<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="PlaceType"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PlaceName"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="country-region"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="place"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Hi Fazli, <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Thank you for including me in the mailing
list, I was just about to subscribe to it. Can you please change my email
address to <a href="mailto:klgan2000@yahoo.com">klgan2000@yahoo.com</a>? I tend
to keep my office mail for official stuff only.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Thanks &amp; sorry for the trouble.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Regards,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Gan<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'>
owasp-malaysia-bounces@lists.owasp.org
[mailto:owasp-malaysia-bounces@lists.owasp.org] <b><span style='font-weight:
bold'>On Behalf Of </span></b>Mohd Fazli Azran<br>
<b><span style='font-weight:bold'>Sent:</span></b> Saturday, October 02, 2010
1:45 PM<br>
<b><span style='font-weight:bold'>To:</span></b> owasp-malaysia<br>
<b><span style='font-weight:bold'>Subject:</span></b> [Owasp-Malaysia] MITM
Attack : Why should we look at it?</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Dear members,&nbsp;<o:p></o:p></span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>I have some opinion to share. Why we must look at this attack as a
threat. But please dont doing this at home. This is not a good ethic and
probably it will miss use for personal interest and if you get caught it
your&nbsp;responsibility. This is for education&nbsp;purpose. This is just
example:<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Tool : Cain or Ettercap&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Location : Coffee Bean / Starbuck / <st1:place w:st="on"><st1:PlaceName
 w:st="on">Old</st1:PlaceName> <st1:PlaceType w:st="on">Town</st1:PlaceType></st1:place><o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Attack Method : Sniff and ARP&nbsp;poisoning&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Many <b><span style='font-weight:bold'>Money Oriented Hacker</span></b>&nbsp;(MOH)
will do this for their own interest. What would they prefer to sniff is Bank
Online.For fun they will try to get any Social media that you have.&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>HTTPS/ SSL many Organization not look into it and sometime it already
expired or not qualified. Many people will ignore it and just accept the cert.
Why we should worried HTTPS/SSL it not good protection for sniffer if the bad
implement by organization. Poor implementation for SSL/TLS by many Organization
especially in <st1:country-region w:st="on"><st1:place w:st="on">Malaysia</st1:place></st1:country-region>
allow many sniffer to be a MITM. If you see some cert are create by self signed
and some cert maybe just rouge certificate. You can check all the Bank online
if they have valid cert or they already expired. You also can look if Local
bank use CA cert or not. CA was one of vendor &nbsp;create commercial cert. Are
our local bank use this cert?. If you check many HTTPS/SSL are broken and can
be direct attack/APT by sniffer.&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>The problem of this i think it not from HTTPS/SSL but it from
Application that use from them. The web online &nbsp;provided by Bank sometime
&nbsp;it not enough to prevent sniffer get the U &amp; P. Some time the hashing
can be manipulated and they can get easily and user are not detected at
all.&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>We must understand 1st what the process from user to server. Here the
example&nbsp;scenario (Ahmad use Open Network and surf):&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>1) Ahmad open Browser and surf Online Bank Web<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>2) Browser will request login form from the server Online Bank<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>3) Server (Online Bank) will sent random generate challenge (RGC
)&quot;c&quot;&nbsp;</span></font><span class=apple-style-span><b><font size=2
color=red face=Arial><span style='font-size:10.0pt;font-family:Arial;
color:red;font-weight:bold'>Server sends HTML with above form rules</span></font></b></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>4) &nbsp;RGC attach to the form and sent to Ahmad browser&nbsp;</span></font><span
class=apple-style-span><b><font size=2 color=red face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:red;font-weight:bold'>MITM
replaces the form with a simple form u/p&nbsp;are not manipulated</span></font></b></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>4) Ahmad will enter username &quot;u&quot; and Password
&quot;p_user&quot; and submit&nbsp;</span></font><span class=apple-style-span><b><font
size=2 color=red face=Arial><span style='font-size:10.0pt;font-family:Arial;
color:red;font-weight:bold'>User fills out simple form, submits to MITM</span></font></b></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>5) Ahmad browser will calculate&nbsp;</span></font><span
class=apple-style-span><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>h_user=hash((hash(p_user), c)&nbsp;<b><font color=red><span
style='color:red;font-weight:bold'>MITM calculates h_user from u / p / c</span></font></b></span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>6) Ahmad browser sent &quot;u&quot;
and &quot;h_user&quot; to the server.&nbsp;<b><font color=red><span
style='color:red;font-weight:bold'>MITM sends u + h_user to server</span></font></b></span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>7) The server retrieve password hash
&quot;h_db&quot; for user &quot;u&quot; from database</span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>8) Server perform comparison
which&nbsp;h_user==hash(h_db, c)</span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>9) If this comparison it true, the
credential are true and sent back to Ahmad Browser</span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>10) Ahmad now login to server (Bank
Online)</span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>If i miss out some point here please
correct it. But you can see the red text are the process between user, MITM
&amp; server. You can do this and try if you can get any U &amp; P from any
local Bank Online (Maybank, CIMB, BIMB, RHB) and Oversea Bank (HSBC, Citibank,
Standard&nbsp;Chartered) You can compare which web security&nbsp;are more reliable
and are they implement it. The best policy and the process they do will combat
any MITM to get the U/P from server. My point is are they doing enough to
protect user from this threat. Are we?</span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>P/S : I`m not buyers any Bank here
just to show what the reality are.&nbsp;</span></font></span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><span class=apple-style-span><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>Mohd Fazli Azran</span></font></span><o:p></o:p></p>

</div>

</div>

</body>

</html>