Opinie: RSA liet zich wel heel makkelijk hacken

Wat er precies is buitgemaakt bij de inbraak waar RSA maart dit jaar slachtoffer van werd, is niet bekendgemaakt. Maar door de inbraak ontstonden wel twijfels over de veiligheid van de SecureID-authenticatieproducten die RSA aan de man brengt. Alleen al in het tweede kwartaal moest het bedrijfsonderdeel van EMC 66 miljoen dollar uittrekken na de hack, grotendeels voor extra maatregelen bij klanten die de zaak niet meer vertrouwden.

Slachtoffer van 'spearfishing'
Uit informatie die RSA heeft verstrekt was wel duidelijk dat de inbraak was gelukt door het zogeheten ‘spearfishing’: door specifieke medewerkers van RSA te verleiden een mailtje te openen dat beter gesloten had kunnen blijven. Dat mailtje bevatte een bijlage ‘2011 Recruitment plan.xls’ met daarin malware die via een op dat moment nog ongepatcht lek in Adobe Flash het achterdeurtje Poison Ivy op RSA’s servers installeerde.

Timo Hirvonen van F-Secure was benieuwd hoe dat mailtje en de ingesloten malware precies in elkaar staken. En na vijf maanden wist hij het tussen miljoenen andere mogelijk besmette bestanden te lokaliseren. Een mailtje met de genoemde bijlage met daarin de malware bleek geüpload te zijn naar Virustotal, een online scanner waar men bestanden gratis kan laten inspecteren door de virusscanners van 40 deelnemende leveranciers, waaronder F-Secure; in ruil daarvoor mogen die leveranciers de geüploade bestanden voor onderzoeksdoeleinden gebruiken. Dat het door Hirvonen gevonden mailtje het gebruikte inbraakmedium was, lijdt eigenlijk geen twijfel, al heeft RSA dat niet bevestigd.

Bij de bekendmaking van meer details over de inbraak sprak RSA waarschuwende woorden over hoe kwetsbaar zelfs goed beveiligde bedrijven zijn tegen hedendaagse geavanceerde inbraakmethoden die proberen medewerkers tot een ondoordachte actie te verleiden. Dat lijkt achteraf vooral een poging om het eigen straatje schoon te vegen. Met een beetje aandacht voor voorlichting had RSA de hack kunnen voorkomen, en een beetje aandacht is voor een specialist in beveiliging van ICT toch niet teveel gevraagd.

Reeks van stommiteiten
Analyse van het mailtje dat Hirvonen boven water viste, laat namelijk zien dat niet van een ondoordachte actie sprake was, en zelfs niet van een off day van een medewerker, maar van een reeks stommiteiten – al zegt F-Secure dat niet met zoveel woorden:

• Het aan vier personen op naam geadresseerde mailtje was door Outlook in de bak met junkmail afgeleverd; een van de vier zag daarin geen reden om voorzichtig te zijn, en haalde het terug.
• Het mailtje was afkomstig van de webmaster van Beyond.com, een wervingssite waar RSA kennelijk zaken mee doet. Maar mail van de webmaster?
• Mailtje en bijlage droegen de titel 2011 Recruitment plan zonder verdere aanduiding van welk bedrijf dat plan dan zou zijn; het is bovendien toch niet het soort informatie dat je van een webmaster verwacht.
• De tekst in het mailtje bevatte geen aanhef en geen afzender. Alsof dat al niet raar genoeg was, stond er alleen: ‘Ik stuur dit bestand ter controle. Graag openen en bekijken’. Maar die ongewoon expliciete uitnodiging om de bijlage te openen deed kennelijk geen belletje rinkelen.
• De medewerker die de bijlage opende vond het bovendien kennelijk heel normaal dat het bestand geen gegevens bleek te bevatten. Het toonde alleen een kruisje in cel A1 – het ingebedde Flash-object. Ook het rare feit dat het bestand zich na enkele seconden automatisch sloot, was voor de medewerker geen reden om even contact op te nemen met systeembeheer.

Mikko Hypponen formuleert heel keurig, dat de e-mail geen geavanceerd stukje werk was, en het achterdeurtje ook niet. Poison Ivy is eerder gebruikt bij bedrijfsspionage.

RSA had achterdeurtje aan contactadressen moeten herkennen
Daarbij is Hypponen nog zo vriendelijk om niet de vraag te stellen waarom het achterdeurtje vanuit de RSA-systemen contact kon leggen met webadressen die al eerder voor inbraak zijn gebruikt, en die om die reden in kringen van beveiligers ook bekend zijn. Maar de hamvraag blijft waarom personeel van een specialist in ICT-beveiliging zo slecht getraind is in het gebruik van e-mail en de gevaren die het medium in zich bergt, dat het simpele opzetje van de hackers kon slagen.

Voor alle andere bedrijven houdt het gemak waarmee de RSA-medewerker alle waarschuwingssignalen negeerde een waarschuwing in: weet u zeker dat geen van uw medewerkers zo in de fout gaat? Ook niet als er een echt slim in elkaar gezet spearfishingmailtje langs komt?