HARD CORE SECURITY LAB

Badacze opublikowali gotowe narzędzie pozwalające na praktyczne wykonywanie ataków typu Padding Oracle Exploitation. Padding Oracle Exploitation Tool (POET) może zostać między innymi wykorzystany do przechwytywania newralgicznych, zaszyfrowanych informacji przechowywanych przez internetowe serwery. Prosty w obsłudze program został udostępniony w wersji na kilka różnych systemów operacyjnych.

POET pozwala na deszyfrowanie ukrytych danych wykorzystywanych przez witryny stworzone za pomocą popularnych frameworków, takich jak JavaServer Faces. Wszystko odbywa się bez znajomości klucza. Metoda polega w skrócie na wprowadzaniu niewielkich modyfikacji do zaszyfrowanych tekstów i odkrywaniu kolejnych fragmentów tekstu jawnego z pomocą zaobserwowanych reakcji (komunikatów) serwera.

Zaszyfrowane ciągi znaków wykorzystywane są przykładowo w ukrytych polach formularzy HTML, plikach cookies lub też parametrach zapytań, a mają zazwyczaj na celu obsługę identyfikacji oraz śledzenia działań wykonywanych przez poszczególnych użytkowników serwisu internetowego. Problem polega jednak na tym, że popularne frameworki programistyczne, takie jak wspomniany już JavaServer Faces w sposób wadliwy implementują algorytmy szyfrowania, uniemożliwiając zapewnienie integralności danych. W efekcie program POET w taki oto sposób może pozwolić intruzowi na odszyfrowanie newralgicznych informacji:

W efekcie powyższy atak może pozwolić przykładowo na ominięcie zabezpieczeń CAPTCHA, dotarcie do prywatnych danych należących do innych użytkowników serwisów internetowych, a nawet na wykonanie złośliwego kodu na serwerze! Odnalezienie serwisów podatnych na atak nie jest trudne, gdyż zdaniem twórców programu wystarczy tylko sformułować odpowiednie zapytania w wyszukiwarce Google, takie jak:

• “Given final block not properly padded”
• “javax.crypto.BadPaddingException”