September 08, 2008

The Evidence was in your Monthly Cell Phone Bill!... Bluetooth?

About 11 months ago I posted a kind of security challenge about my cell phone. Sorry about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delay, we have had some readers (Thanks Robin! et al) reminding me and asking "what happened". You deserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information ;), so finally, here it is!

Answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions raised in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous blog post:

1) What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response steps you would follow to discern what happened?

On purpose, I'm not going to be too formal following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommended 6-step Incident Handling process we use and teach in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Security 504 course. The first think to consider is this post itself... eh? You need to go through a final "Lessons Learned" phase, summarize, agree on, and report what happened and how to avoid similar incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. No matter how busy you are after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, and it is better late than never (this post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best example), you need to do it.

First of all, you need a good detection mechanism, anomaly-based in this case, to detect deviations from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm. After being aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra charges, I started analyzing in-depth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs, that is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone bill details. I focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific date and time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages were sent. Let's say September 9, between 21:50 and 22:05 (16 minutes). I focused on remembering where I was on that date, what I was doing at that time, and where my cell phone was on that specific moment :) I checked with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people around me at that date and time to double check my memories (team work).

I also tried to identify a pattern in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message generation during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16 minutes period without success. There were minutes without messages, minutes with a single message, and minutes with up to five messages. The number of messages per minute in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16 minutes period were: 1 3 1 3 2 0 1 0 1 5 1 0 1 0 3 2.

Additionally, I inspected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of sent messages on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone, trying to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r more evidence about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list was empty. I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone settings and discovered that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Save all sent messages" option was off :( Time to change it for future incidents and reflect it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Lessons Learned" report. Check your phone at this point, exercising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Preparation" phase, and be sure you enable as much logging as possible (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone memory can support it), so that you can have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence available in future incidents.

I made a call to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telecommunication provider just to notify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m involved in reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. The person taking care of my call checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description and classified it as "consecutive SMS messages sent" event. It seems it is something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y already have categorized ;) The reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y initially argued was that my cell phone brand (of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know my cell phone brand) sometimes present this misbehavior. Amazing! ;) It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I see this and I was tempted to ask: Does it apply to all models from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same manufacturer? (BTW, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brand was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major cell players world-wide)

Finally, I was following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, and three months later (one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons that delayed this post), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y agreed that it was a misbehavior on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir billing system and decided to return my money back. From a technical perspective, unfortunately, it was not due to a new cutting-edge hacking technique ;)


2) What do you think is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most probable security threat/vulnerability/exploit that could explain this type of incident?

Being wireless one of my preferred security topics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing that came to my mind was... Bluetooth!! Perhaps I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bluetooth radio enabled by mistake and someone was able to take advantage of it through a bluebugging attack (sometimes referred as bluesnarfing). Sometimes people mix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two types of Bluetooth attacks as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are very similar.


Both anonymous attacks allow an intruder to exploit a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone firmware and get unauthorized access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone capabilities and run commands through Bluetooth without notifying or alerting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, that is, evading any aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication and authorization mechanism:
  • Bluebugging uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFCOMM and Serial Port profile to get control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone telecom capabilities through AT commands, that is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can send make and forward calls, establish data connections, send and receive text messages (SMS) - this is what I thought - and even turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device into a listening bug. View an example from The Real Hustle.
  • Bluesnarfing uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OBEX Object Push profile to get access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 storage capabilities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of contacts, calendar, SMS boxes, files (images, audio, video, etc), IMEI, etc.
Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are old Bluetooth attacks, I'm sure we still are going to see similar vulnerabilities in new phone models, as it is an implementation bug. If you want to test your device, I suggest you to port and service scan it from a Bluetooth point of view using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 psm_scan (1-65535) and rfcomm_scan (1-30) tools.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option, as Robin pointed out, could have been someone around me, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kids (it is always good to have kids around to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for it ;)), playing with my phone and impulsively voting through SMS in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular TV programs. It was not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case :)

Finally, do not forget to add all your mobile, and especially Bluetooth devices, to your common detection, incident handling, and computer forensics best practices, as well as to your auditing and pen-testing capabilities. It is time to do so, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices are used for really sensitive information and tasks! For this same reason, new cutting-edge Bluetooth sections and labs have been recently added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS "Wireless Ethical Hacking, Penetration Testing, and Defenses" course.

Labels:

0 Comments:

Post a Comment

<< Home