SlideShare una empresa de Scribd logo

Seguridad en la plataforma Flash

Alberto González
Alberto González
Tecnología
1 de 34
Flash Platform Security Alberto González Sr. Technical Consultant
Bio Consultortécnicoespecializado en la plataforma RIA de Adobe +10 años de experiencia en la plataforma Co – manager del grupo de usuarios de Adobe RIactive
Agenda Panorama general de seguridad en la plataforma Decompiladores y ofuscadores Transmisión de datos Un poco de criptografía
Archivos SWF Vectores + contenido multimedia (bitmaps, audio, video ) InstruccionesActionScript en formatobinario Protocolos web paracomunicarse Sigue la especificación del formato SWF (www.adobe.com/devnet/swf)
Modelos de seguridad (FP) Definen: rango de datos y operacionesque la app puedeacceder / utilizar Security.sandboxType Protección contra: Acceso no autorizado de los datos Acceso no autorizado a la información del usuario Acceso no autorizado a los recursos del sistema
Sandbox remoto Controladopor el dominio de origen Para habilitar la comunicaciónutilizamos un archivocrossdomain.xml (http://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html ) ( crossdomain.xml )
Amazon.com > crossdomain.xml
Sandbox local
Acción de usuariorequerida Como acción de usuario se define algúnclic del mouse o presión de tecla. FileReference.browse() FileReference.download() Clipboard.generalClipboard.setData() Clipboard.generalClipboard.setDataHandler() System.setClipboard()
Protección extra… Flash Player poseerutinasqueprotegen al sistema contra el mal uso de susrecursos, ya sea de forma intencional o accidental. Almacenamiento de datos SharedObjectscontroladosporlaspropiedades del player ( 100 K* ) Capacidadparamodificar el espacioasignado Procesamiento Detección de bloques de códigorepetidodurante un lapso de tiempo ( 15 seg* ) Capacidadparamodificar el tiempo Memoria Garbage collector Siempreutilizamemorialimpia Sin posibilidad de obtenerdatosprevios
Archivo de configuración de seguridad mms.cfg Ubicación: MAC -> /Library/ApplicationSupport/Macromedia/mms.cfg Win -> C:indowsystem32acromedlashms.cfg Controla: Display ( Hardware Acceleration ) Privacy Local Storage Microphone Camera
Ofuscadores y Decompiladores
Decompilación Decompilador: Software que realiza la operación inversa a la compilación Compilación: Decompilación:
Decompiladores Así como pueden revertir un archivo SWF y generar el FLA, también pueden extraer: Cualquier archivo contenido en el SWF Imágenes ( jpg, png, gif, etc…) Audio ( mp3, wav, … ) Video ( flv, mov, mp4, 3gp, f4v, etc… ) Otros archivos ( txt, xml, bin ) Código ActionScript Clases completas Bloques de código En general cualquier información dentro del archivo SWF
Compiladores / Decompiladores
Decompiladores
Ofuscadores Herramientas que nos ayudan a dificultar el proceso de “decompilación” en archivos SWF y SWC. Ofuscan ( confunden, encubren) el código fuente de los archivos SWF Pueden llegar a alterar el comportamiento normal de la aplicación ( enterpriseapps )
Ofuscadores Además de ofuscar el código estas herramientas pueden realizar otras acciones útiles: Cifrado de cadenas Optimización de código Añadir marcas de agua a los archivos Eliminación de comentarios
Ofuscadores
Demo 1 Ofuscación / Decompilación
Transmisión de datos
Envío de datosdesdelasaplicaciones Usualmente las aplicaciones Flash / Flex / AIR se encuentran continuamente enviando datos Si no utilizamos la seguridad adecuada esos datos pueden ser interceptados y alterados La plataforma no posee ningún método nativo para proteger esos datos
Envío de datosdesdelasaplicaciones ¿ y qué sucede si esos datos son credenciales de acceso ? ¿ y si es un video en formato streaming ? veamos que puede suceder…
Proteccióndurante el envío Funciones Hash * Criptografía simétrica * Criptografía asimétrica
Funciones Hash Funciónde dispersióncriptográfica Recibenunaentrada de datos ( mensaje ) Entreganunasalida (hash) únicaparadichomensaje Salida con longitudfija Prácticamenteimposibleobtener el mensaje a partir del hash
Funciones Hash
Funciones Hash Utilizadaspara: Enviarcredenciales de autenticación Integridad de los datos Indexarelementos Algoritmos MD5 SHA-1 SHA-256 Otros… Y ahora...
Criptografíasimétrica Métodocriptográficoparacifrardatos Se utilizaunamismallaveparacifrar y descifrarmensajes. Hay queacordar la llavepreviamente entre laspartesinvolucradas
Bibliotecascriptográficas en la plataforma Ascorelib ( ActionScript core library ) ( http://github.com/mikechambers/as3corelib ) As3crypto ( http://code.google.com/p/as3crypto ) Soportepara TLS 1.0 Algoritmos Hash: MD2, MD5, SHA-1, SHA-224, SHA-256 Criptografía de llavepública: RSA Criptografía de llavesecreta: AES, DES, 3DES, BlowFish, RC4 Entrootros…
Entonces… ¿ cómopodemosasegurarunaaplicación ? Biblioteca As3crypto Clase AS3 – ByteArray ( manejo de datos a nivel de bytes ) Clase Loader ( load, loadBytes ) Adobe Integrated Runtime ( solo paraguardar un archivo )
Entonces… ¿ cómopodemosasegurarunaaplicación ? Adobe IntegratedRuntime ByteArray( SWF ) => 11010011 encrypt AES («key», 11010011) => %$T&G9.$% As3crypto File.save( %$T&G9.$% )
Entonces… ¿ cómopodemosasegurarunaaplicación ? SWF ByteArray( SWF ) => %$T&G9.$% decrypt AES («key», %$T&G9.$%) => 11010011 As3crypto Loader.loadBytes(11010011)
Flash Player y SSL Flash Player no implementa SSL Verificación y validación de certificados son implementados por el browser o el OS Flash Player no contiene reglas de validación para certificados: Expirados Rechazados Con firmas personales URL no exactos.
Q & A @albertx agonzalez@activ.com.mx

Recomendados

Escarbando en el módulo Security de Elastix
Escarbando en el módulo Security de ElastixEscarbando en el módulo Security de Elastix
Escarbando en el módulo Security de ElastixPaloSanto Solutions
 
Web exploits in VoIP Platforms
Web exploits in VoIP PlatformsWeb exploits in VoIP Platforms
Web exploits in VoIP PlatformsJuan Oliva
 
Depth analysis to denial of services attacks
Depth analysis to denial of services attacksDepth analysis to denial of services attacks
Depth analysis to denial of services attacksJuan Oliva
 
Webinar Gratuito: Técnicas Antiforenses Básicas
Webinar Gratuito: Técnicas Antiforenses BásicasWebinar Gratuito: Técnicas Antiforenses Básicas
Webinar Gratuito: Técnicas Antiforenses BásicasAlonso Caballero
 
Web Application exploiting and Reversing Shell
Web Application exploiting and Reversing ShellWeb Application exploiting and Reversing Shell
Web Application exploiting and Reversing ShellJuan Oliva
 
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamChema Alonso
 
Crazy Shellshock Titulo Vectors & Attacks
Crazy Shellshock Titulo Vectors & AttacksCrazy Shellshock Titulo Vectors & Attacks
Crazy Shellshock Titulo Vectors & AttacksJuan Oliva
 
m0n0wall
m0n0wallm0n0wall
m0n0wallAndree Fdez
 

Recomendados

Escarbando en el módulo Security de Elastix
Escarbando en el módulo Security de ElastixEscarbando en el módulo Security de Elastix
Escarbando en el módulo Security de ElastixPaloSanto Solutions
 
Web exploits in VoIP Platforms
Web exploits in VoIP PlatformsWeb exploits in VoIP Platforms
Web exploits in VoIP PlatformsJuan Oliva
 
Depth analysis to denial of services attacks
Depth analysis to denial of services attacksDepth analysis to denial of services attacks
Depth analysis to denial of services attacksJuan Oliva
 
Webinar Gratuito: Técnicas Antiforenses Básicas
Webinar Gratuito: Técnicas Antiforenses BásicasWebinar Gratuito: Técnicas Antiforenses Básicas
Webinar Gratuito: Técnicas Antiforenses BásicasAlonso Caballero
 
Web Application exploiting and Reversing Shell
Web Application exploiting and Reversing ShellWeb Application exploiting and Reversing Shell
Web Application exploiting and Reversing ShellJuan Oliva
 
Asegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamAsegúr@IT II - Análisis Forense Memoria Ram
Asegúr@IT II - Análisis Forense Memoria RamChema Alonso
 
Crazy Shellshock Titulo Vectors & Attacks
Crazy Shellshock Titulo Vectors & AttacksCrazy Shellshock Titulo Vectors & Attacks
Crazy Shellshock Titulo Vectors & AttacksJuan Oliva
 
m0n0wall
m0n0wallm0n0wall
m0n0wallAndree Fdez
 
Advanced Action Script 3.0
Advanced Action Script 3.0Advanced Action Script 3.0
Advanced Action Script 3.0Alberto González
 
Flash player 10.1
Flash player 10.1Flash player 10.1
Flash player 10.1Alberto González
 
Flash Player security
Flash Player securityFlash Player security
Flash Player securityAlberto González
 
Desarrollo Plataforma Flash
Desarrollo Plataforma FlashDesarrollo Plataforma Flash
Desarrollo Plataforma FlashAlberto González
 
Tendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerceTendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerceAlberto González
 
Flash Player Internals
Flash Player InternalsFlash Player Internals
Flash Player InternalsAlberto González
 
Flash Platform
Flash PlatformFlash Platform
Flash PlatformAlberto González
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoMario Alberto Parra Alonso
 
CodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroCodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroMicrosoft Argentina y Uruguay [Official Space]
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreEmilio Casbas
 
Introducción a silverlight
Introducción a silverlightIntroducción a silverlight
Introducción a silverlightricardomeanaG9
 
Romina izquierdo 2 b2
Romina izquierdo 2 b2Romina izquierdo 2 b2
Romina izquierdo 2 b2Romina_Izquierdo
 
Internet
InternetInternet
InternetSteven Garciia
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticawalteraguero
 
!barralibrecamp Gad
!barralibrecamp Gad!barralibrecamp Gad
!barralibrecamp GadFrancisco Moreno
 
Seguridad criptografia
Seguridad criptografiaSeguridad criptografia
Seguridad criptografiaDavid Baños Sanchez
 
Tutorial de teamviewer3
Tutorial de teamviewer3Tutorial de teamviewer3
Tutorial de teamviewer3aza0102
 
Teamviewer (tutorial)
Teamviewer (tutorial)Teamviewer (tutorial)
Teamviewer (tutorial)sopkirt
 
Introducción a los servidores Linux
Introducción a los servidores LinuxIntroducción a los servidores Linux
Introducción a los servidores LinuxOscar Gonzalez
 
NcN_CSUC_CSIRT
NcN_CSUC_CSIRTNcN_CSUC_CSIRT
NcN_CSUC_CSIRTJordi Guijarro
 
CERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masaCERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masaCSUC - Consorci de Serveis Universitaris de Catalunya
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkAlonso Caballero
 

Más contenido relacionado

Destacado

Tendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerceTendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerceAlberto González
 

Destacado (7)

Advanced Action Script 3.0
Advanced Action Script 3.0Advanced Action Script 3.0
Advanced Action Script 3.0
 
Flash player 10.1
Flash player 10.1Flash player 10.1
Flash player 10.1
 
Flash Player security
Flash Player securityFlash Player security
Flash Player security
 
Desarrollo Plataforma Flash
Desarrollo Plataforma FlashDesarrollo Plataforma Flash
Desarrollo Plataforma Flash
 
Tendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerceTendencias de seguridad en pagos por eCommerce
Tendencias de seguridad en pagos por eCommerce
 
Flash Player Internals
Flash Player InternalsFlash Player Internals
Flash Player Internals
 
Flash Platform
Flash PlatformFlash Platform
Flash Platform
 

Similar a Seguridad en la plataforma Flash

Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreEmilio Casbas
 
Introducción a silverlight
Introducción a silverlightIntroducción a silverlight
Introducción a silverlightricardomeanaG9
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticawalteraguero
 
Tutorial de teamviewer3
Tutorial de teamviewer3Tutorial de teamviewer3
Tutorial de teamviewer3aza0102
 
Teamviewer (tutorial)
Teamviewer (tutorial)Teamviewer (tutorial)
Teamviewer (tutorial)sopkirt
 
Introducción a los servidores Linux
Introducción a los servidores LinuxIntroducción a los servidores Linux
Introducción a los servidores LinuxOscar Gonzalez
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkAlonso Caballero
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHPNazareno Lorenzo
 
Reingsys framework v04_completo_new
Reingsys framework v04_completo_newReingsys framework v04_completo_new
Reingsys framework v04_completo_newReingsys
 

Similar a Seguridad en la plataforma Flash (20)

Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
CodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroCodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguro
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software Libre
 
Introducción a silverlight
Introducción a silverlightIntroducción a silverlight
Introducción a silverlight
 
Romina izquierdo 2 b2
Romina izquierdo 2 b2Romina izquierdo 2 b2
Romina izquierdo 2 b2
 
Internet
InternetInternet
Internet
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
!barralibrecamp Gad
!barralibrecamp Gad!barralibrecamp Gad
!barralibrecamp Gad
 
Seguridad criptografia
Seguridad criptografiaSeguridad criptografia
Seguridad criptografia
 
Tutorial de teamviewer3
Tutorial de teamviewer3Tutorial de teamviewer3
Tutorial de teamviewer3
 
Teamviewer (tutorial)
Teamviewer (tutorial)Teamviewer (tutorial)
Teamviewer (tutorial)
 
Introducción a los servidores Linux
Introducción a los servidores LinuxIntroducción a los servidores Linux
Introducción a los servidores Linux
 
NcN_CSUC_CSIRT
NcN_CSUC_CSIRTNcN_CSUC_CSIRT
NcN_CSUC_CSIRT
 
CERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masaCERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masa
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHP
 
Reingsys framework v04_completo_new
Reingsys framework v04_completo_newReingsys framework v04_completo_new
Reingsys framework v04_completo_new
 

Último

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Último (20)

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

Seguridad en la plataforma Flash

  • 1. Flash Platform Security Alberto González Sr. Technical Consultant
  • 2. Bio Consultortécnicoespecializado en la plataforma RIA de Adobe +10 años de experiencia en la plataforma Co – manager del grupo de usuarios de Adobe RIactive
  • 3. Agenda Panorama general de seguridad en la plataforma Decompiladores y ofuscadores Transmisión de datos Un poco de criptografía
  • 4. Archivos SWF Vectores + contenido multimedia (bitmaps, audio, video ) InstruccionesActionScript en formatobinario Protocolos web paracomunicarse Sigue la especificación del formato SWF (www.adobe.com/devnet/swf)
  • 5. Modelos de seguridad (FP) Definen: rango de datos y operacionesque la app puedeacceder / utilizar Security.sandboxType Protección contra: Acceso no autorizado de los datos Acceso no autorizado a la información del usuario Acceso no autorizado a los recursos del sistema
  • 6. Sandbox remoto Controladopor el dominio de origen Para habilitar la comunicaciónutilizamos un archivocrossdomain.xml (http://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html ) ( crossdomain.xml )
  • 9. Acción de usuariorequerida Como acción de usuario se define algúnclic del mouse o presión de tecla. FileReference.browse() FileReference.download() Clipboard.generalClipboard.setData() Clipboard.generalClipboard.setDataHandler() System.setClipboard()
  • 10. Protección extra… Flash Player poseerutinasqueprotegen al sistema contra el mal uso de susrecursos, ya sea de forma intencional o accidental. Almacenamiento de datos SharedObjectscontroladosporlaspropiedades del player ( 100 K* ) Capacidadparamodificar el espacioasignado Procesamiento Detección de bloques de códigorepetidodurante un lapso de tiempo ( 15 seg* ) Capacidadparamodificar el tiempo Memoria Garbage collector Siempreutilizamemorialimpia Sin posibilidad de obtenerdatosprevios
  • 11. Archivo de configuración de seguridad mms.cfg Ubicación: MAC -> /Library/ApplicationSupport/Macromedia/mms.cfg Win -> C:indowsystem32acromedlashms.cfg Controla: Display ( Hardware Acceleration ) Privacy Local Storage Microphone Camera
  • 13. Decompilación Decompilador: Software que realiza la operación inversa a la compilación Compilación: Decompilación:
  • 14. Decompiladores Así como pueden revertir un archivo SWF y generar el FLA, también pueden extraer: Cualquier archivo contenido en el SWF Imágenes ( jpg, png, gif, etc…) Audio ( mp3, wav, … ) Video ( flv, mov, mp4, 3gp, f4v, etc… ) Otros archivos ( txt, xml, bin ) Código ActionScript Clases completas Bloques de código En general cualquier información dentro del archivo SWF
  • 17. Ofuscadores Herramientas que nos ayudan a dificultar el proceso de “decompilación” en archivos SWF y SWC. Ofuscan ( confunden, encubren) el código fuente de los archivos SWF Pueden llegar a alterar el comportamiento normal de la aplicación ( enterpriseapps )
  • 18. Ofuscadores Además de ofuscar el código estas herramientas pueden realizar otras acciones útiles: Cifrado de cadenas Optimización de código Añadir marcas de agua a los archivos Eliminación de comentarios
  • 20. Demo 1 Ofuscación / Decompilación
  • 22. Envío de datosdesdelasaplicaciones Usualmente las aplicaciones Flash / Flex / AIR se encuentran continuamente enviando datos Si no utilizamos la seguridad adecuada esos datos pueden ser interceptados y alterados La plataforma no posee ningún método nativo para proteger esos datos
  • 23. Envío de datosdesdelasaplicaciones ¿ y qué sucede si esos datos son credenciales de acceso ? ¿ y si es un video en formato streaming ? veamos que puede suceder…
  • 24. Proteccióndurante el envío Funciones Hash * Criptografía simétrica * Criptografía asimétrica
  • 25. Funciones Hash Funciónde dispersióncriptográfica Recibenunaentrada de datos ( mensaje ) Entreganunasalida (hash) únicaparadichomensaje Salida con longitudfija Prácticamenteimposibleobtener el mensaje a partir del hash
  • 27. Funciones Hash Utilizadaspara: Enviarcredenciales de autenticación Integridad de los datos Indexarelementos Algoritmos MD5 SHA-1 SHA-256 Otros… Y ahora...
  • 28. Criptografíasimétrica Métodocriptográficoparacifrardatos Se utilizaunamismallaveparacifrar y descifrarmensajes. Hay queacordar la llavepreviamente entre laspartesinvolucradas
  • 29. Bibliotecascriptográficas en la plataforma Ascorelib ( ActionScript core library ) ( http://github.com/mikechambers/as3corelib ) As3crypto ( http://code.google.com/p/as3crypto ) Soportepara TLS 1.0 Algoritmos Hash: MD2, MD5, SHA-1, SHA-224, SHA-256 Criptografía de llavepública: RSA Criptografía de llavesecreta: AES, DES, 3DES, BlowFish, RC4 Entrootros…
  • 30. Entonces… ¿ cómopodemosasegurarunaaplicación ? Biblioteca As3crypto Clase AS3 – ByteArray ( manejo de datos a nivel de bytes ) Clase Loader ( load, loadBytes ) Adobe Integrated Runtime ( solo paraguardar un archivo )
  • 31. Entonces… ¿ cómopodemosasegurarunaaplicación ? Adobe IntegratedRuntime ByteArray( SWF ) => 11010011 encrypt AES («key», 11010011) => %$T&G9.$% As3crypto File.save( %$T&G9.$% )
  • 32. Entonces… ¿ cómopodemosasegurarunaaplicación ? SWF ByteArray( SWF ) => %$T&G9.$% decrypt AES («key», %$T&G9.$%) => 11010011 As3crypto Loader.loadBytes(11010011)
  • 33. Flash Player y SSL Flash Player no implementa SSL Verificación y validación de certificados son implementados por el browser o el OS Flash Player no contiene reglas de validación para certificados: Expirados Rechazados Con firmas personales URL no exactos.
  • 34. Q & A @albertx agonzalez@activ.com.mx