Tuesday, June 03, 2008

Old School Layer 2 Hacking

When I designed my TCP/IP Weapons School class my intent was to teach TCP/IP at an advanced level using traffic generated by security tools. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard approach of showing all normal traffic was boring. Sometimes students (or those on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sidelines) wonder why I should bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r teaching a technique like ARP spoofing at all, when layer 7 attacks are what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool kids are doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. One answer is below.

Ref: Sunbelt Blog

How could this happen? It turns out it wasn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit Project. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, a server in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same VLAN as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit Project was compromised and used to ARP spoof cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit Project Web site. See Full Disclosure: Re: Metasploit - Hack ? and this for details.

HD Moore responded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident by adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper MAC address for his Web hoster's gateway as a static entry to his ARP cache.

This is a great example of a cloud security problem. You host your content at a third party, and you rely upon that third party -- and potentially ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r customers of that third party -- to implement adequate security. In this case, at least one ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r customer was vulnerable, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web hosting company didn't take adequate measures to protect its switching infrastructure. Of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder who ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ARP spoofing attack is really at fault, but this event demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade-off associated with relying upon third parties.

Incidentally, this marks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third event of "modern history" involving ARP spoofing I've documented here. Earlier incidents included Freenode admin credentials and injecting malicious IFRAMEs at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Web hosting provider.

If you're interested in my Black Hat class, we increased cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seat count to 80 per class (instead of 60). Registration is still open.

4 comments:

Anonymous said...

is hacking illegal?

Roland Dobbins said...

Whoever is responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switching infrastructure should implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various layer-2 security mechanisms which are available on modern switches, such as port, pVLANs, IP Source Guard/DHCP Snooping (works for static addresses, too) in order to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of attacks of this type being successfully launched. Proper instrumentation and telemetry collection/analysis would've let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opsec team know something was afoot, as well.

Anonymous said...

You know, security "practitioners" nowadays are so focused on application level security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y often forget about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r layers. When it comes to "security" sites, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should have known better especially team Metasploit who is providing PACH's (Point and Click Hackers) with all inclusive tools.

Anonymous said...

I don't know why anyone would discount ARP spoofing as a legitimate attack vector. There was a pretty big EDU incident this last year where malware on a machine was ARP spoofing and doing code injection attacks as people requested HTTP through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware infected machine. The details were released during a presentation at Educause Security 2008 ('An ARP Spoofing and Router Impersonation Incident' by David Greenberg of Indiana University). It's an incredibly effective malware distribution tool.