Latest posts for the topic "Practical Padding Oracle Attacks"

Practical Padding Oracle Attacks

mrro — GMT

Hello bà con, Sáng hôm qua mình và một người bạn đã trình bày đề tài "Practical Padding Oracle Attacks" tại hội thảo BH EU 2010. Tại hội thảo mình đã trình bày cách sử dụng Padding Oracle attack, một phương thức tấn công cực kỳ mạnh mẽ, có thể giúp cho attacker giải mã ciphertext mà không cần biết key hoặc thuật toán đang được sử dụng. Mình cũng trình bày các sử dụng Padding Oracle attack để tấn công RubyOnRails, để crack CAPTCHA, để giải mã view state của JavaServer Faces. Quan trọng hơn hết là CBC-R, một kỹ thuật rất mới để biến một decryption oracle thành một encryption oracle. Sử dụng CBC-R, chúng ta có thể tạo được những ciphertext với plaintext tuỳ chọn mà không cần biết key, hoặc thậm chí là thuật toán được sử dụng. Có khoảng hơn 100 người nghe, nhìn chung thì đa số không hiểu gì :-D, tự vì hai lý do: tiếng Anh của người trình bày không được trôi chảy và nội dung thì lại khó. Nhưng bù lại là cũng có khoảng 20-30 người hiểu, quan tâm và đặt câu hỏi sau buổi trình bày. He he he trong đó có một ông người Ba Lan, tác giả của stunnel ;-). Các bạn có thể download paper và slide ở đây http://www.blackhat.com/html/bh-eu-10/bh-eu-10-archives.html. Nhưng mà phiên bản trên đó không phải phiên bản mới nhất. Mình sẽ upload phiên bản mới nhất lên trong vài ngày tới. Ngoài ra mình còn làm một video http://www.youtube.com/watch?v=e46A-PUpDvk để mô tả cách thức sử dụng padding oracle để crack CAPTCHA bằng javascript. -m

Practical Padding Oracle Attacks

nhanth87 — GMT

Chào anh, em có một thắc mắc mong anh giải đáp: Oracle có vị trí như thế nào trong một hệ thống mã hoá mà có có thể "phán quyết" (em tạm gọi như vậy) một chosen cyphertext có thể giải mã được ?

Practical Padding Oracle Attacks

B 0 0 B — GMT

hôm trước có mò vào download và đọc tài liệu này, nhưng ko hiểu gì nhiều toàn thuật toán, tưởng mrro trình bày 1-bit-side-channel gì chứ, cứ tìm hoài trong đó mà ko có chữ nào. như vậy là mấy site mà dùng capchar sơ hở cũng chết.

Practical Padding Oracle Attacks

nhanth87 — GMT

B 0 0 B wrote:

hôm trước có mò vào download và đọc tài liệu này, nhưng ko hiểu gì nhiều toàn thuật toán, tưởng mrro trình bày 1-bit-side-channel gì chứ, cứ tìm hoài trong đó mà ko có chữ nào. như vậy là mấy site mà dùng capchar sơ hở cũng chết.

1 bit side channel là kỹ thuật tấn công mã hoá kiểu block chứ đâu nhất thiết phải là wireless hả bạn?

Practical Padding Oracle Attacks

StarGhost — GMT

@nhanth87: mình nghĩ bạn nên google những từ khoá như oracle hay side channel để hiểu rõ hơn về mặt khái niệm trước khi thảo luận. @mrro: paper rất hay. Hôm trước mrro có nói sẽ trình bày về một kĩ thuật tấn công tương tự chopchop, có lẽ là cái này. Đúng là có tương tự nhau, mặc dù chopchop hạn chế hơn padding oracles, vì trong wireless encryption thì plaintext còn được hỗ trợ CRC và MIC nữa.

Practical Padding Oracle Attacks

mrro — GMT

@nhanth87: mình không hiểu câu hỏi của bạn. @B O O B: padding oracle attack chính là 1 loại bit side-channel attack đó bạn. @StarGhost: cảm ơn ;-). đúng là nó đó. giờ chắc StarGhost hiểu tại sao có lần mình nói là chopchop có cùng nguồn gốc với padding oracle attack. ý tưởng cơ bản là rất giống nhau. về cái buổi nói chuyện thì có mấy cái review sau đây có lẽ là mô tả chính xác những gì đã diễn ra: http://www.corelan.be:8800/index.php/2010/04/16/blackhat-europe-2010-barcelona-day-10/ http://blog.rootshell.be/2010/04/15/blackhat-briefings-day-2/ http://blog.c22.cc/2010/04/15/blackhat-europe-practical-crypto-attacks-against-web-applications-2/ về paper, slide và tool, chắc phải tuần sau mình mới upload lên được. -m

Practical Padding Oracle Attacks

nhanth87 — GMT

Chào anh, rất vui vì nhận được phản hồi của các anh. Ý em là ở đoạn 2.2 trong papers của anh có viết: gửi rất nhiều ciphertext tới một oracle nào đó và nhận thông báo lỗi chúng ta có thể đoán được là nó có phải padding oracles không phải không ? Như vậy: đây có phải là chosen ciphertext attack không ạ? Và tại sao lại có báo lỗi đó?

Practical Padding Oracle Attacks

mrro — GMT

nhanth87 wrote:

Chào anh, rất vui vì nhận được phản hồi của các anh. Ý em là ở đoạn 2.2 trong papers của anh có viết: gửi rất nhiều ciphertext tới một oracle nào đó và nhận thông báo lỗi chúng ta có thể đoán được là nó có phải padding oracles không phải không ? Như vậy: đây có phải là chosen ciphertext attack không ạ? Và tại sao lại có báo lỗi đó?

1. đúng là chosen-ciphertext attack đó bạn. tự vì attacker được quyền chọn ciphertext để gửi đến mục tiêu mà. chương đầu tiên của "applied cryptography" có giải thích rất rõ và dễ hiểu về các loại tấn công trong cryptography, bạn nên đọc. 2. tại sao có lỗi đó thì trong paper mình đã có viết rồi. chủ yếu là do lập trình viên cho rằng việc thông báo lỗi là cần thiết. hoặc nhiều khi họ cũng không biết là hệ thống có thể phát sinh lỗi, nên không viết mã để xử lý, thành ra lỗi nó hiện ra rõ mồn một cho những ai muốn tìm. -m

Practical Padding Oracle Attacks

B 0 0 B — GMT

mrro wrote:

về paper, slide và tool, chắc phải tuần sau mình mới upload lên được. -m

lâu rồi ko thấy?

Practical Padding Oracle Attacks

dbs — GMT

Hi all, Tôi chưa xem qua nội dung phần trình bày của bạn mrro tại BH, nhưng cái tên chủ đề có từ Oracle làm tối "nhầm" tưởng là liên quan đến công nghệ Oracle và vì vậy nên vô tình tôi đọc được bài nhận xét này. Tôi cũng chưa đọc kĩ phần nhận xét của tác giả, các bạn tự đọc rồi tự kết luận vậy. Practical padding oracle Attacks Thai Duong and Juliano Rizzo kicked off the second day at Blackhat Europe 2010. That was the first surprise of the day. Oracle vs oracle… I should have known there was something wrong with that. I guess I was not the only one who was caught by surprise. After the first slide, I heard a lot of people mumbling "this is another presentation" and things like that. Anyways, the talk was about crypto, and feeding hardcore crypto to my brain at this time of the day is just not good for me. I got hit by the well-known "massive concrete demolition hammer" while trying to understand the highly technical (and math) presentation about cryptography and how oracle padding can be used to break all sorts of encryption mechanisms. Ok, I have to admit. Even when I’m wide awake, this stuff will kill me as well. So I’m sorry. There’s not really much I can tell about this presentation. These guys did some awesome research and provided a really detailed presentation, that is, if you could understand what they were saying (and I’m talking about the content here). But don’t expect me to give you details on how things work, because I didn’t get it. (I will look back at the paper and slides later on and see if I can get it after a 2nd, 3rd, 4th etc reading) Their first demo went terribly wrong (murphy’s law)… twice… , and that gave me the time to try to refocus and to understand what they were saying…. … but I failed miserably in my attempts to catch up again… So the only thing I can do is admit that I’m not up to that kind of challenges at this time of the time (or just in general) and I’ll just summarize the entire talk in a few lines : Thai and Julianno explained the technical details and theory behind their findings, and applied those findings to a few practical attacks : break captcha code, decrypt JavaServer Faces view states etc. They are releasing a tool called POET (= Padding Oracle Exploitation Tool) and some javascript code to break captcha after BH 2010. (see http://netifera.com/research) Again, excellent in-depth and well-performed and well-documented research. Just bad timing on my behalf. So I moved on to the next presentation. http://www.corelan.be:8800/index.php/2010/04/16/blackhat-europe-2010-barcelona-day-10/) Regards.

Practical Padding Oracle Attacks

mrro — GMT

* Tool, slide và paper: http://netifera.com/research/ * Video demo: http://www.youtube.com/watch?v=euujmKDxmC4 * Media ;-): http://www.theregister.co.uk/2010/06/08/padding_oracle_attack_tool/ Riêng cái paper, chắc phải đợi sau tháng 8, mới có một cái paper chính thức hay ho hơn, do mình mới sửa lại và nộp cho một chỗ để họ peer review. -m

Practical Padding Oracle Attacks

Jino_Hoang — GMT

Anh Thái viết bài này lâu rồi nhưng em thấy Padding Oracle Exploitation Tool (Poet) ra đời thì nó mới được nhắc đến trên các trang IT News. Có cách nào để vá cái lỗi này không anh.

Practical Padding Oracle Attacks

Jino_Hoang — GMT

Nhìn chung đây là một kỹ thuật khó. Nhìn qua thì em chắc chắn là không thể hiểu được rồi. Vậy có thể giải thích cho em rõ hơn về kỹ thuật này được không?

Practical Padding Oracle Attacks

mrro — GMT

@Jino_Hoang: thứ năm tuần này, mình sẽ có bài thuyết trình về đề tài này, trong khuôn khổ hội thảo chuyên đề Web Security, do VNISA và OWASP Vietnam tổ chức. Thời gian và địa điểm: http://www.vnisahcm.org.vn/Hoat-dong/Hoat-%C4%91ong-trong-nuoc/Hoi-thao--Web-Security-.aspx -m

Practical Padding Oracle Attacks

LeVuHoang — GMT

Hôm nay nghe thuyết trình của mrro, mới đầu tui có thắc mắc là nếu 7zip sử dụng AES algorithm, như vậy theo lý thuyết không biết key sẽ có thể giải mã được. Nhưng sau khi nghĩ lại thì thấy Padding Oracle không áp dụng được trường hợp này vì đầu vào cần để cái Oracle machine đó giải mã file bao phải gồm 2 yếu tố: encrypted data và user key. Như vậy khác với trường hợp của mrro đưa ra là cái Oracle machine nó có key để decrypt content đó và attacker chỉ submit encrypted text thôi. Không biết như thế có đúng không, mrro giải đáp giúp? Ngoài cracking captcha, view state JFS và asp.net, trong thực tế loại tấn công padding oracle này có thể xảy ra ở đâu nữa, nơi mà xuất hiện cấu trúc server lưu giữ key để decrypt và attacker cần biết nội dung plaintext của encrypted content đó? Nói 1 cách ngắn gọn là trong thực tiễn, loại tấn công Padding Oracle này có ứng dụng nào nguy hiểm hơn crack captcha và decrypt JFS view state? Thank you

Practical Padding Oracle Attacks

mrro — GMT

@LeVuHoang: câu thứ nhất đúng rồi. về phạm vi ảnh hưởng của padding oracle, thì cái hay nhất phải kể đến CBC-R. tiếc là buổi vừa rồi không giới thiệu kịp. -m

Practical Padding Oracle Attacks

LeVuHoang — GMT

Vậy còn câu hỏi thứ 2 là trong thực tế, ngoài cracking CAPTCHA, JFS view state thì padding oracle attack này có thể xảy ra ở đâu nữa khiến độ nguy hiểm cao hơn?

Practical Padding Oracle Attacks

WinDak — GMT

mrro wrote:

về PO với CBC-R thì anh có nói từ khá lâu đây là kỹ thuật rất hay, và cũng là đóng góp lớn nhất của báo cáo Practical Padding Oracle Attacks, dẫu vậy cho đến giờ vẫn chưa thấy ai nói gì đến nó :-p. nên nếu em muốn hỏi hay thảo luận gì thêm thì cứ qua cái topic về POET mà hỏi nha. tài liệu về CBC-R thì em đọc trong báo cáo kia là đủ (chọn đọc phiên bản trình bày ở USENIX cho dễ). trong đó tụi anh mô tả rất rõ những ý tưởng chính của CBC-R.

:D Thanks anh mrro đã giải thích ở topic /hvaonline/posts/list/20/35832.html#quick. Mấy hôm nay cũng đọc tương đối kha khá. Hồi sáng cũng viết thử 1 cái tool crack simple encryption bằng PO... hôm nào để lên cho mọi người nghịch. Chỉ có là em thấy trở ngại lớn nhất của cả PO và CBC-R là phần IV, không thể control được. Do đó nếu IV là secret value + blocksize lớn ( cỡ 128-bit trở lên) thì PO cũng vô hiệu. Đối với CBC-R thì nếu first block = header, block size lớn + limit length of cypher text thì cũng khó khăn rất nhiều để khai thác. Không biết anh thấy thế nào

Practical Padding Oracle Attacks

mrro — GMT

Windak wrote:

Mấy hôm nay cũng đọc tương đối kha khá. Hồi sáng cũng viết thử 1 cái tool crack simple encryption bằng PO... hôm nào để lên cho mọi người nghịch. Chỉ có là em thấy trở ngại lớn nhất của cả PO và CBC-R là phần IV, không thể control được. Do đó nếu IV là secret value + blocksize lớn ( cỡ 128-bit trở lên) thì PO cũng vô hiệu. Đối với CBC-R thì nếu first block = header, block size lớn + limit length of cypher text thì cũng khó khăn rất nhiều để khai thác. Không biết anh thấy thế nào

1. Thiệt ra có rất nhiều ứng dụng cho phép chúng ta kiểm soát IV. Ví dụ như trong Ruby On Rails, IV được truyền thẳng xuống client. Hoặc trong ASP.NET, có một cái tuỳ chọn mà nếu bật lên thì IV là block đầu tiên của ciphertext luôn. 2. Mấy quan sát còn lại của em đều đúng. Nhưng mà trong báo cáo, tụi anh cũng có nói, có rất nhiều trường hợp chỉ cần vài byte đầu đúng là xong phim ;-). -m