Tutto inizia con il documento "Security Flaws Induced by CBC Padding - Applications to SSL, IPsec, WTLS..." presentato da Serge Vaudenay alla conferenza Eurocrypt 2002: in quel lavoro si dimostrava la possibilità di attaccare SSL/TLS, IPsec e WTLS, sfruttando un difetto nello schema di criptazione.
I messaggi in chiaro, prima di essere criptati, devono essere allineati a un valore noto, per esempio 16 byte. Al fondo del testo "Hello world" verranno dunque inseriti 5 byte, in modo da avere una lunghezza di 64 bit, perché l'algoritmo di criptazione funziona con questa dimensione. Questa tecnica, chiamata padding, si presta ad un attacco chosen-ciphertext.

Ora Juliano Rizzo e Thai Duong hanno parlato, alla recente conferenza Black Hat di Barcellona, di Practical Crypto Attacks Against Web Applications, basandosi sul loro lavoro di febbraio, che a sua volta si appoggiava alle ricerche di Vaudenay. E arriviamo finalmente a POET (Padding Oracle Exploit Tool), rilasciato in questi giorni, che automatizza l'attacco.

Il software è in grado, tra le altre cose, di decriptare i dati dei siti costruiti con JavaServer Faces (ma questo è solo un esempio tra i vari ambienti di sviluppo), senza conoscere la chiave segreta. Le gravi conseguenze sono immaginabili: accesso ai dati privati di clienti di banche e compagnie di e-commerce; in alcuni casi si può anche far girare codice arbitrario sul server.

Il concetto che sta alla base di tutto quanto è che si usa la criptazione, mentre si dovrebbe usare criptazione+autenticazione. Uno schema di difesa già proposto da Vaudenay era il seguente: pad, hash, encrypt. Per gli approfondimenti si rimanda ai documenti citati, che non sono proprio di agevole lettura, mentre si può vedere all'opera il software nel video Padding Oracle Exploit Tool vs Apache.MyFaces.