<div dir="ltr">I don't have public data to share  at the moment, but my experience also backs that IP addresses are quickly cycled through and aren't a reliable defense.<div><br></div><div>Idea - it would be interesting to do a public call for data as we flush out guidance. What better way to get more info and involvement than to reach out publicly and ask for it?</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><br></div><div>OWASP Global Board<br></div><div dir="ltr"><div><br></div><div><br></div><div><br><br></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Tue, Sep 20, 2016 at 6:20 PM, Brad Causey <span dir="ltr"><<a href="mailto:bradcausey@owasp.org" target="_blank">bradcausey@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Wow Ryan,<div><br></div><div>Thanks for that!!! That's certainly a level I've never seen before. Sounds like you're the SME that needs to help with the cheat sheet! =)</div><div><br></div><div>Based on this, do you think that device fingerprinting and MFA are effective countermeasures? </div></div><div class="gmail_extra"><span class=""><br clear="all"><div><div data-smartmail="gmail_signature">-Brad Causey<br>CISSP, MCSE, C|EH, CIFI, CGSP<br><br><a href="http://www.owasp.org" target="_blank">http://www.owasp.org</a><br>--<br>"Si vis pacem, para bellum"<br>--</div></div>
<br></span><div><div class="h5"><div class="gmail_quote">On Tue, Sep 20, 2016 at 7:57 PM, Ryan Barnett <span dir="ltr"><<a href="mailto:ryan.barnett@owasp.org" target="_blank">ryan.barnett@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="white" lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">We see account stuffing attacks all the time and they are a huge problem.  See my blog post here to get an example of the size/scope of attacks - <a href="https://blogs.akamai.com/2016/06/web-application-defenders-field-report-account-takeover-campaigns-spotlight.html" target="_blank">https://blogs.akamai.com/2016/<wbr>06/web-application-defenders-f<wbr>ield-report-account-takeover-c<wbr>ampaigns-spotlight.html</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">We are talking millions of participating IP addresses…<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">-Ryan<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-family:Calibri;color:black">From: </span></b><span style="font-family:Calibri;color:black"><<a href="mailto:owasp-leaders-bounces@lists.owasp.org" target="_blank">owasp-leaders-bounces@lists.o<wbr>wasp.org</a>> on behalf of Brad Causey <<a href="mailto:bradcausey@owasp.org" target="_blank">bradcausey@owasp.org</a>><br><b>Reply-To: </b><<a href="mailto:bradcausey@owasp.org" target="_blank">bradcausey@owasp.org</a>><br><b>Date: </b>Tuesday, September 20, 2016 at 8:34 PM<br><b>To: </b>Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>><br><b>Cc: </b>OWASP Leaders <<a href="mailto:owasp-leaders@lists.owasp.org" target="_blank">owasp-leaders@lists.owasp.org</a><wbr>><br><b>Subject: </b>Re: [Owasp-leaders] <a href="https://www.owasp.org/index.php/Credential_stuffing" target="_blank">https://www.owasp.org/index.ph<wbr>p/Credential_stuffing</a><u></u><u></u></span></p></div><div><div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Good stuff Michael. <u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Part of what makes this interesting is that these attacks evolve as the defenses evolve. <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">When we first started defending against this, we called it "credential reuse" and we were able to defeat it by using two step authentication combined with something similar to CSRF protection(basically just have a server variable ensure that a browser was rendering the first step). At the time, most secure sites included the username and password on the same page, and used a single form submission to evaluate the validity of credentials. Every reuse attempt was scripted using simple python or perl, and came from a single IP address, so it was easy to identify by watching the web server logs closely. <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Things have evolved a bit more, but not much from what I've seen. At this point, we are seeing attempts migrate from one IP to another slowly. For example, 1000 attempts from one IP, then 1000 from another, etc.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">If there are highly sophisticated attacks out there, I haven't seen one. Of course, my experience is anecdotal. What we really need is examples of these attacks using whatever advanced methods they are using. Even if it's just log files. <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Has anyone seen a more evolved version of this? <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">By my estimation, MFA plus behavior and device analysis will be the only way to prevent this in it's final stage of evolution.  <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div><div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><div><p class="MsoNormal">-Brad Causey<br>CISSP, MCSE, C|EH, CIFI, CGSP<br><br><a href="http://www.owasp.org" target="_blank">http://www.owasp.org</a><br>--<br>"Si vis pacem, para bellum"<br>--<u></u><u></u></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Tue, Sep 20, 2016 at 6:14 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>> wrote:<u></u><u></u></p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="MsoNormal"><br>"<span style="font-size:9.5pt">For example, lets say that multi-step login caused 90% of the current Credential Stuffing attacks to go away, wouldn't that be worth it?"</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I think we need to be very careful because, without data, we're just speculating on how easy it is to bypass a "basic defense". For consideration a comparable example would be to strip <script> in order to prevent XSS attacks. It may prevent X% of basic XSS attacks, but we all agree it's counterproductive to even suggest this.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Another example for consideration is multi-submit CSRF attacks. Would we consider a two page form a recommended defense against CSRF attacks? It is slightly more difficult, but not really. <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Lastly, the economics of the attacker market does not require every attacker to recreate the offensive attack wheel. Instead one attacker builds a tool and resells it to many. This is particularly true with credential stuffing attacks see Sentry MBA tool (<a href="http://www.csoonline.com/article/3045247/cyber-attacks-espionage/sentry-mba-makes-credential-stuffing-attacks-easy-and-cheap.html" target="_blank">http://www.csoonline.com/arti<wbr>cle/3045247/cyber-attacks-espi<wbr>onage/sentry-mba-makes-credent<wbr>ial-stuffing-attacks-easy-and-<wbr>cheap.html</a>). At the end the inclusion of an easy to bypass defense would just lead to a false sense of security.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">What to do?<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Recognize this is hard and have a factual discussion that outlines the good defenses (even if they are hard). There are several that are good defenses already included in the cheat sheet. Hopefully the collective focus with a solid understanding of the problem space will lead to additional research and easier defenses.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Thanks! I'm well aware this is a tough area and excited to see an exploration of the issue.<u></u><u></u></p></div></div><div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><div><div><div><div><div><div><div><p class="MsoNormal"><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><u></u><u></u></p></div><div><p class="MsoNormal">OWASP Global Board<u></u><u></u></p></div><div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p></div></div></div></div></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><div><p class="MsoNormal">On Tue, Sep 20, 2016 at 10:56 AM, Dave Wichers <<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>> wrote:<u></u><u></u></p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><div><div><p class="MsoNormal" style="margin-bottom:12.0pt">Michael,<u></u><u></u></p></div><p class="MsoNormal" style="margin-bottom:12.0pt">I'm not so sure we should drop basic defenses yet, since this problem is so new. I think we should be VERY clear, that we understand certain defenses can be bypassed when they can.<u></u><u></u></p></div><p class="MsoNormal" style="margin-bottom:12.0pt">For example, lets say that multi-step login caused 90% of the current Credential Stuffing attacks to go away, wouldn't that be worth it? We all understand this is an arms race, so it will keep getting harder and harder, but I don't think that relatively simple defenses that work today should be discarded. And if that's simply step 1 in your defense, and you plan to add additional layers of defense, then I don't think discarding step 1 is necessary/appropriate.<u></u><u></u></p></div><p class="MsoNormal"><span style="color:#888888">-Dave</span><u></u><u></u></p></div><div><div><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Tue, Sep 20, 2016 at 1:46 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>> wrote:<u></u><u></u></p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><p class="MsoNormal">Brad,<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Thanks for kickstarting this cheat sheet. My initial feedback is that we should scrap 3.2 Defense Option 2: Multi-Step Login Process and 3.3 Defense Option 3: IP blacklists. These defenses just don't work against this type of attack. Even if they provide some defense against the most basic attacks I feel it's misleading since it's trivial for an attacker to bypass these defenses and real world attacks show that they regularly do.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Not meant as a bash on the overall cheat sheet. In fact I think I kicked off this thread and am a big supporter of discussion here. But I think it's good for us to avoid partial solutions that could give a false sense of security.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I like the other defenses. I think we also can add a few others which are "additional identify verification" and "anti automation.<u></u><u></u></p></div></div><div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><div><div><div><div><div><div><div><p class="MsoNormal"><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><u></u><u></u></p></div><div><p class="MsoNormal">OWASP Global Board<u></u><u></u></p></div><div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p></div></div></div></div></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><div><p class="MsoNormal">On Tue, Sep 20, 2016 at 9:39 AM, Brad Causey <<a href="mailto:bradcausey@owasp.org" target="_blank">bradcausey@owasp.org</a>> wrote:<u></u><u></u></p></div></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><div><p class="MsoNormal">Great discussion so far.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Would you folks mind taking a look over this and providing feedback? <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I intend to provide more detail on each subject, but first I figured we could agree on the primary defenses.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><a href="https://www.owasp.org/index.php/Credential_Stuffing_Prevention_Cheat_Sheet" target="_blank">https://www.owasp.org/index.ph<wbr>p/Credential_Stuffing_Preventi<wbr>on_Cheat_Sheet</a><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div><p class="MsoNormal" style="margin-bottom:12.0pt">______________________________<wbr>_________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><u></u><u></u></p></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>______________________________<wbr>_________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><u></u><u></u></p></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal">______________________________<wbr>_________________ OWASP-Leaders mailing list <a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a> <u></u><u></u></p></div></div></div></div>
</blockquote></div><br></div></div></div>
</blockquote></div><br></div>