Ya no se juega al veo veo

260335566fd14d2f3c22df3b1d3b014a?s=47 Alex
February 08, 2015
Programming
0
15

Ya no se juega al veo veo

260335566fd14d2f3c22df3b1d3b014a?s=128

Alex

February 08, 2015
Tweet

Want more?

3ab1249be442027903e1180025340b3f?s=48 reverentgeek
7
330
A9a491b0fcbe0fbce3d64063a37add99?s=48 rmw
1
190
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
0
120
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
6
240
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
5
190
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
3
270
C35e01544a0dd94a2cf1619ee8a42ebb?s=48 clairelew
3
510
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
1
140
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
4
230
Ef32e0b1ac5082450dc8c1fca3a26b5c?s=48 cherdarchuk
60
250k
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
5
800
3d4519fd34b76fb265fc0237f3792bd4?s=48 danielanewman
1
190

Transcript

  1. 1.

    Alejandro Morais Ya no se juega al veo veo Except

    where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ Leganés 12-13 Febrero 2015
  2. 2.

    2 • Introducción • Técnicas de Ofuscación en Javascript •

    Herramientas • Problemas con streaming de música, videos… • Posibles Soluciones • Conclusión (Es decir, un mejunje JS + Agenda
  3. 3.

    3 Bienvenido s

  4. 4.

    4 Y….

  5. 5.

    5

  6. 6.

    Aburrido…

  7. 7.

    ¡¡Series!!

  8. 8.

    Seriesly antes molaba

  9. 9.

    Publicidad, publicidad, publicidad Hemos picado todos…

  10. 10.

    • Publicidad Y • Reproductor JWPlayer

  11. 11.

    Todo el mundo quiere a JWPlayer

  12. 12.

    Hmm… ¿Seguridad?

  13. 13.

    Probemos…

  14. 14.

    Chrome -> Inspect -> “file: **”

  15. 15.

    Automatizando… (Con PHP, claro)

  16. 16.

    Froxy

  17. 17.

    Pero no todo es un camino de piruletas

  18. 18.

    Cachis… ¿eval? ¿packed?

  19. 19.

    Ofuscando

  20. 20.

    Ofuscando: Técnicas • Minimizar • Como funciona eval() • ASCII

    • Unicode • XOR • Split de Strings • Packed • Encriptado Simple • Técnicas Avanzadas
  21. 21.

    Warning Antes de empezar a ofuscar código siempre hay que

    hacer una o varias copias del original (siempre se pierden las copias)
  22. 22.

    • Minimizar Ofuscando: Técnicas • Uso de variables con longitudes

    más cortas • Eliminación de espacios y tabs
  23. 23.

    • Minimizar Ofuscando: Técnicas Twitter: https://abs.twimg.com/c/swift/es/bundle/fro ntpage...js 269 KB ->

    compresión (solo espacios) -> 196 KB ¡¡ Ahorro del 27.2 % !! (Con variables ~ 30%)
  24. 24.

    • Cómo funciona Eval() Ofuscando: Técnicas Pero se sigue viendo

    el código directamente… Hmm…
  25. 25.

    • ASCII Ofuscando: Técnicas

  26. 26.

    • Unicode Ofuscando: Técnicas

  27. 27.

    • XOR (ASCII) Ofuscando: Técnicas Clave: 173 xor_str(“var a =

    …”); Misma función, encripta y desencripta
  28. 28.

    • XOR (Character Encoding) Ofuscando: Técnicas Clave: 173 Misma función,

    encripta y desencripta xor_str(“var a = …”);
  29. 29.

    • Split de Strings Ofuscando: Técnicas Un poco cutre

  30. 30.

    Ofuscando: Técnicas • Packed

  31. 31.

    • Encriptado Simple Ofuscando: Técnicas La encriptación es fuerte en

    el algoritmo o en la contraseña
  32. 32.

    • Técnica del “Espacio en blanco” Ofuscando: Técnicas Usar “document”

    o “eval”, canta mucho… Lo mismo hacemos con “getElementById”, “innerHtml”,…
  33. 33.

    • Técnica del “Espacio en blanco” Ofuscando: Técnicas

  34. 34.

    • Técnica del “Espacio en blanco” Ofuscando: Técnicas El código

    original están en el código que desofusca
  35. 35.

    Un poco de tabulación…

  36. 36.

    Eval fuera

  37. 37.

    Variables “e” y “d” no se usan “c.toString(a)” => Convierte

    “c” en base “a” Por lo tanto base “36”
  38. 38.

    Resultado

  39. 39.

    Automatizando…

  40. 40.

    https://github.com /alxhotel/unpack-js

  41. 41.

    Herramientas • UglifyJS https://github.com/mishoo/UglifyJS • Jscrambler https://jscrambler.com/es/ • YuiCompressor http://yui.github.io/yuicompressor/

    • Jsbeautifier http://jsbeautifier.org/
  42. 42.

    Volviendo al streaming…

  43. 43.

    Los videos están al alcance de un copy paste

  44. 44.

    Pero esto son casos aislados… ¿no?

  45. 45.

    Buscando…

  46. 46.

    Caso Grooveshark • “Session”: valor de la cookie • “Uuid”:

    buscamos en JS • “Token”: buscamos en JS JS minimizado. Hmm…
  47. 47.

    Caso Grooveshark El veo veo hardcore: 1. Ctrl + F

    2. Buscar palabra clave 3. Probar 4. Si no funciona vuelve al 1.
  48. 48.

    Caso Grooveshark • “Uuid”: encontrado en app.min.js • “Token”: de

    la peticion getCommunicationToken JS minimizado no tiene “protección”
  49. 49.

    Algo falla… Necesitamos Seguridad

  50. 50.

    Posible Soluciones • Token / URLs Firmadas • Encriptación AES

    • DRM (~ AES) • Bloquear por localización • Marcas de Agua • Limitar Velocidad
  51. 51.

    Netflix

  52. 52.

    Conclusión

  53. 53.

    Da igual

  54. 54.

    En streaming todavía tenemos medidas de seguridad

  55. 55.

    Pero… Seguimos teniendo que desencriptar el archivo en nuestro ordenador

  56. 56.

    P2P

  57. 57.

    La ofuscación es útil cuando se usa una combinación de

    técnicas
  58. 58.

    Pero… No debería ser el muro de seguridad sino una

    capa más
  59. 59.

    Ya no se juega al veo veo

  60. 60.

    Gracias Twitter: @alxhotel Linkedin: /in/alexmorais Github: @alxhotel