Practical Padding Oracle Attacks

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thông tin new bugs và exploits

Practical Padding Oracle Attacks

[Announcement] Practical Padding Oracle Attacks	16/04/2010 13:07:05 (+0700) \| #1 \| 209140

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

Hello bà con,

Sáng hôm qua mình và một người bạn đã trình bày đề tài "Practical Padding Oracle Attacks" tại hội thảo BH EU 2010. Tại hội thảo mình đã trình bày cách sử dụng Padding Oracle attack, một phương thức tấn công cực kỳ mạnh mẽ, có thể giúp cho attacker giải mã ciphertext mà không cần biết key hoặc thuật toán đang được sử dụng.

Mình cũng trình bày các sử dụng Padding Oracle attack để tấn công RubyOnRails, để crack CAPTCHA, để giải mã view state của JavaServer Faces. Quan trọng hơn hết là CBC-R, một kỹ thuật rất mới để biến một decryption oracle thành một encryption oracle. Sử dụng CBC-R, chúng ta có thể tạo được những ciphertext với plaintext tuỳ chọn mà không cần biết key, hoặc thậm chí là thuật toán được sử dụng.

Có khoảng hơn 100 người nghe, nhìn chung thì đa số không hiểu gì :-D, tự vì hai lý do: tiếng Anh của người trình bày không được trôi chảy và nội dung thì lại khó. Nhưng bù lại là cũng có khoảng 20-30 người hiểu, quan tâm và đặt câu hỏi sau buổi trình bày. He he he trong đó có một ông người Ba Lan, tác giả của stunnel smilie

.

Các bạn có thể download paper và slide ở đây http://www.blackhat.com/html/bh-eu-10/bh-eu-10-archives.html. Nhưng mà phiên bản trên đó không phải phiên bản mới nhất. Mình sẽ upload phiên bản mới nhất lên trong vài ngày tới.

Ngoài ra mình còn làm một video http://www.youtube.com/watch?v=e46A-PUpDvk để mô tả cách thức sử dụng padding oracle để crack CAPTCHA bằng javascript.

-m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

[Announcement] Practical Padding Oracle Attacks	16/04/2010 14:22:27 (+0700) \| #2 \| 209142

nhanth87
Member

Joined: 12/08/2009 08:54:00
Messages: 168
Offline

Chào anh, em có một thắc mắc mong anh giải đáp:
Oracle có vị trí như thế nào trong một hệ thống mã hoá mà có có thể "phán quyết" (em tạm gọi như vậy) một chosen cyphertext có thể giải mã được ?

Aricent - Software Engineer

[Announcement] Practical Padding Oracle Attacks	16/04/2010 21:59:28 (+0700) \| #3 \| 209170

B 0 0 B
Member

Joined: 31/07/2009 17:19:41
Messages: 149
Offline

hôm trước có mò vào download và đọc tài liệu này, nhưng ko hiểu gì nhiều toàn thuật toán, tưởng mrro trình bày 1-bit-side-channel gì chứ, cứ tìm hoài trong đó mà ko có chữ nào.

như vậy là mấy site mà dùng capchar sơ hở cũng chết.

[Announcement] Practical Padding Oracle Attacks	19/04/2010 11:39:58 (+0700) \| #4 \| 209299

nhanth87
Member

Joined: 12/08/2009 08:54:00
Messages: 168
Offline

B 0 0 B wrote:

hôm trước có mò vào download và đọc tài liệu này, nhưng ko hiểu gì nhiều toàn thuật toán, tưởng mrro trình bày 1-bit-side-channel gì chứ, cứ tìm hoài trong đó mà ko có chữ nào.

như vậy là mấy site mà dùng capchar sơ hở cũng chết.

1 bit side channel là kỹ thuật tấn công mã hoá kiểu block chứ đâu nhất thiết phải là wireless hả bạn?

Aricent - Software Engineer

[Announcement] Practical Padding Oracle Attacks	19/04/2010 14:55:15 (+0700) \| #5 \| 209312

StarGhost
Elite Member

Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline

@nhanth87: mình nghĩ bạn nên google những từ khoá như oracle hay side channel để hiểu rõ hơn về mặt khái niệm trước khi thảo luận.

@mrro: paper rất hay. Hôm trước mrro có nói sẽ trình bày về một kĩ thuật tấn công tương tự chopchop, có lẽ là cái này. Đúng là có tương tự nhau, mặc dù chopchop hạn chế hơn padding oracles, vì trong wireless encryption thì plaintext còn được hỗ trợ CRC và MIC nữa.

Mind your thought.

[Announcement] Practical Padding Oracle Attacks	20/04/2010 05:18:37 (+0700) \| #6 \| 209353

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

@nhanth87: mình không hiểu câu hỏi của bạn.

@B O O B: padding oracle attack chính là 1 loại bit side-channel attack đó bạn.

@StarGhost: cảm ơn smilie

. đúng là nó đó. giờ chắc StarGhost hiểu tại sao có lần mình nói là chopchop có cùng nguồn gốc với padding oracle attack. ý tưởng cơ bản là rất giống nhau.

về cái buổi nói chuyện thì có mấy cái review sau đây có lẽ là mô tả chính xác những gì đã diễn ra:

http://www.corelan.be:8800/index.php/2010/04/16/blackhat-europe-2010-barcelona-day-10/

http://blog.rootshell.be/2010/04/15/blackhat-briefings-day-2/

http://blog.c22.cc/2010/04/15/blackhat-europe-practical-crypto-attacks-against-web-applications-2/

về paper, slide và tool, chắc phải tuần sau mình mới upload lên được.

-m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

[Announcement] Practical Padding Oracle Attacks	20/04/2010 11:52:30 (+0700) \| #7 \| 209385

nhanth87
Member

Joined: 12/08/2009 08:54:00
Messages: 168
Offline

Chào anh, rất vui vì nhận được phản hồi của các anh. Ý em là ở đoạn 2.2 trong papers của anh có viết: gửi rất nhiều ciphertext tới một oracle nào đó và nhận thông báo lỗi chúng ta có thể đoán được là nó có phải padding oracles không phải không ? Như vậy:

đây có phải là chosen ciphertext attack không ạ?
Và tại sao lại có báo lỗi đó?

Aricent - Software Engineer

[Announcement] Practical Padding Oracle Attacks	21/04/2010 15:14:01 (+0700) \| #8 \| 209501

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

nhanth87 wrote:

Chào anh, rất vui vì nhận được phản hồi của các anh. Ý em là ở đoạn 2.2 trong papers của anh có viết: gửi rất nhiều ciphertext tới một oracle nào đó và nhận thông báo lỗi chúng ta có thể đoán được là nó có phải padding oracles không phải không ? Như vậy:

đây có phải là chosen ciphertext attack không ạ?
Và tại sao lại có báo lỗi đó?

1. đúng là chosen-ciphertext attack đó bạn. tự vì attacker được quyền chọn ciphertext để gửi đến mục tiêu mà. chương đầu tiên của "applied cryptography" có giải thích rất rõ và dễ hiểu về các loại tấn công trong cryptography, bạn nên đọc.

2. tại sao có lỗi đó thì trong paper mình đã có viết rồi. chủ yếu là do lập trình viên cho rằng việc thông báo lỗi là cần thiết. hoặc nhiều khi họ cũng không biết là hệ thống có thể phát sinh lỗi, nên không viết mã để xử lý, thành ra lỗi nó hiện ra rõ mồn một cho những ai muốn tìm.

-m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

[Announcement] Practical Padding Oracle Attacks	13/05/2010 01:44:43 (+0700) \| #9 \| 210773

B 0 0 B
Member

Joined: 31/07/2009 17:19:41
Messages: 149
Offline

mrro wrote:

về paper, slide và tool, chắc phải tuần sau mình mới upload lên được.
-m

lâu rồi ko thấy?

[Announcement] Practical Padding Oracle Attacks	21/05/2010 09:42:35 (+0700) \| #10 \| 211312

dbs
Member

Joined: 20/05/2010 21:30:34
Messages: 1
Offline

Hi all,

Tôi chưa xem qua nội dung phần trình bày của bạn mrro tại BH, nhưng cái tên chủ đề có từ Oracle làm tối "nhầm" tưởng là liên quan đến công nghệ Oracle và vì vậy nên vô tình tôi đọc được bài nhận xét này.

Tôi cũng chưa đọc kĩ phần nhận xét của tác giả, các bạn tự đọc rồi tự kết luận vậy.

Practical padding oracle Attacks
Thai Duong and Juliano Rizzo kicked off the second day at Blackhat Europe 2010.

That was the first surprise of the day. Oracle vs oracle… I should have known there was something wrong with that. I guess I was not the only one who was caught by surprise. After the first slide, I heard a lot of people mumbling "this is another presentation" and things like that. Anyways, the talk was about crypto, and feeding hardcore crypto to my brain at this time of the day is just not good for me.

I got hit by the well-known "massive concrete demolition hammer" while trying to understand the highly technical (and math) presentation about cryptography and how oracle padding can be used to break all sorts of encryption mechanisms. Ok, I have to admit. Even when I’m wide awake, this stuff will kill me as well.

So I’m sorry. There’s not really much I can tell about this presentation. These guys did some awesome research and provided a really detailed presentation, that is, if you could understand what they were saying (and I’m talking about the content here). But don’t expect me to give you details on how things work, because I didn’t get it. (I will look back at the paper and slides later on and see if I can get it after a 2nd, 3rd, 4th etc reading)

Their first demo went terribly wrong (murphy’s law)… twice… , and that gave me the time to try to refocus and to understand what they were saying….

… but I failed miserably in my attempts to catch up again…

So the only thing I can do is admit that I’m not up to that kind of challenges at this time of the time (or just in general) and I’ll just summarize the entire talk in a few lines : Thai and Julianno explained the technical details and theory behind their findings, and applied those findings to a few practical attacks : break captcha code, decrypt JavaServer Faces view states etc. They are releasing a tool called POET (= Padding Oracle Exploitation Tool) and some javascript code to break captcha after BH 2010. (see http://netifera.com/research)

Again, excellent in-depth and well-performed and well-documented research. Just bad timing on my behalf.

So I moved on to the next presentation.

http://www.corelan.be:8800/index.php/2010/04/16/blackhat-europe-2010-barcelona-day-10/)

Regards.

[Announcement] Practical Padding Oracle Attacks	08/06/2010 06:42:30 (+0700) \| #11 \| 212748

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

* Tool, slide và paper: http://netifera.com/research/

* Video demo: http://www.youtube.com/watch?v=euujmKDxmC4

* Media smilie

: http://www.theregister.co.uk/2010/06/08/padding_oracle_attack_tool/

Riêng cái paper, chắc phải đợi sau tháng 8, mới có một cái paper chính thức hay ho hơn, do mình mới sửa lại và nộp cho một chỗ để họ peer review.

-m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

[Announcement] Practical Padding Oracle Attacks	12/06/2010 18:37:50 (+0700) \| #12 \| 213146

Jino_Hoang
Member

Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline

Anh Thái viết bài này lâu rồi nhưng em thấy Padding Oracle Exploitation Tool (Poet) ra đời thì nó mới được nhắc đến trên các trang IT News. Có cách nào để vá cái lỗi này không anh.

Đã Trở Lại - Ăn Hại Hơn Trước

[Announcement] Practical Padding Oracle Attacks	12/06/2010 18:41:51 (+0700) \| #13 \| 213147

Jino_Hoang
Member

Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline

Nhìn chung đây là một kỹ thuật khó. Nhìn qua thì em chắc chắn là không thể hiểu được rồi. Vậy có thể giải thích cho em rõ hơn về kỹ thuật này được không?

Đã Trở Lại - Ăn Hại Hơn Trước

[Announcement] Practical Padding Oracle Attacks	14/06/2010 15:24:19 (+0700) \| #14 \| 213276

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

@Jino_Hoang: thứ năm tuần này, mình sẽ có bài thuyết trình về đề tài này, trong khuôn khổ hội thảo chuyên đề Web Security, do VNISA và OWASP Vietnam tổ chức.

Thời gian và địa điểm: http://www.vnisahcm.org.vn/Hoat-dong/Hoat-%C4%91ong-trong-nuoc/Hoi-thao--Web-Security-.aspx

-m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

[Announcement] Practical Padding Oracle Attacks	17/06/2010 16:01:30 (+0700) \| #15 \| 213514

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Hôm nay nghe thuyết trình của mrro, mới đầu tui có thắc mắc là nếu 7zip sử dụng AES algorithm, như vậy theo lý thuyết không biết key sẽ có thể giải mã được. Nhưng sau khi nghĩ lại thì thấy Padding Oracle không áp dụng được trường hợp này vì đầu vào cần để cái Oracle machine đó giải mã file bao phải gồm 2 yếu tố: encrypted data và user key. Như vậy khác với trường hợp của mrro đưa ra là cái Oracle machine nó có key để decrypt content đó và attacker chỉ submit encrypted text thôi.
Không biết như thế có đúng không, mrro giải đáp giúp?
Ngoài cracking captcha, view state JFS và asp.net, trong thực tế loại tấn công padding oracle này có thể xảy ra ở đâu nữa, nơi mà xuất hiện cấu trúc server lưu giữ key để decrypt và attacker cần biết nội dung plaintext của encrypted content đó? Nói 1 cách ngắn gọn là trong thực tiễn, loại tấn công Padding Oracle này có ứng dụng nào nguy hiểm hơn crack captcha và decrypt JFS view state?
Thank you

[Announcement] Practical Padding Oracle Attacks	21/06/2010 15:50:36 (+0700) \| #16 \| 213831

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

@LeVuHoang: câu thứ nhất đúng rồi.

về phạm vi ảnh hưởng của padding oracle, thì cái hay nhất phải kể đến CBC-R. tiếc là buổi vừa rồi không giới thiệu kịp.

-m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

[Announcement] Practical Padding Oracle Attacks	22/06/2010 09:55:31 (+0700) \| #17 \| 213884

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Vậy còn câu hỏi thứ 2 là trong thực tế, ngoài cracking CAPTCHA, JFS view state thì padding oracle attack này có thể xảy ra ở đâu nữa khiến độ nguy hiểm cao hơn?

[Announcement] Practical Padding Oracle Attacks	28/09/2010 19:49:29 (+0700) \| #18 \| 221717

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

mrro wrote:

về PO với CBC-R thì anh có nói từ khá lâu đây là kỹ thuật rất hay, và cũng là đóng góp lớn nhất của báo cáo Practical Padding Oracle Attacks, dẫu vậy cho đến giờ vẫn chưa thấy ai nói gì đến nó :-p. nên nếu em muốn hỏi hay thảo luận gì thêm thì cứ qua cái topic về POET mà hỏi nha. tài liệu về CBC-R thì em đọc trong báo cáo kia là đủ (chọn đọc phiên bản trình bày ở USENIX cho dễ). trong đó tụi anh mô tả rất rõ những ý tưởng chính của CBC-R.

Thanks anh mrro đã giải thích ở topic /hvaonline/posts/list/20/35832.html#quick.

Mấy hôm nay cũng đọc tương đối kha khá. Hồi sáng cũng viết thử 1 cái tool crack simple encryption bằng PO... hôm nào để lên cho mọi người nghịch. Chỉ có là em thấy trở ngại lớn nhất của cả PO và CBC-R là phần IV, không thể control được.

Do đó nếu IV là secret value + blocksize lớn ( cỡ 128-bit trở lên) thì PO cũng vô hiệu. Đối với CBC-R thì nếu first block = header, block size lớn + limit length of cypher text thì cũng khó khăn rất nhiều để khai thác. Không biết anh thấy thế nào

-- w~ --

[Announcement] Practical Padding Oracle Attacks	29/09/2010 08:29:21 (+0700) \| #19 \| 221748

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

Windak wrote:

Mấy hôm nay cũng đọc tương đối kha khá. Hồi sáng cũng viết thử 1 cái tool crack simple encryption bằng PO... hôm nào để lên cho mọi người nghịch. Chỉ có là em thấy trở ngại lớn nhất của cả PO và CBC-R là phần IV, không thể control được.

Do đó nếu IV là secret value + blocksize lớn ( cỡ 128-bit trở lên) thì PO cũng vô hiệu. Đối với CBC-R thì nếu first block = header, block size lớn + limit length of cypher text thì cũng khó khăn rất nhiều để khai thác. Không biết anh thấy thế nào

1. Thiệt ra có rất nhiều ứng dụng cho phép chúng ta kiểm soát IV. Ví dụ như trong Ruby On Rails, IV được truyền thẳng xuống client. Hoặc trong ASP.NET, có một cái tuỳ chọn mà nếu bật lên thì IV là block đầu tiên của ciphertext luôn.

2. Mấy quan sát còn lại của em đều đúng. Nhưng mà trong báo cáo, tụi anh cũng có nói, có rất nhiều trường hợp chỉ cần vài byte đầu đúng là xong phim smilie

.

-m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

Go to:

Users currently in here
1 Anonymous