Este documento presenta una introducción a la seguridad en la plataforma Flash. Explica los modelos de seguridad como sandbox remoto y local, y cómo proteger datos durante la transmisión utilizando funciones hash, criptografía simétrica y asimétrica. También cubre temas como decompiladores, ofuscadores, bibliotecas criptográficas y cómo asegurar aplicaciones Flash.

1. Flash Platform SecurityAlberto GonzálezSr. Technical Consultant

2. BioConsultortécnicoespecializado en la plataforma RIA de Adobe+10 años de experiencia en la plataformaCo – manager del grupo de usuarios de Adobe RIactive

3. AgendaPanorama general de seguridad en la plataformaDecompiladores y ofuscadoresTransmisión de datosUn poco de criptografía

4. Archivos SWFVectores + contenido multimedia (bitmaps, audio, video )InstruccionesActionScript en formatobinarioProtocolos web paracomunicarseSigue la especificación del formato SWF (www.adobe.com/devnet/swf)

5. Modelos de seguridad (FP)Definen: rango de datos y operacionesque la app puedeacceder / utilizarSecurity.sandboxTypeProtección contra:Acceso no autorizado de los datosAcceso no autorizado a la información del usuarioAcceso no autorizado a los recursos del sistema

6. Sandbox remotoControladopor el dominio de origenPara habilitar la comunicaciónutilizamos un archivocrossdomain.xml (http://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html )( crossdomain.xml )

7. Amazon.com > crossdomain.xml

8. Sandbox local

9. Acción de usuariorequeridaComo acción de usuario se define algúnclic del mouse o presión de tecla.FileReference.browse()FileReference.download()Clipboard.generalClipboard.setData()Clipboard.generalClipboard.setDataHandler()System.setClipboard()

10. Protección extra…Flash Player poseerutinasqueprotegen al sistema contra el mal uso de susrecursos, ya sea de forma intencional o accidental.Almacenamiento de datosSharedObjectscontroladosporlaspropiedades del player ( 100 K* )Capacidadparamodificar el espacioasignadoProcesamientoDetección de bloques de códigorepetidodurante un lapso de tiempo ( 15 seg* )Capacidadparamodificar el tiempoMemoriaGarbage collectorSiempreutilizamemorialimpiaSin posibilidad de obtenerdatosprevios

11. Archivo de configuración de seguridadmms.cfgUbicación:MAC -> /Library/ApplicationSupport/Macromedia/mms.cfgWin -> C:\windows\system32\macromed\flash\mms.cfg Controla:Display ( Hardware Acceleration )PrivacyLocal StorageMicrophoneCamera

12. Ofuscadores y Decompiladores

13. DecompilaciónDecompilador: Software que realiza la operación inversa a la compilaciónCompilación: Decompilación:

14. DecompiladoresAsí como pueden revertir un archivo SWF y generar el FLA, también pueden extraer:Cualquier archivo contenido en el SWFImágenes ( jpg, png, gif, etc…)Audio ( mp3, wav, … )Video ( flv, mov, mp4, 3gp, f4v, etc… )Otros archivos ( txt, xml, bin )Código ActionScriptClases completasBloques de códigoEn general cualquier información dentro del archivo SWF

15. Compiladores / Decompiladores

16. Decompiladores

17. OfuscadoresHerramientas que nos ayudan a dificultar el proceso de “decompilación” en archivos SWF y SWC.Ofuscan ( confunden, encubren) el código fuente de los archivos SWFPueden llegar a alterar el comportamiento normal de la aplicación ( enterpriseapps )

18. OfuscadoresAdemás de ofuscar el código estas herramientas pueden realizar otras acciones útiles:Cifrado de cadenasOptimización de códigoAñadir marcas de agua a los archivosEliminación de comentarios

19. Ofuscadores

20. Demo 1Ofuscación / Decompilación

21. Transmisión de datos

22. Envío de datosdesdelasaplicacionesUsualmente las aplicaciones Flash / Flex / AIR se encuentran continuamente enviando datosSi no utilizamos la seguridad adecuada esos datos pueden ser interceptados y alteradosLa plataforma no posee ningún método nativo para proteger esos datos

23. Envío de datosdesdelasaplicaciones¿ y qué sucede si esos datos son credenciales de acceso ?¿ y si es un video en formato streaming ?veamos que puede suceder…

24. Proteccióndurante el envíoFunciones Hash *Criptografía simétrica *Criptografía asimétrica

25. Funciones HashFunciónde dispersióncriptográficaRecibenunaentrada de datos ( mensaje )Entreganunasalida (hash) únicaparadichomensajeSalida con longitudfijaPrácticamenteimposibleobtener el mensaje a partir del hash

26. Funciones Hash

27. Funciones HashUtilizadaspara:Enviarcredenciales de autenticaciónIntegridad de los datosIndexarelementosAlgoritmosMD5SHA-1SHA-256Otros…Y ahora...

28. CriptografíasimétricaMétodocriptográficoparacifrardatosSe utilizaunamismallaveparacifrar y descifrarmensajes.Hay queacordar la llavepreviamente entre laspartesinvolucradas

29. Bibliotecascriptográficas en la plataformaAscorelib ( ActionScript core library )( http://github.com/mikechambers/as3corelib )As3crypto( http://code.google.com/p/as3crypto )Soportepara TLS 1.0Algoritmos Hash: MD2, MD5, SHA-1, SHA-224, SHA-256Criptografía de llavepública: RSACriptografía de llavesecreta: AES, DES, 3DES, BlowFish, RC4Entrootros…

30. Entonces… ¿ cómopodemosasegurarunaaplicación ?Biblioteca As3cryptoClase AS3 – ByteArray ( manejo de datos a nivel de bytes )Clase Loader ( load, loadBytes )Adobe Integrated Runtime ( solo paraguardar un archivo )

31. Entonces… ¿ cómopodemosasegurarunaaplicación ?Adobe IntegratedRuntimeByteArray( SWF ) => 11010011encryptAES («key», 11010011) => %$T&G9.$%As3cryptoFile.save( %$T&G9.$% )

32. Entonces… ¿ cómopodemosasegurarunaaplicación ?SWFByteArray( SWF ) => %$T&G9.$%decryptAES («key», %$T&G9.$%) => 11010011As3cryptoLoader.loadBytes(11010011)

33. Flash Player y SSLFlash Player no implementa SSLVerificación y validación de certificados son implementados por el browser o el OSFlash Player no contiene reglas de validación para certificados:ExpiradosRechazadosCon firmas personalesURL no exactos.

34. Q & A@albertxagonzalez@activ.com.mx