Practical Padding Oracle Attacks

Hello bà con,

Sáng hôm 15/04/2010 mình và một người bạn đã trình bày đề tài "Practical Padding Oracle Attacks" tại hội thảo BH EU 2010. Tại hội thảo mình đã trình bày cách sử dụng Padding Oracle attack, một phương thức tấn công cực kỳ mạnh mẽ, có thể giúp cho attacker giải mã ciphertext mà không cần biết key hoặc thuật toán đang được sử dụng.

Mình cũng trình bày các sử dụng Padding Oracle attack để tấn công RubyOnRails, để crack CAPTCHA, để giải mã view state của JavaServer Faces. Quan trọng hơn hết là CBC-R, một kỹ thuật rất mới để biến một decryption oracle thành một encryption oracle. Sử dụng CBC-R, chúng ta có thể tạo được những ciphertext với plaintext tuỳ chọn mà không cần biết key, hoặc thậm chí là thuật toán được sử dụng.

Có khoảng hơn 100 người nghe, nhìn chung thì đa số không hiểu gì :-D, tự vì hai lý do: tiếng Anh của người trình bày không được trôi chảy và nội dung thì lại khó. Nhưng bù lại là cũng có khoảng 20-30 người hiểu, quan tâm và đặt câu hỏi sau buổi trình bày. He he he trong đó có một ông người Ba Lan, tác giả của stunnel .

Các bạn có thể download paper và slide ở đây http://www.blackhat.com/html/bh-eu-10/bh-eu-10-archives.html. Nhưng mà phiên bản trên đó không phải phiên bản mới nhất. Mình sẽ upload phiên bản mới nhất lên trong vài ngày tới.

Ngoài ra mình còn làm một video https://www.youtube.com/watch?v=e46A-PUpDvk để mô tả cách thức sử dụng padding oracle để crack CAPTCHA bằng javascript.

-m