<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
    <title></title>
  </head>
  <body bgcolor="#ffffff" text="#000000">
    Bro,<br>
    <br>
    Awareness is the most important thing. Do Not USE public open
    facilities like this for personal/private accounts/emails
    transactions. MiTM is one thing, session duplication is another. For
    the latter, there wont be any popups about expired cert on your
    screen. The last thing that you'll know is that your personal
    account already compromised ;)<br>
    <br>
    Btw if we look at the current trend now, these kind of attackers
    prefer to perform large scale attacks via spam/phising mails. More
    lucrative, higher compromise percentage and yeah surprisingly lot of
    people fall to it :D<br>
    <br>
    My piece..<br>
    p/s: Cha'ah.. brutal la hang. hahaha.<br>
    <br>
    <br>
    On 02/10/2010 13:44, Mohd Fazli Azran wrote:
    <blockquote
      cite="mid:AANLkTikD7O9FtXLLjqQVh9eEGz7NMrnWOxOsk_vpN1Rn@mail.gmail.com"
      type="cite">Dear members,&nbsp;
      <div><br>
      </div>
      <div>I have some opinion to share. Why we must look at this attack
        as a threat. But please dont doing this at home. This is not a
        good ethic and probably it will miss use for personal interest
        and if you get caught it your&nbsp;responsibility. This is for
        education&nbsp;purpose. This is just example:</div>
      <div><br>
      </div>
      <div>Tool : Cain or Ettercap&nbsp;</div>
      <div>Location : Coffee Bean / Starbuck / Old Town</div>
      <div>Attack Method : Sniff and ARP&nbsp;poisoning&nbsp;</div>
      <div><br>
      </div>
      <div>Many <b>Money Oriented Hacker</b>&nbsp;(MOH) will do this for
        their own interest. What would they prefer to sniff is Bank
        Online.For fun they will try to get any Social media that you
        have.&nbsp;</div>
      <div><br>
      </div>
      <div>HTTPS/ SSL many Organization not look into it and sometime it
        already expired or not qualified. Many people will ignore it and
        just accept the cert. Why we should worried HTTPS/SSL it not
        good protection for sniffer if the bad implement by
        organization. Poor implementation for SSL/TLS by many
        Organization especially in Malaysia allow many sniffer to be a
        MITM. If you see some cert are create by self signed and some
        cert maybe just rouge certificate. You can check all the Bank
        online if they have valid cert or they already expired. You also
        can look if Local bank use CA cert or not. CA was one of vendor
        &nbsp;create commercial cert. Are our local bank use this cert?. If
        you check many HTTPS/SSL are broken and can be direct attack/APT
        by sniffer.&nbsp;</div>
      <div><br>
      </div>
      <div>The problem of this i think it not from HTTPS/SSL but it from
        Application that use from them. The web online &nbsp;provided by Bank
        sometime &nbsp;it not enough to prevent sniffer get the U &amp; P.
        Some time the hashing can be manipulated and they can get easily
        and user are not detected at all.&nbsp;</div>
      <div><br>
      </div>
      <div>We must understand 1st what the process from user to server.
        Here the example&nbsp;scenario (Ahmad use Open Network and surf):&nbsp;</div>
      <div><br>
      </div>
      <div>1) Ahmad open Browser and surf Online Bank Web</div>
      <div>
        2) Browser will request login form from the server Online Bank</div>
      <div>3) Server (Online Bank) will sent random generate challenge
        (RGC )"c"&nbsp;<span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;"><font
            class="Apple-style-span" color="#ff0000"><b>Server sends
              HTML with above form rules</b></font></span></div>
      <div>4) &nbsp;RGC attach to the form and sent to Ahmad browser&nbsp;<span
          class="Apple-style-span" style="font-family: arial,sans-serif;
          font-size: 13px; border-collapse: collapse;"><font
            class="Apple-style-span" color="#ff0000"><b>MITM replaces
              the form with a simple form u/p</b></font></span><span
          class="Apple-style-span" style="font-family: arial,sans-serif;
          font-size: 13px; border-collapse: collapse; color: rgb(255, 0,
          0);"><b>&nbsp;are not manipulated</b></span></div>
      <div>4) Ahmad will enter username "u" and Password "p_user" and
        submit&nbsp;<span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;"><font
            class="Apple-style-span" color="#ff0000"><b>User fills out
              simple form, submits to MITM</b></font></span></div>
      <div>5) Ahmad browser will calculate&nbsp;<span
          class="Apple-style-span" style="font-family: arial,sans-serif;
          font-size: 13px; border-collapse: collapse;">h_user=hash((hash(p_user),
          c)&nbsp;</span><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;"><font
            class="Apple-style-span" color="#ff0000"><b>MITM calculates
              h_user from u / p / c</b></font></span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;">6)
          Ahmad browser sent "</span><span class="Apple-style-span"
          style="font-family: arial,sans-serif; font-size: 13px;
          border-collapse: collapse;">u" and "h_user" to the server.&nbsp;</span><span
          class="Apple-style-span" style="font-family: arial,sans-serif;
          font-size: 13px; border-collapse: collapse;"><font
            class="Apple-style-span" color="#ff0000"><b>MITM sends u +
              h_user to server</b></font></span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;">7)
          The server retrieve password hash "h_db" for user "u" from
          database</span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;">8)
          Server perform comparison which&nbsp;</span><span
          class="Apple-style-span" style="font-family: arial,sans-serif;
          font-size: 13px; border-collapse: collapse;">h_user==hash(h_db,
          c)</span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;">9)
          If this comparison it true, the credential are true and sent
          back to Ahmad Browser</span></div>
      <div>
        <span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;">10)
          Ahmad now login to server (Bank Online)</span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;"><br>
        </span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;">If
          i miss out some point here please correct it. But you can see
          the red text are the process between user, MITM &amp; server.
          You can do this and try if you can get any U &amp; P from any
          local Bank Online (Maybank, CIMB, BIMB, RHB) and Oversea Bank
          (HSBC, Citibank, Standard&nbsp;Chartered) You can compare which web
          security&nbsp;are more reliable and are they implement it. The best
          policy and the process they do will combat any MITM to get the
          U/P from server. My point is are they doing enough to protect
          user from this threat. Are we?</span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;"><br>
        </span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;">P/S
          : I`m not buyers any Bank here just to show what the reality
          are.&nbsp;</span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;"><br>
        </span></div>
      <div><span class="Apple-style-span" style="font-family:
          arial,sans-serif; font-size: 13px; border-collapse: collapse;">Mohd
          Fazli Azran</span></div>
      <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
Owasp-Malaysia mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a>

OWASP Malaysia Wiki
<a class="moz-txt-link-freetext" href="http://www.owasp.org/index.php/Malaysia">http://www.owasp.org/index.php/Malaysia</a>

OWASP Malaysia Wiki Facebook
<a class="moz-txt-link-freetext" href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a></pre>
    </blockquote>
    <br>
  </body>
</html>