[Owasp-turkey] Lisanslama Algoritmaları

Bedirhan Urgun urgunb at hotmail.com
Thu Sep 25 04:42:06 EDT 2008


 
Merhaba,
Ayni duruma dusmus, ben de cozum uretmek zorunda kalmistim. Cozumler uretmeye calisirken de aklima bir zamanlar aldigim Network Security & Cryptography dersi gelmisti; anahtar degis-tokusu, private/public anahtarlari, el sıkışmalar, sifreleme algoritmalari... :)
 
Aslinda biraz zaman ayirip hedeflerimizi siralarsak cozumu (veya cozumlerimizdeki problemleri) daha rahat bulabiliriz (client uygulamasina Istemci diyelim);
 
1. Istemci sunucuyu dogru olarak tanisin
2. Sunucu istemciyi dogru olarak tanisin 3. Istemci kopyalanmasin
4. Istemcide lisans detaylari (zaman, modul, ozellik) degistirilmesin 
5. ...
 
Bunun yaninda bir de saldiri agaci olusturursak tadindan yenmez. Yani saldirgan gibi dusunup, hedefleri belirleyebiliriz (kirilimlari yazmiyorum/yazamiyorum);
 
1. Sahte istemci olusturup sunucudan dogrulama token'i almak (key demeyelim cunku DES/AES/RSA keyleri ile karismasin)
2. Sahte sunucu olusturup istemciye dogrulama token'i yollamak (reply attacks bunun icinde)
3. Istemcide lisans dosyalarini degistirerek olmayan ozellikleri aktive etmek, zamani uzatmak v.b.
4. Istemciyi baska makinelere kopyalamak ve (intranet icinde) kullanmak 
5. ...
 
Eksik liste ve bazilari belli projeler icin mantikli olmayabilir. Ama gelistirilecek cozumun asagidaki konulari desteklemesi gerekir ki, sonra basimiz agrimasin;
 
1. Olabildigince basit olmasi, cunku urun kullanilmaya basladiginda daha ilk defa calistirma asamasinda (ve mesela 2 hafta sonra) lisans hatasi alinirsa, "musteri" icin yazilim hakkinda guzel bir his olusturmayabilir.
2. Kendi algoritmalarini, en azindan encryption/integrity islemleri icin, uretmemesi
3. Baglanti guvenligini saglamasi
4. Sonradan key exchange problemi yasamamasi. Bundan kastim, olceklenebilirlik (scalability) meselesi. Yani butun istemcilerde ve bir sunucuda ayni encryption KEY kullanilmasi (ki buyuk ihtimalle koda gomulerek veya daha muhtemel extra bir dosya icinde), baska meseleleri gundeme getirebilir.
5. ...
 
Yani durum zor. Herhangi bir cozumun, kafaya takmis bir saldirganin elinde cozulebilecegini dusunup, bazi riskleri urunun degerine gore kabul etmek gerekiyor.
 
kolay gelsin.
Bedirhan Urgunhttp://www.webguvenligi.orghttp://www.owasp.org/index.php/Turkey 



Date: Wed, 24 Sep 2008 10:42:24 +0300From: aspsrc at gmail.comTo: bunyamindemir at gmail.comCC: owasp-turkey at lists.owasp.orgSubject: Re: [Owasp-turkey] Lisanslama Algoritmaları
Merhabalar,Verdiğiniz bilgiler için teşekkürler. Ortak key olarak DES kullandım bende. Üzerinde çalıştığı sunucu genelde static ip aldığı için ip parametersini eklemiştim fakat zamana bağlı yeni bir kriter çok iyi bir fikir. Zaman kriteri ile düşündüğüm sıkıntıları aşabilirim sanırım. Zaman senkronizesi içinde ortak bir time server kullandırtabilirim. Programın kurulumunda bunu set ettirebilirim. Bu doğrultuda hareket edicem sanırım.İkinci bir türde windows'ta ki gibi bir şifreleme düşündüm. Makina donanımına ve ip adresine göre sunucuya özel bir anahtar çıkartıp lisans sunucusuna göndericek. Gelen anahtara karşılıkta yeni bir anahtar üretip kullanıcı manual olarak ekrana girecek. İllene anahtarda olmayabilir DES ile şifrelenmiş kocaman bir metinde olabilir. Daha sonra belirli aralıklarla sunucu lisans bilgisini gönderebilir.1'inci paragraftaki yöntem daha mantıklı ama yeni fikirlerede açığım.Her ne kadar web güvenliği ile ilgili bir liste olsada cevaplar için teşekkürler .
24 Eylül 2008 Çarşamba 09:59 tarihinde Bunyamin DEMIR <bunyamindemir at gmail.com> yazdı:


Merhabalar Oguzhan,
 
Client ile sunucu arasinda ortak bir "key" tanimlasaniz. bunlar DES, AES turevleri olabilir (1). Ayni zamanda client`in static ip sini bir kisit olarak kullansaniz (2). Hatta ilk bahsettigim KEY i zamana bagli bir fonksiyondan gecirseniz (3), Bir de ssl ile trafigi saglasaniz ben yeterli olabilecegi kanisindayim.
 
Belki uygulamamiz ayni olmasada buna benzer bir teknigi farkli bir is icin kullanmistim.
 
1) DES daha makul olabilir.
2) Static ip olacagini varsayiyorum.
3) İstek aninin zamani ile KEY (1) karistirilarak gonderilebilir. Yani; Key sadece istek yapilan ilk 15 sn icinde gecerli olabilir. Baglanti saglandiktan sonra zaten zaman gecmis ve baskasinin eline gecsede kullanamayacagi bir Key elde etmis olabilir. Tabi burda sunucu-istemcinin zaman ayarlari ayni olmali. Bu bahsettigim olayi sadece biraz daha karmasik hale getirebilir, okadar.
 
Umarim yanlis anlamamisimdir.
 
Saygilar,
24 Eylül 2008 Çarşamba 02:03 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:





Merhabalar,
Uzun zamandan beri üzerinde çalıştığım .net framework 2.0 ve C# kullanarak geliştirdiğim Server-Client tarzı bir uygulamam var. Kısaca yaptığı işi belirtmek gerekirse. wİndows Application şeklinde çalışan Hosting Kontrol Paneli diyebiliriz. Sunucu kısmı hosting şirketinin sunucusunda çalışıyor. Hosting şirketide müşterilerine masaüstü uygulaması tarzındaki istemcisini dağıtıp hizmetlerini müşterinin kendi yönetmesini sağlıyor.Esas danışmak istediğim husus ise. Bu ürünün lisanslamasını en güvenilir(?) şekilde hangi türde yapabiliriz.? Konu ile ilgili dünyadaki standartlar nelerdir?Genelde yapılan teknik ve benim düşündüğüm şöyle.Uygulamanın kurulu olduğu sunucudan üreticinin sunucusuna içinde anahtar bilgisi olan bir istek gidiyor. Üretici sunucusuda bu istek'e göre olumlu yada olumsuz cevap döndürüyor. Bu teknik ortadaki adam saldırısı gibi bir çok yönteme açık olduğundan biraz endişeliyim. Aradaki veriyi ssl ile gönderirsek yinede bu tipteki yöntemleri by-pass edebilirmiyiz? İstek'te bulunan sunucya fake bir üretici sunucusuda gösterilebilir.Sonuç: Hala tam olarak nasıl bir lisanslama yöntemi kullanacağımı belirleyemedim.-- Oğuzhan_______________________________________________Owasp-turkey mailing listOwasp-turkey at lists.owasp.orghttps://lists.owasp.org/mailman/listinfo/owasp-turkey-- Bunyamin DemirOWASP-Turkey Memberhttp://www.webguvenligi.org-- Oğuzhan
_________________________________________________________________
See how Windows connects the people, information, and fun that are part of your life.
http://clk.atdmt.com/MRT/go/msnnkwxp1020093175mrt/direct/01/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080925/674e5b70/attachment.html 


More information about the Owasp-turkey mailing list