The Evidence was in your Monthly Cell Phone Bill!... Bluetooth?
About 11 months ago I posted a kind of security challenge about my cell phone. Sorry about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delay, we have had some readers (Thanks Robin! et al) reminding me and asking "what happened". You deserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information ;), so finally, here it is!
Answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions raised in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous blog post:
1) What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response steps you would follow to discern what happened?
On purpose, I'm not going to be too formal following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommended 6-step Incident Handling process we use and teach in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Security 504 course. The first think to consider is this post itself... eh? You need to go through a final "Lessons Learned" phase, summarize, agree on, and report what happened and how to avoid similar incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. No matter how busy you are after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, and it is better late than never (this post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best example), you need to do it.
First of all, you need a good detection mechanism, anomaly-based in this case, to detect deviations from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm. After being aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra charges, I started analyzing in-depth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs, that is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone bill details. I focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific date and time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages were sent. Let's say September 9, between 21:50 and 22:05 (16 minutes). I focused on remembering where I was on that date, what I was doing at that time, and where my cell phone was on that specific moment :) I checked with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people around me at that date and time to double check my memories (team work).
I also tried to identify a pattern in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message generation during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16 minutes period without success. There were minutes without messages, minutes with a single message, and minutes with up to five messages. The number of messages per minute in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16 minutes period were: 1 3 1 3 2 0 1 0 1 5 1 0 1 0 3 2.
Additionally, I inspected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of sent messages on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone, trying to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r more evidence about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list was empty. I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone settings and discovered that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Save all sent messages" option was off :( Time to change it for future incidents and reflect it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Lessons Learned" report. Check your phone at this point, exercising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Preparation" phase, and be sure you enable as much logging as possible (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone memory can support it), so that you can have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence available in future incidents.
I made a call to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telecommunication provider just to notify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m involved in reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. The person taking care of my call checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description and classified it as "consecutive SMS messages sent" event. It seems it is something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y already have categorized ;) The reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y initially argued was that my cell phone brand (of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know my cell phone brand) sometimes present this misbehavior. Amazing! ;) It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I see this and I was tempted to ask: Does it apply to all models from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same manufacturer? (BTW, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brand was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major cell players world-wide)
Finally, I was following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, and three months later (one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons that delayed this post), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y agreed that it was a misbehavior on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir billing system and decided to return my money back. From a technical perspective, unfortunately, it was not due to a new cutting-edge hacking technique ;)
2) What do you think is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most probable security threat/vulnerability/exploit that could explain this type of incident?
Being wireless one of my preferred security topics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing that came to my mind was... Bluetooth!! Perhaps I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bluetooth radio enabled by mistake and someone was able to take advantage of it through a bluebugging attack (sometimes referred as bluesnarfing). Sometimes people mix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two types of Bluetooth attacks as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are very similar.
Both anonymous attacks allow an intruder to exploit a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone firmware and get unauthorized access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone capabilities and run commands through Bluetooth without notifying or alerting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, that is, evading any aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication and authorization mechanism:
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option, as Robin pointed out, could have been someone around me, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kids (it is always good to have kids around to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for it ;)), playing with my phone and impulsively voting through SMS in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular TV programs. It was not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case :)
Finally, do not forget to add all your mobile, and especially Bluetooth devices, to your common detection, incident handling, and computer forensics best practices, as well as to your auditing and pen-testing capabilities. It is time to do so, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices are used for really sensitive information and tasks! For this same reason, new cutting-edge Bluetooth sections and labs have been recently added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS "Wireless Ethical Hacking, Penetration Testing, and Defenses" course.
Answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions raised in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous blog post:
1) What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response steps you would follow to discern what happened?
On purpose, I'm not going to be too formal following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommended 6-step Incident Handling process we use and teach in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Security 504 course. The first think to consider is this post itself... eh? You need to go through a final "Lessons Learned" phase, summarize, agree on, and report what happened and how to avoid similar incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. No matter how busy you are after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, and it is better late than never (this post is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best example), you need to do it.
First of all, you need a good detection mechanism, anomaly-based in this case, to detect deviations from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm. After being aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra charges, I started analyzing in-depth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs, that is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone bill details. I focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific date and time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages were sent. Let's say September 9, between 21:50 and 22:05 (16 minutes). I focused on remembering where I was on that date, what I was doing at that time, and where my cell phone was on that specific moment :) I checked with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people around me at that date and time to double check my memories (team work).
I also tried to identify a pattern in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message generation during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16 minutes period without success. There were minutes without messages, minutes with a single message, and minutes with up to five messages. The number of messages per minute in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16 minutes period were: 1 3 1 3 2 0 1 0 1 5 1 0 1 0 3 2.
Additionally, I inspected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of sent messages on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone, trying to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r more evidence about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list was empty. I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone settings and discovered that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Save all sent messages" option was off :( Time to change it for future incidents and reflect it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Lessons Learned" report. Check your phone at this point, exercising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Preparation" phase, and be sure you enable as much logging as possible (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone memory can support it), so that you can have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence available in future incidents.
I made a call to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telecommunication provider just to notify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m involved in reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. The person taking care of my call checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description and classified it as "consecutive SMS messages sent" event. It seems it is something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y already have categorized ;) The reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y initially argued was that my cell phone brand (of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know my cell phone brand) sometimes present this misbehavior. Amazing! ;) It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I see this and I was tempted to ask: Does it apply to all models from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same manufacturer? (BTW, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brand was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major cell players world-wide)
Finally, I was following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, and three months later (one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons that delayed this post), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y agreed that it was a misbehavior on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir billing system and decided to return my money back. From a technical perspective, unfortunately, it was not due to a new cutting-edge hacking technique ;)
2) What do you think is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most probable security threat/vulnerability/exploit that could explain this type of incident?
Being wireless one of my preferred security topics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing that came to my mind was... Bluetooth!! Perhaps I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bluetooth radio enabled by mistake and someone was able to take advantage of it through a bluebugging attack (sometimes referred as bluesnarfing). Sometimes people mix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two types of Bluetooth attacks as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are very similar.
Both anonymous attacks allow an intruder to exploit a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone firmware and get unauthorized access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone capabilities and run commands through Bluetooth without notifying or alerting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, that is, evading any aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication and authorization mechanism:
- Bluebugging uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFCOMM and Serial Port profile to get control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone telecom capabilities through AT commands, that is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can send make and forward calls, establish data connections, send and receive text messages (SMS) - this is what I thought - and even turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device into a listening bug. View an example from The Real Hustle.
- Bluesnarfing uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OBEX Object Push profile to get access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 storage capabilities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of contacts, calendar, SMS boxes, files (images, audio, video, etc), IMEI, etc.
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option, as Robin pointed out, could have been someone around me, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kids (it is always good to have kids around to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for it ;)), playing with my phone and impulsively voting through SMS in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular TV programs. It was not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case :)
Finally, do not forget to add all your mobile, and especially Bluetooth devices, to your common detection, incident handling, and computer forensics best practices, as well as to your auditing and pen-testing capabilities. It is time to do so, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices are used for really sensitive information and tasks! For this same reason, new cutting-edge Bluetooth sections and labs have been recently added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS "Wireless Ethical Hacking, Penetration Testing, and Defenses" course.
Labels: Wireless
posted by Raul Siles at 3:57 PM
0 Comments:
Post a Comment
<< Home