[Owasp-turkey] Lisanslama Algoritmaları

Oğuzhan YILMAZ aspsrc at gmail.com
Thu Sep 25 09:08:45 EDT 2008


Merhabalar,
Herkes doğru anlamış olayı ;) , bir yanlış anlaşılma sözkonusu değil.
Teşekkürler.

Görüşleriniz gerçekten çok yararlı oldu.
MITM ve Fake server edişelerimi DES ve SSL kullanarak gideriyorum.
Aktivasyon sunucusuyla haberleşmesini böylelikle bir karara bağlamış olduk.

Ferruhun dediği çok doğru. İşin birde Crack tarafı var. .Net ile yazıldığı
için kolaylıkla decompile ediliyor. Bunu bir nebze kapatmak için Xenocode'un
Postbuild ismindeki Obfuscator'ünü kullanıyorum. Strong Name'e pek gerek
duymamıştım ama dikkate alıp ne yapabilirim ona bakıcam.

Kerem'in verdiği bağlantıda bir kaç fikir verdi. Bunları birleştirebilirsem
en azından çoğu kişi tarafından aşılamayacak bir güvenlik çemberi oluşturmuş
olurum. Amacım da zaten bu. Çoğunluğun aşamayacağı bir güvenlik seviyesinde
olursa yeterlidir.

Herkese Kolay Gelsin.


25 Eylül 2008 Perşembe 15:14 tarihinde Ferruh Mavituna
<ferruh at mavituna.com>yazdı:

> Merhabalar,
>
> Ben acikcasi temel istegi henuz tam anlayamadim buradaki, belki bir seyi
> kaciriyorumdur.
>
> Anladigim kadariyla bir yazilim var, sunuculara kurulacak ve konu bunun
> lisanslamasi. Sanirim yazilimin kuruldugu sunucuya baglanan client' lar la
> alakali bir konu yok. Esas olay hosting firmasindaki yazilim lisansi.
>
> SSL kullandikca ve invalidated SSL leri kabul etmedikce (varsayilan olarak
> .net kabul etmiyor) MITM (ortadaki adam) saldirilarindan korkmaniza gerek
> yok. SSL sizi bunlardan koruyor. Ama zaten sanirim esas konu MITM degil de
> biri sahte bir lisasn sunucusu yaparsa. Ben oraya gitmeden daha ciddi bir
> sorunun altini da cizeyim, direk .NET kodunu degistirmek ve klasik crack
> uretmek bence daha ciddi bir sorun olacaktir. Yani butun DES keyler ve SSL
> lerin yaninda saldirgan sadece bir bit degistirerek o istegi sonucunu her
> zaman True olarak gosterebilir. (*ama fake sunucu atagina en pratik cozum
> SSL ve hardcoded domain olacaktir, dolayisiyla o tip bir lisans sisteminde
> SSL sorununu bir nebze de olsa cozer, ek olarak ik tarafindan paylastigi bir
> onay algoritmasi da yetecektir.*)
>
> Herseyden once sisteminiz duzenli guncelleme gerekmedikce ve online bir
> isleme gerek duymadikca hersey client-side olmus oluyor. Sonuc malum
> bildigin gibi client-side da guvenlik yok. Dolayisiyla yazilim baskasinin
> bilgisayarina yuklenince konu kapanmis oluyor, ama amac bunu en zor hale
> getirmek. Yani tam anlamiyla "security through obscurity".
>
> Ilk olarak .NET Obfuscator lardan bir tanesini siddetle tavsiye ederim, bu
> sayede kodu decompile etmek ve anlamak saldirgan icin biraz daha zor
> olacaktir. Ikinci olarak. Strong Naming kullanmak da bu konuda azda olsa
> yardimci olacak seylerden biri, genel olarakta guzel bir pratik zaten
> guvenlik acisindan.
>
> Bence kendi lisans sisteminizi yazmak yerine hazir sistemlerden birini
> kullanabilirsiniz, acikcasi aklimda olan bir yazilim yok ama bu isi yapan
> bir cok firma var. Kendi basit lisasn sisteminiz + bu tip hazir bir
> lisanslama modeli (veya modifiye edilmisi) + obfuscation sanirim en iyi
> cozumlerden biri olacaktir.
>
> Dedigim gibi olayi tamamen yanlis anlamista olabilirim :)
>
>
>
> 2008/9/24 Oğuzhan YILMAZ <aspsrc at gmail.com>
>
>> Merhabalar,
>>
>> Uzun zamandan beri üzerinde çalıştığım .net framework 2.0 ve C# kullanarak
>> geliştirdiğim Server-Client tarzı bir uygulamam var.
>> Kısaca yaptığı işi belirtmek gerekirse. wİndows Application şeklinde
>> çalışan Hosting Kontrol Paneli diyebiliriz. Sunucu kısmı hosting şirketinin
>> sunucusunda çalışıyor. Hosting şirketide müşterilerine masaüstü uygulaması
>> tarzındaki istemcisini dağıtıp hizmetlerini müşterinin kendi yönetmesini
>> sağlıyor.
>>
>> Esas danışmak istediğim husus ise. Bu ürünün lisanslamasını en
>> güvenilir(?) şekilde hangi türde yapabiliriz.? Konu ile ilgili dünyadaki
>> standartlar nelerdir?
>>
>> Genelde yapılan teknik ve benim düşündüğüm şöyle.
>> Uygulamanın kurulu olduğu sunucudan üreticinin sunucusuna içinde anahtar
>> bilgisi olan bir istek gidiyor. Üretici sunucusuda bu istek'e göre olumlu
>> yada olumsuz cevap döndürüyor. Bu teknik ortadaki adam saldırısı gibi bir
>> çok yönteme açık olduğundan biraz endişeliyim. Aradaki veriyi ssl ile
>> gönderirsek yinede bu tipteki yöntemleri by-pass edebilirmiyiz? İstek'te
>> bulunan sunucya fake bir üretici sunucusuda gösterilebilir.
>>
>> Sonuç: Hala tam olarak nasıl bir lisanslama yöntemi kullanacağımı
>> belirleyemedim.
>>
>> --
>> Oğuzhan
>>
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
>



-- 
Oğuzhan
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080925/b309aa3d/attachment.html 


More information about the Owasp-turkey mailing list