CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA Consideraciones de
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA Consideraciones de seguridad en Internet para utilidades interactivas multimedia en la capa de aplicación Ojeda, G. , Ortega, V. LP Telemática - Universidad Nacional de Colombia
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA Porcentaje de participación de las tecnologías multimedia sobre Internet Macromedia Flash Player® Statistics. Fuente: www. macromedia. com/software/player_census/flashplayer/
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA Penetración de Macromedia Flash Player Penetración de Flash en la World Wide Web Diciembre 2003 Número total de usuarios Web[1] 476 mill one s % de usuarios con 97. acceso a contenido 9% Macromedia Flash[2] [1] Number of online (Web) users - IDC Online User Forecast International Data Corporation. 466 The sampling error for the NPD study is +/- 2% at the 95% confidence level. [2] NPD Online survey - conducted quarterly. [3] U. S. A. Sample. Next NPD will be conducted in March 2004. Penetración total. Online de survey mill la tecnología[3] one s
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA PUNTOS VULNERABLES EN APLICACIONES DESARROLLADAS CON TECNOLOGÍA MACROMEDIA • Ataque en máquina cliente • Archivos de Macromedia® flash™ portadores de virus • Archivos dañinos que aparentan ser archivos Macromedia® flash™. • Archivos que son realmente publicados por un entorno Macromedia® • Ataque en la transferencia de información • Ingeniería inversa sobre archivos públicos
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA CRITERIOS PARA LA EMISIÓN DE LAS CONSIDERACIONES • Diseño y planeación basados en el servicio • Conservación del nivel de usabilidad • Conservación de interfases
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA CONSIDERACIÓN 1. Exclusión de datos críticos en la sintaxis Escritura normal if(input == "password") get. URL("privado. htm", ""); else goto. And. Play("try_again"); Usando clases Tevas para encripción if(tevas. verifytext("password", input)) get. URL(tevas. decrypttext("password: privado. htm", input), ""); else goto. And. Play("try_again"); Código publicado y decompilado if(tevas. verifytext("76 a 2173 be 6393254 e 72 ffa 4 d 6 df 1030 a", input)) get. URL(tevas. decrypttext("67537 abbbcfb 9 d 7 e 6745 df 26 cb 90 fbbd", input), ""); else goto. And. Play("try_again");
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA CONSIDERACIÓN 2. Carga de datos en tiempo de ejecución • Cargar información desde servidor confiable • Transferir, en lo posible, usando SSL • Datos críticos excluidos del archivo. swf compilado
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA CONSIDERACIÓN 3. Exclusión de algoritmos críticos function random. Word (uppercase, wordlength) { var result = ""; var charbase = uppercase ? 65 : 97; var i = 0; while (i < wordlength) { var randomchar = charbase + random (26); result += String. from. Char. Code(randomchar); i++; } return result; } function random. Oracle (uppercase, oraclelength) { var result = ""; var i = 0; while (i < oraclelength) { var wordlength = 1 + random (4) + random (7); result += random. Word(uppercase, wordlength) + " "; i++; } return result + "!"; } trace(random. Oracle(true, 10)); function -1 (1, 2) { var +1 = ""; var +4 = 1 ? 65 : 97; var +2 = 0; while (+2 < 2) { var +5 = (+4 + random (26)); +1 = +1 + String. from. Char. Code(+5); +2++; } return (+1); } function -2 (1, 2) { var +1 = ""; var +2 = 0; while (+2 < 2) { var +3 = ((1 + random (4)) + random (7)); +1 = +1 + (-1(1, +3) + " "); +2++; } return (+1 + "!"); } trace (-2(true, 10));
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA CONSIDERACIÓN 4. Autonomía de la aplicación CONSIDERACIÓN 5. Garantía en servicios de terceros Estas Consideraciones están relacionadas con cualquier elemento ajeno a la aplicación desarrollada, tal que pueda, eventualmente, comprometer el rendimiento y la seguridad de nuestro proyecto. Java. Script, controles Active. X y servidores de terceros entre otros, podrían ser considerados factores de riesgo.
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA CONCLUSIONES • Existe la posibilidad de alcanzar un nivel de seguridad aceptable para aplicaciones multimedia en Internet, siempre que se hagan consideraciones adecuadas durante la planeación y el diseño de cada proyecto. El dimensionamiento correcto y el establecimiento de niveles aceptables son procesos clave para la conservación de la usabilidad del proyecto. • Aunque no se pueda garantizar la total fiabilidad de las aplicaciones desarrolladas con estándares y arquitecturas abiertas, es posible implementar estrategias preventivas que dificulten altamente los procesos de ingeniería inversa, tal que se alcancen los niveles de seguridad que se consideraron aceptables durante el proceso de diseño para un proyecto dado.
CONSIDERACIONES SEGURIDAD MULTIMEDIA SOBRE INTERNET INTERACTIVA IV Jornada Nacional de Seguridad Informática – ACIS 2004 Ojeda, G. , Ortega, V. LP Telemática - Universidad Nacional de Colombia. Junio 2004
- Slides: 11