Her er e-mailen, der blev brugt til at hacke RSA

Illustration: leowolfert/Bigstock
Et sikkerhedsfirma har fundet den mail, hackere tidligere på året brugte som angrebsvektor mod RSA, der leverer it-sikkerhed til nogle af de største USA største våbenleverandører.

Der skulle ikke mere til end to sætninger og et excel-regneark i en phishingmail, før hackere kunne bryde ind hos RSA. Det skriver sikkerhedsfirmaet F-Secure, der har kigget nærmere på angrebet på deres blog.

Da hackerne først var brudt ind, lykkedes det dem at duplikere nøgler til de særlige SecurID-tokens, som blandt andet våbengiganten Lockheed Martin bruger til at autentificere logins fra sine ansatte.

Læs også: Ukendte hackere blotter USA's forsvar med falske SecurID-nøgler

Mailen blev sendt til en medarbejder i EMC, der ejer RSA. Den indeholdt et regneark med titlen ”2011 Recruitment plan.xls” og den simple tekst ”I forward this file to you for review. Please open and view it”. Herefter kunne der eksekveres ondsindet kode, der kompromitterede sikkerheden hos nogle af verdens største våbenleverandører.

F-Secure har brugt de sidste fem måneder på at finde den mail, der gav hackerne adgang til RSA’s system. Mailen var blevet markeret som spam af det gratis spamværktøj VirusTotal, men alligevel åbnet af en medarbejder hos RSA. Det er blandt logfilerne fra spamværktøjet, at F-Secure nu har fundet den mail, der brød sikkerheden.

Læs også: RSA 2½ måned efter hackerangreb: Hov, vores SecurID-løsning er usikker

Tilbage i april vidste man, at angrebet var sket via en mail til en medarbejder i EMC, og at det foregik via en mail, der indeholdt en fil med titlen ”2011 Recruitment plan.xls”. Men ingen kunne finde den mail noget sted.

Timo Hirvonen, analytiker ved F-Secure, havde lavet et værktøj, der analyserede spammail for flashobjekter, da man vidste, at filen med regnearket havde brugt et flashobjekt til at overtage systemet.

Dette værktøj analyserede mange millioner e-mails, uden held. I hvert fald indtil et resultat i sidste uge. Der var ikke fundet en .xls-fil, men i stedet en Outlook beskedfil, kaldet MSG. Filen viste sig at indeholde den originale mail, der blev sendt til EMC den 3. marts, og indeholdt altså også regnearket.

Men hvorfor skulle der gå så lang tid, og hvorfor skulle det være F-Secure, der fandt filen? Det viser sig, at der var en person, som man formoder er en medarbejder hos RMA eller EMC, der havde uploadet filen til Virustotal den 19. marts. Som en del af Virustotals betingelser fremgår det, at uploadede filer deles med anti-malware og sikkerhedsindustrien. Derfor havde F-Secure allerede filen – udfordringen lå bare i at finde den blandt de mange millioner spammails, der er i Virustotals database.

Læs også: RSA til kunder efter SecurID-hackerangreb: Pas på phishing!

Nedenfor kan du se en video, hvor F-Secure åbner den mail, der blev brugt til at hacke RSA. Her kan man se, at der ikke umiddelbart sker noget usædvanligt ved at åbne mailen. Derfor, har personen, der har åbnet mailen selvom den røg i spamfilteret, sandsynligvis heller ikke fattet mistanke efterfølgende.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Henriksen

Det er jo fuldstændigt sindssygt at vi bruger filformater der tillader kodeafvikling på den måde. Hvordan skal vi nogen sinde kunne skabe sikre EDB-systemer, når selv regneark tillader indlejring af vilkårlige objekter (jeg antager at det går via OLE?) der så kan afvikle kode? Simplicitet har til alle tider været en betingelse for robuste og sikre systemer, men dette lader til at være tilsidesat i jagten på at afkrydse feature-tjeklister.

  • 6
  • 1
Thomas Jensen

Det undrer mig grænseløst at et flashobjekt kan give adgang til at overtage et system. I det hele taget. Men at det kan lade sig gøre på et system der er drevet af nogen der kalder sig selv "the premier provider of security, risk and compliance solutions" er da helt ubegribeligt.

Det er sikkert nogle gevaldigt snedige "hackere" der har været på spil, men... En ting er at bryde ind - her ville man forvente et sted som RSA havde både en god solid hoveddør OG en tyverialarm. Men at de så også, efter af være kommet ind, kan få fingrene i, ikke bare en A-nøgle, men også en nøgle til bankboksen (for "guldet" er da krypteret, ikk?), det er da næsten for godt til at være sandt. Mon RSA overhovedet overholder de mest basale sikkerhedsforeskrifter?

  • 4
  • 0
Troels Henriksen

Ja, at RSA ikke har bedre intern sikkerhed er en sag for sig selv, men man må begribe at Flash-afspilleren har haft en defekt der har tilladt afvikling af vilkårlig kode på maskinen, som så har udforsket netværket og fundet sårbare servere. Programmeringsfejl er én ting - desværre er det endnu ikke en realistisk mulighed at skrive fejlfri kode, og derfor bør man i stedet forsøge at minimere antallet af tilfælde hvor fejl kan opstå. Det kan gøres ved at reducere programmellets kompleksitet, ved at holde det simpelt, og ved at opfatte nye features som en enorm omkostning. Hvis man vil skabe sikre systemer af høj kvalitet (og jeg vil mene at dette er det absolut vigtigste kriterie for software) bør al funktionalitet opfattes som en potentiel sikkerhedsrisiko, og målet bør være at inkludere det mindste antal features og stadigvæk kunne løse de problemer, som programmet er målrettet.

Naturligvis kan man mene at systemadministratoren hos RSA burde havet slået objektindlejring fra, eller brugt maskiner med No-Execute-bit-understøttelse (hvis det da havde hjulpet), eller en masse muligheder, men hvis programmørerne bag programmet havde holdt sig fra komplekse og tvivlsomme features, så havde det ikke været muligt for systemadministratoren at begå den fejl.

Den menneskelige faktor er af enorm vigtighed hvad stabilitet og sikkerhed angår, og man bør følgelig forfatte programmer hvor den spiller så lille en rolle som muligt.

  • 1
  • 0
Thomas Jensen

Den menneskelige faktor er af enorm vigtighed hvad stabilitet og sikkerhed angår, og man bør følgelig forfatte programmer hvor den spiller så lille en rolle som muligt.

Jo, men en ting er programmer, en anden er resten af systemet. Vi ved mennesker kan være det svage led i kæden, og derfor bør systemet tage højde for det. Fordi der er mennesker involveret, så må vi formode det er muligt at komme ind - altså skal vi sikre man får mindst muligt ud af at bryde ind. Brugere skal ikke have for mange rettigheder, og deres rettigheder skal skal kun gælde i små segmenter af systemet. Det er det helt basale. Et sikkerhedsfirma må formodes at kunne gøre det meget bedre.

Jeg er på ingen måde ekspert, men i mine ører lyder det helt forkert at "afvikling af vilkårlig kode" kan bruges til "at udforske nettet og finde sårbare servere". Det kræver at man kan lave kode der kan give en retigheder til at udforske netværket - altå, optræde som bruger med disse rettigheder, eller som root/admin. Hvilke systemer giver mulighed for afvikling af sådan noget kode fra en brugerkonto?

OG hvis man så har fået rettigheder til at udforske netværket, så kræver det at der ER sårbare servere. Jo, software er ikke fejlfrit, men det her er altså et sikkerhedsfirma. Man kan sætte mange forhindringer op på mange niveauer.

Og endelig, hemmeligheder ligger ikke tilgængeligt på et netværk. Og man skulle også formode RSA kunne finde ud af at kryptere sine hemmeligheder, så de principielt KUNNE ligge frit tilgængeligt uden risiko. Det her er mere end almindeligt pinligt at se på...

  • 0
  • 0
Log ind eller Opret konto for at kommentere