September 14, 2007

If a Stranger Offers You Sweeties...

Common wisdom tells us to distrust strangers, but as you already know, common knowledge rarely applies to information security.

I have recently visited a couple of web sites with some astonishment due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir requests for very sensitive information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir users. The first one is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very well known FaceBook site, that I heard of from several Leo Laporte's podcats. The second is a not so well known but increasingly popular instant messaging service site called eBuddy, that allows you to use several IM platforms (MSN, Yahoo, AIM, GTalk, and MySpace) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first case, when creating an account, FaceBook asks you for your email password to be able to import your contacts and add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to your friends list. It is able to handle several email providers such as Hotmail, Gmail, or Yahoo. I do believe that FaceBook has some real business and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir site is not meant to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r naive user passwords. At least, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y allow you to skip this step and add your friends manually. However, I would like to know how many people with no real previous knowledge about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company (ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "somebody told me that is cool!" or even "somebody invited me") has provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email and password.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no benefit from visiting eBuddy if you don't type your IM user and password. Don't ask me if it works well after that, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no chance that I give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that info. But, although I understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to provide that service (at least currently, maybe OpenID and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Identity providers will solve this issues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future) than obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usernames and passwords, I leave those advanced services for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brave users that dare to give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir usernames and passwords to strangers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hope that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won't be stored and or used for any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r purpose. A very similar case is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service provided by ShapeService to use Skype from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iPhone, that requires you to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with your Skype account and password.

So my advice is clear. Please, think twice before you type your user and/or password in any website ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are meant for.

Labels:

September 03, 2007

To WEP or not to WEP. That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question!

The summer period goes by after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common hacking conferences: BlackHat, Defcon, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition of CCC this year. As always, be ready to dig through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archives! Unfortunately, I couldn't make it this year, however, as I couldn't go to Defcon, (part of) Defcon came to me :)

I love wireless security and stay up-to-date and go in-depth over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest wireless security news, events and research, so that every time I teach "Security 617: Assessing and Securing Wireless Networks", and although this SANS course is wisely and thoroughly uptated quarterly by Josh, students can get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most cutting-edge information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course.

I would have never though 2007 was going to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year of WEP (again). To me WEP was dead, but it seems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are different levels of death, and WEP seems to be a kind of zombie. On April this year, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircrack-ptw research and tool was released, speeding up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistical WEP cracking process to less than a minute.

On March a new WEP cloaking technology was announced by AirDefense to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old legacy WEP-based wireless networks, such as those used by retailers and merchants in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir WiFi PoS (point of sale) devices to process credit cards, and that lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest public cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of credit-card numbers in history during 18 months: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 famous TJX case.

There was some initial discussion in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityFocus (SF) wireless security mailing list, and some follow up Blog posts from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r major wireless seurity vendors, like Aruba. Although AirDefense clarified that WEP Cloaking is not an exclusive protection mechanism, but part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defense-in-deth strategy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big debate is: Does it have sense to promote and perpetuate a vulnerable technology like WEP?... or should we turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page and directly jump or migrate to WPA/WPA2?

During Defcon, Vivek Ramachandran senior wireless security researcher from AirTight Networks, presented "The Emperor Has No Cloak – WEP Cloaking Exposed" (long/technical, or short/humorous versions). AirTight performed an in-depth research about general WEP Cloaking (or Chaffing, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y call it) scenarios encouraged by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial NetworkWorld announcement.

Update: The Defcon 15 video for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation is available here.

The research was not focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AirDefense solution in particular, but created different generic and academic scenarios "protected" by a WEP chaffing solution and demonstrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be hacked. Between ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reasons, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could not analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competitor solution because we have been uncapable of getting a wireless traffic capture sample from a network with WEP Cloaking capabilities. We requested it through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SF mailing list, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircrack people asked for it again during Defcon, without success.

They basically simulated four different WEP Cloaking (or Chaffing) scenarios, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS (or WEP chaffing device) generates: random traffic, traffic encrypted with a single key, multiples keys or random keys.

The main strategy to attack this type of protection mechanism is to be able to differentiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valid traffic coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wireless network, and generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AP, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artificial or fake traffic injected to confuse WEP cracking tools, and generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS. They mainly implemented three methods to separate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valid traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake traffic:
  • Visual user inspection: Hey, we're still more smart than computers!
  • Filtering traffic based on IV's and sequence numbers: This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main methods we all thought about when we got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial announcement. It works because sequence numbers are incremented... sequentially, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same applies to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IV field in some WEP implementations. Some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs do not (like Cisco), but most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legacy WEP devices use sequential IV's.
  • Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of active packet replaying (ala chop-chop): The AP is your friend! Why not using it to acknowledge valid packets and discriminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from fake traffic?
Some videos containing similar demos as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones Vivek showed during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defcon presentation are linked above, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visual inspection and sequence number analysis techniques, plus one showing common WEP key statistics when fake traffic is inserted and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default aircrack-ng fails cracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WEP key in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of fake traffic.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods not exposed by this research was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of signal strength (RSSI) or bit rate (Mbps) to help discriminating AP traffic from IPS traffic. It seems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y run some lab tests, and came to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion that is not a very reliable method due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 significant variations associated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unpredictable radio frequency behaviour, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AP's and client drivers changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bit rate sporadically. I guess furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r research in this filed could help, unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AP and IPS are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same location and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same TX power and antennas.

Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WEP chaffing tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y used and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modifications cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y implemented in aircrack-ng are not widely available. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircrack-ng people are working on adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se capabilities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard suite, ala "--wep-cloaking" option, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not available yet in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current SVN version (0.9.2 revision 680).

Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 migration of large legacy WEP environments, whose wireless devices cannot support WPA/WPA2, can be expensive and not easy, sorry, but IMHO it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to go. Even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WEP Cloaking technology would work (do you still think so ;)), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r WEP-based attacks that are not mitigated by it, like chop-chop, WEP packet replay, PRGA determination, etc. Anyway, if you still think WEP Cloaking can effectively work, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did issue an open challenge at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation for anyone interested in demonstrating that his WEP solution is unbreakable.

As an independent security consultant I'm vendor agnostic respect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different WIDS vendors mentioned in this post, and think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best recommendation is to establish an aggressive migration path from WEP to WPA2, and meanwhile, apply defense-in-depth principles, with a robust detection and prevention WiFi layer to detect and react to attacks in almost realtime. The solution must provide triangulation capabilities to locate where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker could be: follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signal! :)

Once again, what else do you need to move out from WEP? I'm afraid we'll be talking about WEP again during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming months :(

P.S: Thanks to Della Lowe and Vivek Ramachandran for bringing to me part of Defcon, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir research, and for answering all my questions.

Labels: