Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Ya no se juega al veo veo

260335566fd14d2f3c22df3b1d3b014a?s=47 Alex
February 08, 2015
Programming
0
17

Ya no se juega al veo veo

260335566fd14d2f3c22df3b1d3b014a?s=128

Alex

February 08, 2015
Tweet

Other Decks in Programming

See All in Programming
5afbf65e9e32cef9ab74e5b5347a5bce?s=48 korosuke613
2
250
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
130
Defdf943f6e9bfc3d3cd856d9d9e0f9b?s=48 takutakahashi
3
270
B3b2139e4f2c0eca4efe2379fcebc1c5?s=48 afilina
PRO
0
150
37618b4d60cf3d1f43f7196253264edc?s=48 numeroanddev
1
230
3009eedce0d0f7ae45987a7bd8f57b85?s=48 nkjzm
1
170
50443a0c666aa1020f2f757582e6e45c?s=48 suzukiot
0
280
843e2b37af4a84f89438478aa939a324?s=48 heistak
2
130
70adfe7679427fa498899769e632b672?s=48 itok
1
650
4f349dbe1d48627445735f7e2c818c97?s=48 layzee
1
210
585b6bd646ae00cd1025309c912d922f?s=48 saten
1
180
6a1345d8e6dd15b2c78eff0c331963b1?s=48 dbrumann
0
110

Featured

See All Featured
7559f6cff1f5efc2d210965febd4d71c?s=48 bermonpainter
342
26k
F68cb25ae3e5c2106997454b13b7737d?s=48 brad_frost
157
6.4k
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
3
610
1b75d89772b7eea1f6c89fbf362607d9?s=48 moore
125
21k
168ccec72eee0530b818d44f3fedaacf?s=48 shlominoach
176
7.5k
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
273
31k
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
446
36k
78b475797a14c84799063c7cd073962f?s=48 holman
447
130k
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
683
180k
Eb8975af8e49e19e3dd6b6b84a542e26?s=48 qrush
285
19k
651dcfe41723207fbb0aa044a4f7c07f?s=48 dotmariusz
94
5.5k
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
56
9.4k

Transcript

  1. Alejandro Morais Ya no se juega al veo veo Except

    where otherwise noted, this work is licensed under: http://creativecommons.org/licenses/by-nc-sa/3.0/ Leganés 12-13 Febrero 2015

  2. 2 • Introducción • Técnicas de Ofuscación en Javascript •

    Herramientas • Problemas con streaming de música, videos… • Posibles Soluciones • Conclusión (Es decir, un mejunje JS + Agenda

  3. 3 Bienvenido s

  4. 4 Y….

  5. 5

  6. Aburrido…

  7. ¡¡Series!!

  8. Seriesly antes molaba

  9. Publicidad, publicidad, publicidad Hemos picado todos…

  10. • Publicidad Y • Reproductor JWPlayer

  11. Todo el mundo quiere a JWPlayer

  12. Hmm… ¿Seguridad?

  13. Probemos…

  14. Chrome -> Inspect -> “file: **”

  15. Automatizando… (Con PHP, claro)

  16. Froxy

  17. Pero no todo es un camino de piruletas

  18. Cachis… ¿eval? ¿packed?

  19. Ofuscando

  20. Ofuscando: Técnicas • Minimizar • Como funciona eval() • ASCII

    • Unicode • XOR • Split de Strings • Packed • Encriptado Simple • Técnicas Avanzadas

  21. Warning Antes de empezar a ofuscar código siempre hay que

    hacer una o varias copias del original (siempre se pierden las copias)

  22. • Minimizar Ofuscando: Técnicas • Uso de variables con longitudes

    más cortas • Eliminación de espacios y tabs

  23. • Minimizar Ofuscando: Técnicas Twitter: https://abs.twimg.com/c/swift/es/bundle/fro ntpage...js 269 KB ->

    compresión (solo espacios) -> 196 KB ¡¡ Ahorro del 27.2 % !! (Con variables ~ 30%)

  24. • Cómo funciona Eval() Ofuscando: Técnicas Pero se sigue viendo

    el código directamente… Hmm…

  25. • ASCII Ofuscando: Técnicas

  26. • Unicode Ofuscando: Técnicas

  27. • XOR (ASCII) Ofuscando: Técnicas Clave: 173 xor_str(“var a =

    …”); Misma función, encripta y desencripta

  28. • XOR (Character Encoding) Ofuscando: Técnicas Clave: 173 Misma función,

    encripta y desencripta xor_str(“var a = …”);

  29. • Split de Strings Ofuscando: Técnicas Un poco cutre

  30. Ofuscando: Técnicas • Packed

  31. • Encriptado Simple Ofuscando: Técnicas La encriptación es fuerte en

    el algoritmo o en la contraseña

  32. • Técnica del “Espacio en blanco” Ofuscando: Técnicas Usar “document”

    o “eval”, canta mucho… Lo mismo hacemos con “getElementById”, “innerHtml”,…

  33. • Técnica del “Espacio en blanco” Ofuscando: Técnicas

  34. • Técnica del “Espacio en blanco” Ofuscando: Técnicas El código

    original están en el código que desofusca

  35. Un poco de tabulación…

  36. Eval fuera

  37. Variables “e” y “d” no se usan “c.toString(a)” => Convierte

    “c” en base “a” Por lo tanto base “36”

  38. Resultado

  39. Automatizando…

  40. https://github.com /alxhotel/unpack-js

  41. Herramientas • UglifyJS https://github.com/mishoo/UglifyJS • Jscrambler https://jscrambler.com/es/ • YuiCompressor http://yui.github.io/yuicompressor/

    • Jsbeautifier http://jsbeautifier.org/

  42. Volviendo al streaming…

  43. Los videos están al alcance de un copy paste

  44. Pero esto son casos aislados… ¿no?

  45. Buscando…

  46. Caso Grooveshark • “Session”: valor de la cookie • “Uuid”:

    buscamos en JS • “Token”: buscamos en JS JS minimizado. Hmm…

  47. Caso Grooveshark El veo veo hardcore: 1. Ctrl + F

    2. Buscar palabra clave 3. Probar 4. Si no funciona vuelve al 1.

  48. Caso Grooveshark • “Uuid”: encontrado en app.min.js • “Token”: de

    la peticion getCommunicationToken JS minimizado no tiene “protección”

  49. Algo falla… Necesitamos Seguridad

  50. Posible Soluciones • Token / URLs Firmadas • Encriptación AES

    • DRM (~ AES) • Bloquear por localización • Marcas de Agua • Limitar Velocidad

  51. Netflix

  52. Conclusión

  53. Da igual

  54. En streaming todavía tenemos medidas de seguridad

  55. Pero… Seguimos teniendo que desencriptar el archivo en nuestro ordenador

  56. P2P

  57. La ofuscación es útil cuando se usa una combinación de

    técnicas

  58. Pero… No debería ser el muro de seguridad sino una

    capa más

  59. Ya no se juega al veo veo

  60. Gracias Twitter: @alxhotel Linkedin: /in/alexmorais Github: @alxhotel