den potentiellen zukünftigen Mitarbeitern (OSS, GitHub yay!).
Die NSA möchte eine gute Übersicht über die Interessenten dieser Software im speziellen und diese Art Software im Allgemeinen besitzen. Diese könnte sie etwa schon allein anhand einer Analyse der Downloads erstellen; falls Ghidra nach Hause telefoniert, sogar noch viel einfacher. Letztere Dreistigkeit traue ich Ihnen allerdings doch nicht zu, zumal die interessantesten potentiellen Datenpunkte dieser Statistik hinter Firewalls hängen oder "air gapped" sind.
Ich tippe eher auf eine Variante des zweiten Punkts: Es sind vermutlich weniger die Kosten als vielmehr die thematische Breite, die das Feld mittlerweile hat.
Selbst wenn die NSA "unendlich viel" Geld auf die Eigenentwicklung schmeißen würde, würde das Tool doch eher in der Orthodoxie der Behörde bleiben, weil die eigenen Leute sich doch alle beeinflussen (und von der Bürokratie auf einer Spur gehalten werden). Entwickler von außen bringen neue Sichtweisen ein.
Das Problem bei der NSA ist, dass nicht immer klar ist, welche Funktion sie gerade hat und welche Ziele sie verfolgt (siehe Dual EC PRNG). In Deutschland ist das durch die Trennung von BSI und BND klarer.
Ansonsten ist Ghidra auch irgendwann mal in einem der diversen Leaks aufgetaucht ("Shadow Broker", glaub ich), allerdings wohl nur in einer Beschreibung des Tools. Kann sein, dass da wer mit ner Informationsfreiheitsanfrage ankam und sie nun versuchen, das Beste draus zu machen.
Übrigens ist zumindest einiger Source Code schon vorhanden: in dem Zip-Archiv, das man herunterladen kann, gibt es moduleweise source zips.
In den USA gibt es diverse Sicherheitsbehörden. Während sich BND am ehesten als Analogon der NSA nahe kommt (beides sind die zentralen Auslandsgeheimdienste der jeweiligen Nation), entspricht dem BSI übernimmt gleichwertige Funktionen des NIST.
In den USA gibt das Department of Homeland Security (u.A. zuständig für den Secret Service), das Department of Defense (u.A. zuständig für die NSA), das Department of Health and Human Services (u.A. zuständig für das FBI & Secret Service), das Department of Commerce (u.A. zuständig für das NIST). In der BRD untersteht das BSI dem Bundesministerium des Innern, der BND dem Bundeskanzleramt, und der MAD dem Bundesministerium der Verteidigung.
Ich kenne mich da nicht prima aus. Ich habe schon häufiger gehört, dass sich die Kompetenzen der Sicherheitsbhörden der USA teils deutlich überschneiden. Eine Trennung verschiedener Funktionen sollte jedoch allein aus Sicht der Politik über Haushaltsfragen bestehen - eigentlich.
Soweit mir bekannt, erlangte die Öffentlichkeit das Wissen über die Existenz Ghidras durch diese Leaks.
Ist der Quellcode in den Archiven denn vollständig? Kann man Ghidra komplett bauen? Ist ein Kompilat binäräquivalent zur bisherigen Veröffentlichung? Fragen über fragen.
Die NSA ist NICHT der Auslandsgeheimdienst der USA....das ist immer noch die CIA. Aber beide überschneiden sich natürlich, wobei die NSA SIGINT macht, die CIA eher HUMINT
Einigen wir uns auf ein oder der größte Auslandsgeheimdienst der USA?
Die National Security Agency (deutsch Nationale Sicherheitsbehörde), offizielle Abkürzung NSA, ist der größte Auslandsgeheimdienst der Vereinigten Staaten.
ist in etwa so vertrauenswürdig wie "niemand hat die Absicht eine Mauer zu bauen".
Trau, schau, wem!
Naja, wie der Vortragende von der NSA auf der Konferenz schon sagte:
"Die Reverse-Engineering-Gemeinde sei wohl auch die schlechteste Community, der man so etwas (Backdoors etc) unterschieben könne"
Ich geh davon aus das es genug Leute gibt die schon intensiv nach Lücken sucht. Und ich denke die NSA is alles andere als doof. Ihre Ziele liegen eher weniger bei reverse engeneers. Ich finder die Aussage über mögliches Hiring glaubhafter.
Wie auch immer, der Code liegt offen und es ist nur eine Frage der Zeit. Ein kurzer Test in einer VM und monitoring mit Wireshark zeigte jedenfalls nix auffälliges. Aber ich bin auch kein Sicherheitsexperte.
Das wird mir nicht wirklich klar, denn das im Artikel erwähnte Technology Transfer Program der NSA leuchtet mir nicht vollständig ein. Dort heißt es plump
Man sollte zunächst folgende Fakten festhalten:
- Ghidra scheint dem "Alternativprodukt" (IDA Pro) des aktuellen Marktführers (Hex-Rays SA) das Wasser reichen zu können. [0]
- Ghidras Quelltext ist bis dato unveröffentlicht. Dessen Veröffentlichung ist bisher nur ein rechtlich unverbindliches Lippenbekenntnis.
- Die Veröffentlichung wird nicht grundlos umgesetzt worden sein.
Könnte es etwas aus dieser Liste sein?
Oder hat das noch ganz andere Gründe?
Ich tippe eher auf eine Variante des zweiten Punkts: Es sind vermutlich weniger die Kosten als vielmehr die thematische Breite, die das Feld mittlerweile hat.
Selbst wenn die NSA "unendlich viel" Geld auf die Eigenentwicklung schmeißen würde, würde das Tool doch eher in der Orthodoxie der Behörde bleiben, weil die eigenen Leute sich doch alle beeinflussen (und von der Bürokratie auf einer Spur gehalten werden). Entwickler von außen bringen neue Sichtweisen ein.
Das Problem bei der NSA ist, dass nicht immer klar ist, welche Funktion sie gerade hat und welche Ziele sie verfolgt (siehe Dual EC PRNG). In Deutschland ist das durch die Trennung von BSI und BND klarer.
Ansonsten ist Ghidra auch irgendwann mal in einem der diversen Leaks aufgetaucht ("Shadow Broker", glaub ich), allerdings wohl nur in einer Beschreibung des Tools. Kann sein, dass da wer mit ner Informationsfreiheitsanfrage ankam und sie nun versuchen, das Beste draus zu machen.
Übrigens ist zumindest einiger Source Code schon vorhanden: in dem Zip-Archiv, das man herunterladen kann, gibt es moduleweise source zips.
klingt plausibel
In den USA gibt es diverse Sicherheitsbehörden. Während sich BND am ehesten als Analogon der NSA nahe kommt (beides sind die zentralen Auslandsgeheimdienste der jeweiligen Nation), entspricht dem BSI übernimmt gleichwertige Funktionen des NIST.
In den USA gibt das Department of Homeland Security (u.A. zuständig für den Secret Service), das Department of Defense (u.A. zuständig für die NSA), das Department of Health and Human Services (u.A. zuständig für das FBI & Secret Service), das Department of Commerce (u.A. zuständig für das NIST).
In der BRD untersteht das BSI dem Bundesministerium des Innern, der BND dem Bundeskanzleramt, und der MAD dem Bundesministerium der Verteidigung.
Ich kenne mich da nicht prima aus. Ich habe schon häufiger gehört, dass sich die Kompetenzen der Sicherheitsbhörden der USA teils deutlich überschneiden. Eine Trennung verschiedener Funktionen sollte jedoch allein aus Sicht der Politik über Haushaltsfragen bestehen - eigentlich.
Soweit mir bekannt, erlangte die Öffentlichkeit das Wissen über die Existenz Ghidras durch diese Leaks.
Ist der Quellcode in den Archiven denn vollständig? Kann man Ghidra komplett bauen? Ist ein Kompilat binäräquivalent zur bisherigen Veröffentlichung?
Fragen über fragen.
Die NSA ist NICHT der Auslandsgeheimdienst der USA....das ist immer noch die CIA.
Aber beide überschneiden sich natürlich, wobei die NSA SIGINT macht, die CIA eher HUMINT
Einigen wir uns auf ein oder der größte Auslandsgeheimdienst der USA?
Warum so passiv-aggressiv im Subtext?
Kein Subtext, nur ein gross geschriebenes "NICHT"
Jup sind uns einig...
https://www.nsa.gov/about/faqs/