De tool is al in het voorjaar gedemonstreerd op Black Hat Europe, en nu is de tool ook echt vrijgegeven als download voor Linux, Mac en Windows. De Padding Oracle Exploit Tool (Poet) gebruikt een side-channel aanval die de Padding Oracle Attack wordt genoemd. Deze aanval is al in 2002 ontdekt.

De aanval is mogelijk door het veelgebruikte cryptografische aanvullen (padding) van oracles. Dit zijn blokken die bij de encryptie altijd 8 of 16 bytes lang moeten zijn. Om dat voor elkaar te krijgen worden de blokken aan de uiteinden aangevuld. Er zijn verschillende manieren om dat te doen, en een aantal daarvan zijn kwetsbaar. De aanval wordt uitgevoerd op een statusboodschap die aangeeft of het aanvullen geldig of ongeldig is. Als die boodschappen zijn versleuteld in CBC mode, en ze worden onderschept, dan kunnen de aanvallers toegang krijgen tot de versleutelde informatie in de database zonder dat ze beschikken over een sleutel.

Poet is ontwikkeld door Juliano Rizzo en Thai Duong. “Het is heel normaal voor programmeurs van webapplicaties dat ze iets versleuteld naar de client sturen en om dat dan niet te delen met die client, maar het op te slaan in cookies. Dat is de perfecte gelegenheid om zoiets aan te passen en het dan opnieuw naar de webapplicatie te sturen”, zegt Juliano Rizzo tegen DarkReading. “Poet moet laten zien dat het helemaal niet makkelijk is om cryptografie goed toe te passen. Aanvallen die er alleen maar theoretisch uitzien blijken nu dus praktisch goed uit te voeren, en dus erg gevaarlijk.”

Volgens de onderzoekers is het beste cryptografische algoritme nutteloos als het slecht wordt toegepast. Daarnaast maken veel webapplicaties gebruik van de browser, en die mag nooit worden vertrouwd. Een aantal veelgebruikte ontwikkelframeworks zijn kwetsbaar voor de aanval van Poet, zoals Apache MyFaces, SUN Majorra en Ruby on Rails, maar dit zijn zeker niet de enige.

Poet kan worden gebruikt om te kijken of encryptie goed is geïmplementeerd in je webapplicatie.

In het filmpje hieronder wordt een aanval gedemonstreerd op Apache MyFaces.

Bron: Techworld