Het securityteam van 's werelds grootste social network bewaakt dat netwerk niet alleen, maar zoekt ook zelf de aanval. Op zichzelf dan. Facebook heeft hiervoor een zogeheten Red Team; een onafhankelijk opererende securitygroep die gaten zoekt en schiet in de eigen beveiliging. Dat is al twee keer gelukt, voordat echte kwaadwillenden onlangs ook zijn binnengekomen op het bedrijfsnetwerk van Facebook.

Backdoor in productiecode

De twee eerdere hackincidenten waren slechts interne oefeningen. Bij de ene werd daarbij het complete Facebook-netwerk gecompromitteerd, terwijl bij de andere een backdoor werd geplaatst in de productiecode van het sociale netwerk. De geslaagde aanval met als eindresultaat de backdoor werd gepleegd via een 0-day beveiligingsgat dat intern is ontdekt door de developers van Facebook.

Ze ontdekten dat gat in de meest actuele versie van software, waarbij er dus nog geen patch is voor de kwetsbaarheid. Een exploit die de 0-day in kwestie benut, werd klaargezet, waarna een Facebook-ingenieur een zeer gerichte nepmail (spearphishing) kreeg toegestuurd. Het slachtoffer, die stilletjes was gerecruteerd voor de interne oefening, klikte netjes op de gemailde link. Waarna de 'aanvallers uit China' hun slag konden slaan.

Ontdekt, gemeld en gebruikt

In werkelijkheid was het dus het Red Team van Facebook zelf, dat zich voordeed als een waarschijnlijke aanvaller maar dan met inzet van echte middelen, zoals de 0-day in software die het bedrijf zelf gebruikt, maar niet ontwikkelt. Om welke software het gaat, wil Facebook niet onthullen tegenover securityblog Threatpost. Dat blog van securityleverancier Kaspersky doet de 0-day oefening van Facebook uit de doeken.

Naast operatie Loopback heeft Facebook in april vorig jaar een andere interne aanval uitgevoerd, om het eigen onwetende securityteam te pwnen. Lees verder op pagina 2.

Het voorheen onbekende beveiligingsgat is intern ontdekt en vervolgens gemeld aan de leverancier van de kwetsbare software. Die melding is gedaan voordat de eigen hackoefening, operatie Loopback, is uitgevoerd. Een patch voor de kwetsbaarheid was er toen dus nog niet. Maar inmiddels is die er dus wel.

Onbekende laptop

De securityoefening die daaraan voorafging was grootschaliger van aard. Bij operatie Vampire verstopte het Red Team een laptop met WiMAX-verbinding binnen het bedrijfspand; achter een opbergkast. Een securitymedewerker vond die computer, sloot hem aan op een stopcontact én het bedrijfsnetwerk.

Men ontdekte al snel dat de laptop geen bedrijfsapparaat was. De forensische specialisten die vervolgens werden ingeschakeld ontdekten dat de laptop contact had met een command&control-server buitenshuis. Het doornemen van de firewall-logs leerde dat er meer machines communiceerden met die c&c-server.

Securityteam gepwned

De inbrekers bleken toegang te hebben tot accounts met admin-rechten op het domein van het bedrijfsnetwerk. Daaronder dus ook leden van Facebooks securityteam, inclusief het hoofd daarvan. Die it-securitymensen kregen de schrik van hun leven.

Zij wisten, zoals het ook hoort, niets van de Red Team-oefening. Operatie Vampire was er dan ook op gericht om de reacties te meten op de volledige pwnage van Facebooks infrastructuur, inclusief het securityteam zelf. De derde, wél echte, hack bij Facebook is weliswaar geslaagd, maar de inbrekers zijn niet ver gekomen. Dat dankt het bedrijf naar eigen zeggen aan Loopback en Vampire.

Update:

Aangepast dat de ontvanger van de spearphishing-mail, die de echte 0-day benutte, stiekem onderdeel uitmaakte van de interne security-oefening. Hij was door het Red Team gerecruteerd voor Operatie Loopback.