چرا با وجود امنیت کم دات نت ازش در برنامه های تجاری استفاده می شه !!

[saied7468]

سلام به همه دوستان
من در حال يادگرفتن سي شارپ هستم توي انجمن يه مطلبي ديدم که باعث شد از يادگرفتن سي شارپ يه کم سرد شم.

در دات نت نقطه ضعفي از لحاظ امنيتي وجود داره که باعث ميشه کراکر به سورس کد شما هم بتونه دسترسي پيدا کنه , کار اين برنامه ها جلوگيري از اين اتفاق هست که تا 70% موفق عمل ميکنن ولي نه هميشه.

https://barnamenevis.org/showth...ght=امنيت

در حال حاضر هيچ راهي براي جلوگيري از لو نرفتن سورس در پلتفورم دات نت وجود ندارد شما فقط با پروتکتورهاي موجود ميتوانيد براي کراکر سختي ايجاد کنيد آن هم در حد ضعيف.

https://barnamenevis.org/showthread.php?t=122711

سوال من :
چرا شرکتها با وجود اينکه مي دونن احتمال داره سورس برنامه هاشون لو بره از اين زبان هاي برنامه نويسي استفاده مي کنن ؟؟

[Amir Oveisi]

این که سورس برنامه دیده بشه همیشه دلیل بر این نیست که امنیت اون برنامه پایینه. در ضمن اینکه یک کمپانی تصمیم بگیره برای توسعه یک نرم افزار از چه زبانی استفاده کنه بستگی به خیلی چیزها داره و امنیت تنها عامل تصمیم ساز نیست. مثلا ممکنه یه موقع راحتی توسع و زمان مورد نیاز برای اتمام کار حیاتی باشه و مجبور بشیم با یه زبان ساده تر این کار رو انجام بدیم و بجاش امنیت، کارایی و خیلی چیزهای دیگه رو ازشون چشم پوشی کنیم.

با این همه باز هم این مواردی که اشاره کردید دلیلی بر این نیست که برنامه های مبتنی بر NET. امنیت پایینی دارن بلکه به نظر من اگر به درستی از امکانات اون استفاده بشه حتی با دیده شدن کد برنامه هم امنیت برنامه تا حد زیادی تامین خواهد بود. البته این نکته هم مهمه که هر برنامه ای قابل نفوذ هست.

موفق باشید

[saied7468]

با این همه باز هم این مواردی که اشاره کردید دلیلی بر این نیست که برنامه های مبتنی بر NET. امنیت پایینی دارن بلکه به نظر من اگر به درستی از امکانات اون استفاده بشه حتی با دیده شدن کد برنامه هم امنیت برنامه تا حد زیادی تامین خواهد بود. البته این نکته هم مهمه که هر برنامه ای قابل نفوذ هست

دوست عزیز من فکر می کنم شما اشتباه می کنی اگه یه شرکت یه سیستم یک پارچه با یکی از برنامه های تحت دات نت بنویسه و این سیستم رو با قیمت بالایی بفروشه کافیه یه نفر سودجو به فایل اجرایی اون سیستم یکپاچه دسترسی پیدا کنه و بتونه فایل اجرایی رو به سورس تبدیل کنه خوب اون موقع دیگه فاتحه اون نرم افزار خونده است . چرا؟ چون با کمی تغییر می تونه اون رو به هر شکلی که می خواد تبدیل کنه و به اسم خودش بزنه و با قیمت کمتر از شرکت بفروشه و تنها چیزی که اینجا نصیب شرکت می شه ضرر هست.

[Amir Oveisi]

بتونه فایل اجرایی رو به سورس تبدیل کنه خوب اون موقع دیگه فاتحه اون نرم افزار خونده است . چرا؟ چون با کمی تغییر می تونه اون رو به هر شکلی که می خواد تبدیل کنه و به اسم خودش بزنه و با قیمت کمتر از شرکت بفروشه

این کار خیلی هم ساده نیست حتی اگر اون برنامه خیلی مبتدیانه هم نوشته شده باشه باز هم برای تبدیل اون به سورس قابل اجرا کار زیادی لازمه که کمتر از دوباره نویسی برنامه نیست. تازه اگر برنامه حجیمی باشه کار خیلی سخت تر و زمان بر تر خواهد شد. حالا اگر برنامه با رعایت استانداردهای امنیتی نوشته بشه دیگه کار خیلی سخت میشه و تبدیل آن به سورس قابل اجرا کار هر کسی نخواهد بود و زمان و هزینه زیادی هم لازم خواهد داشت پس میشه این نتیجه رو گرفت که احتمال اینکه کسی بیاد این کار رو انجام بده و زمان و انرژی براش صرف کنه خیلی کمه. البته باز هم میگم غیر ممکن نیست همینطور که اگه با ++C یا Delphi یا هر زبان دیگه ای نوشته بشه باز هم همین قدر امکانش هست که برنامه کرک بشه.

موفق باشید

[keivan mousavi]

من یک نظر کلی درباره این روال دارم
علت اینکه امنیت لینوکس از ویندوز بیشتره چیست؟
علت اینکه نرم افزارهای جانبی لینوکس خیلی بیشتر از ویندوز هست چیست؟
علت اینکه لینوکس توی این 10 سال پیشرفت چشم گیری کرد چیست که حتی بانکهای اورپا و آمریکار و حتی برخی از ادرات امنیت ملی کشورهای مختلف وادر به استفاده از این سیستم عامل کرد

علت در open source بود این سیتم عامله که باعث پیشرفت این نرم افزار شد
open source بودن نه تنها دلیل بر ضعف و امنیت پایین نیست بلکه باعث بالا بردن امنیت و جلوگیری از باگهای وحشتناک میشود

اگر در لینوکس حفره نفوذی پبدا شود بلافاصله 400 برنامه نویس حرفه ای از سراسر دنیا تلاش میکنن که اون حفره نفوذ رو بپوشونن

در مورد C#‎.NET هم همین نکته صدق میکنه که باعث توسعه میشه نه باعث عقب ماندگی

شما بهتره یکمی درمورد نرم افزارهای OPEN SOURCE بیشتر سرچ کنی و اون وقت متوجه میشی که دنیای کنونی به سمت این نرم افزارها میرود

[saied7468]

علت در open source بود این سیتم عامله که باعث پیشرفت این نرم افزار شد
open source بودن نه تنها دلیل بر ضعف و امنیت پایین نیست بلکه باعث بالا بردن امنیت و جلوگیری از باگهای وحشتناک میشود

اگر در لینوکس حفره نفوذی پبدا شود بلافاصله 400 برنامه نویس حرفه ای از سراسر دنیا تلاش میکنن که اون حفره نفوذ رو بپوشونن

در مورد C#‎.NET هم همین نکته صدق میکنه که باعث توسعه میشه نه باعث عقب ماندگی

دوست عزیز شما داری غیاس معل فارق می کنی چرا :
1- C#‎.NET و کلا ویژوال استدیو اصلا open source نیستند و به نظر نمی یاد که روزی هم اینطور بشن چرا چون ماکروسافت کلی خرج کرد تا اونها رو توی بازار مطرح کنه و حالا باید دیوانه باشه که اونها رو open source کنه و فقط از پشتیبانی اونها پول در بیاره .

2- این یه ضعف محصوب می شه که محصولات دات نت در حال حاضر فایل های اجرایی که تولید می کنن امکان بر گردوندن اونها به سورس وجود داره .(البته همنطور که جناب bermooda گفتند باید روی سورسی که بر گردونه می شه کار کرد تا شکل قابل استفاده تبدیل شه . توی خیلی از مواقع برای افراد صرف می کنه که نرم افزاری رو که قیمتش توی بازار 70 میلیون هست (مثل حسابدار رایورز) رو روش کار کنن تا به شکل قابل استفاده بشه. )

[keivan mousavi]

این یه ضعف محصوب می شه که محصولات دات نت در حال حاضر فایل های اجرایی که تولید می کنن امکان بر گردوندن اونها به سورس وجود داره .(البته همنطور که جناب bermooda گفتند باید روی سورسی که بر گردونه می شه کار کرد تا شکل قابل استفاده تبدیل شه . توی خیلی از مواقع برای افراد صرف می کنه که نرم افزاری رو که قیمتش توی بازار 70 میلیون هست (مثل حسابدار رایورز) رو روش کار کنن تا به شکل قابل استفاده بشه. )

کتاب NET DEVELOPER'S GUIDE. از سری کتابهای انتشاراتی MURCH'S جواب همین مطلبو که نوشتی بطور مفصل داده پیشنهاد میکنم این کتابو حتماً دانلود کنی

دوست عزیز شما داری غیاس معل فارق می کنی چرا :
1- C#‎.NET و کلا ویژوال استدیو اصلا open source نیستند و به نظر نمی یاد که روزی هم اینطور بشن چرا چون ماکروسافت کلی خرج کرد تا اونها رو توی بازار مطرح کنه و حالا باید دیوانه باشه که اونها رو open source کنه و فقط از پشتیبانی اونها پول در بیاره

دوست گرامي به همين خاط بود كه گفتم سرچ كن كسي منكر اين نشده كه تمام برنامه هايي كه با C#‎.NET نوشته ميشن OPEN SOURCE هستن من ميگم اگه شما تو سايت مايكروسافت بري و هرنوع پرتاليو سرچ كني شبه كد اين نرم افزارهارو ميده

در مورد لينوكس هم اين گزينه صادقه كه فقط CORE لينوكس OPEN SOURCE نه سيستمهايي كه شركتهايي مثل RED HAT, UBUNTU و MANDIFIER توليد ميكنن كه اگر اينگونه بود...

[Amir Oveisi]

در ضمن مايكروسافت سورس دات نت 3.5 رو بصورت آنلاين ارائه ميكنه كه اگه پلاگينش رو VS نصب بشه ميتونين آنلاين سورس كلاس هايي كه ميخواين ببينين. نكته ديگه اينه كه خود مايكروسافت ابزار ILDASM.EXE رو با VS داده كه ميشه سورس برنامه هاي دات نت رو ديد و براي آناليز برنامه ها ودستيابي به امنيت و performance بيشتر برنامه ها ازش استفاده كرد.
نتيجه: اين قضيه ممكنه براي عده اي يه ضعف محسوب بشه اما براي عده اي ديگه وسيله ايه براي توليد نرم افزارهاي امن تر و كامل تر.

موفق باشيد

[Evil 69]

دوست عزیز این .NET بیدی نیست که با این باد ها بلرزه کرک کردن برنامه هایی که با .NET نوشته می شن خیلی سخت تر هستش از برنامه هایی که با مثلا Delphi نوشته می شه . شاید یکی از دلایلش این باشه که برنامه به طور مستقیم تبدیل نمیشه بلکه اول به یک صورت خاص کد می شه بعد در زمان اجرا یک برنامه دیگه میاد و اون ها رو تبدیل می کنه به زبانی که سیستم عامل بتونه اون ها را کنترل کنه .
برای اینکه متوجه بشی کرک کردن برنامه های .net سخت تر هست از بقیه می تونی خودتامتحان کنی یک سری برنامه سورس هکر رو نصب کن با اونا تست بزن
من برات با Source Hacker , Pe Explorer,Restorer,Miltilizer,ollydbg , Source editor تست زدم و هیچ کدوم نتونستن Resource ها و کد های اسمبلی اون رو بکشن بیرون .
پس با خیال راحت به کارت برس

[debugger]

دوست عزيز نه تنها برنامه هاي دات نت بلكه تمام برنامه هايي كه تحت زبان هاي مختلف نوشته مي شوند قابل كرك شدن هستن . پس با اين اوصاف شما بايد اصلا برنامه ننويسيد

امنيت برنامه هاي دات نت هم بستگي به كد هاي نوشته شده و شيوه پروتكت اون داره .

[Parham.D]

من با آن دسته که میگن .NET امنیت داره موافق هستم. به هر حال سیستم دات نت فقط کد نویسی نیست، بلکه معماری و مهندسی است. کسانی که میخواهد یک برنامه بزرگ، جامع و گران بنویسد اول آن برنامه را طراحی میکنند (مهندسی و معماری) میکند. که امنیت یکی از بخشهای مهم آن است. این روزها کد نویس خوب زیاد هست که هر برنامه‏ای بنویسند. اما به نظر من کار اصلی را طراح انجام میدهد. طراح درک عمیق تری از دات نت دارد نسبت به برنامه نویس و حتی نوع مهندسی و طراحی، طراح نرم افزار بر روی کدی که برنامه نویس قرار است بنویسد تاثیر دارد.

[Armin060]

نگرانی شما از اينه كه يكی‌ بياد سورس نرم افزار شما رو به دست بياره و يه سری تغيرات توش ايجاد كنه ( مثلا قسمت About رو به نام خودش تغيير بده ) و با قيمت كمتر به فروش برسونه.

خوب برنامه هایی كه با زبان هایی مثل ++C و Delphi كه Native هستند نوشته شده اند رو هم ميشه اين كار رو كرد.
مثلا نرم افزار Notepad ويندوز با ++C نوشته شده. من يك سری تغييرات جزئی توی اين نرم افزار دادم و ميزارم واسه دانلود خودتون نگاه كنيد تا مطمئن بشيد.

1- منو Help > About به Help > About Barnamenevis.Org تغيير كرده.
2- قسمت Properties فايل exe سر برگ Version رو هم يه نگاهی بندازيد. Company از Microsoft Croporation به Barnamenevis.Org تغيير كرده.

[alireza_tavakol]

آرمین جان فکر کنم شما با نرم افزار Resource Hacker فایل notepad.exe رو باز کردی و عنوان منو About و مقدار ذخیره شده در فیلد CompanyName رو ویرایش کردی

حالا شما اگه فکر میکنی ++C امنیت نداره یه زحمت بکش ، خودت چند خط کد بنویس سپس فایل exe خودت رو توسط برنامه های Resourcer مربوط به سی پلاس پلاس decompile کن ، بعد متوجه میشی که دقیقا" به همون کد های اولیه که خودت نوشته بودی نرسیدی ولی یه کدی بهت داده میشه که همون کار کد خودت رو انجام میده!

در صورتی که بحث در مورد امنیت برنامه های نوشته شده به زبان های تحت پلتفرم دات نت فراتر از این حرفاست به شکلی که کل source کد های و الگوریتم های که نوشتی decompile میشه عین روز اول که خودت نوشته بودی

یعنی اگه برنامت open source باشه که هیچ والا بازم open source

[Armin060]

آرمین جان فکر کنم شما با نرم افزار Resource Hacker فایل notepad.exe رو باز کردی و عنوان منو About و مقدار ذخیره شده در فیلد CompanyName رو ویرایش کردی

بله

حالا شما اگه فکر میکنی ++C امنیت نداره

من كی گفتم ++C امنيت نداره؟؟؟


در كل فقط من می خواستم نشون بدم كه ميشه توی Native هم تغييرات ايجاد كرد. حتی ميشه الگوريتم برنامه برای انجام كاری رو هم تغيير داد.
توی اينجا دات نت نسبت به Native يه حسن داره، و اون اينه كه فرم ها و ديگر Object ها Resource نيستند. ( البته تو ++C ميشه اين كار رو كرد ولی تو Delphi نمی دونم )

حالا واسه اينكه جناب saied7468 يكم از امنيت دات نت مطمئن تر بشن من اينجا يه برنامه می زارم كه با دات نت نوشته شده. يه نگاهی بندازيد، ببينيد می تونيد اسم منوی About رو تغيير بديد!!

[alireza_tavakol]

حتی ميشه الگوريتم برنامه برای انجام كاری رو هم تغيير داد.

مشکل اینجاست که من نوعی نمی خوام ایده (سورس الگوریتم هام ) فاش بشه . برای من تغییرات اصلا" اهمیتی نداره

البته روش هایی برای ناخوانا کردن سورس برنامه ها وجود داره ولی در کل من میگم این یک ایراد بزرگه که بشه برنامه های دانت رو Resource کرد و از اون بدتر اینکه میشه Decompile کرد برنامه های نوشته شده با دات نت رو

[Armin060]

شما برو ببين می تونی اون برنامه ای كه من گزاشتم رو Decompile كنید!

[Amir Oveisi]

مشکل اینجاست که من نوعی نمی خوام ایده (سورس الگوریتم هام ) فاش بشه .

ایده اگر آنقدر براتون با ارزش هست که نمیخواین فاش بشه یا برنامه الگوریتمش آنقدر حیاتی هست که فاش شدنش خسارات جبران ناپذیری به بار میاره اون موقع شما هم باید برای الگوریتم و ایده تون خرج کنید و با خرید ابزارهای .NET to Native برنامتون رو به Native Code تبدیل کنید که یه نمونه خوب همچین برنامه ای 1500 دلار قیمتشه! یا اینکه یه برنامه نویس حرفه ای ++VC کار استخدام کنید و برنامتون رو به زبان ++VC بنویسید.
یادمون باشه که همه کارهارو نمیشه با یک زبان انجام داد.

[ali_kolahdoozan]

کلا برنامه های دات نت اصلا امنیت ندارند و بهتر است هر کس نگران است سریعا به سراغ دیگر زبانها رفته و اصلا هم دیگر به دات نت فکر نکند . دات نت برای ما پیرمردها کافی است . بزارن ما باهاش همون پروژه های خودمون رو انجام بدیم .

[saied7468]

يه نگاهی بندازيد، ببينيد می تونيد اسم منوی About رو تغيير بديد!!

اسم منوی About تغییر کرد

کلا برنامه های دات نت اصلا امنیت ندارند و بهتر است هر کس نگران است سریعا به سراغ دیگر زبانها رفته و اصلا هم دیگر به دات نت فکر نکند . دات نت برای ما پیرمردها کافی است . بزارن ما باهاش همون پروژه های خودمون رو انجام بدیم .

دوست عزیز چرا شاکی می شی کسی منکر این نیست که دات نت ابزار مفیدیه ولی این واقعیت که احتمال داره سورس برنامه لو بره انکار نا پذیره .


در کل من فقط می خواستم به یه جواب منطقی برسم که چرا شرکتها برنامه هاشون ( بیشتر برنامه های تخصصی مد نظرم هست) رو با دات نت می نویسن با اینکه می دونن احتمالش وجود داره سورسشون لو بره .

[alireza_tavakol]

کلا برنامه های دات نت اصلا امنیت ندارند و بهتر است هر کس نگران است سریعا به سراغ دیگر زبانها رفته و اصلا هم دیگر به دات نت فکر نکند . دات نت برای ما پیرمردها کافی است . بزارن ما باهاش همون پروژه های خودمون رو انجام بدیم .

الحق حرف حساب جواب نداره!

ولی یه چیز ، هیچ روشن فکری نباید روی زبان برنامه نویسیش تعصب داشته باشه همان طوری که نباید روی رفتار ، اشخاص یا حتی دینی که بهش پایبندیم

تعصب داشتن اصلا" خوب نیست

منظورم اینکه هر چیزی یه سری نقاط ضعف داره یه سری نقاط قوت ، همیشه دو روی سکه رو ببینید نه اینکه همچون عاشقی دل باخته فقط محاسن یار رو مد نظر قرار بدین

هدف از این تاپیک هم فقط هم فکر و گفتگو در رابطه با امنیت بوده و نمی خواستیم به علایق شخص خاصی توهین بشه

[emadfa]

البته من از یک چیز تعجب می کنم: این که دوستان امنیت رو فقط در عدم decompile کردن برنامه می دونن!!!!
امنیت در برنامه نویسی یک مقوله کاملا تخصصی است و امنیت این که کد لو نره یکی از مسایل بسیار جزیی در برنامه نویسی است. ( در قیاس با سایر مقوله ها ). سایر مقوله ها ( امنیت در کدنویسی, امنیت در debugger , توابع داخلی و پایداری برنامه از مقوله های مهمتری هستند.

[Open-Source]

شما به هر زبونی که کد ننویسی در آخر تبدیل میشه به کد ماشین برای اجرا در کامپیوتر.

اگر کسی با زبون اسمبلی آشنا باشه ومبنای 16 رو بخوره به راحتی میتونیه برنامه ای رو که نوشتی(به هر زبونی) کرک کنه.

دات نت هم به همین صورت هستش فقط مشکلش اینه که دات نت کد رو به IL تبدیل میکنه سپس به کد ماشین تبدیل میکنه که کار رو برای کراکر ها یه خورده راحت تر کرده.



و همونطور که دوستمون گفت امنیت فقط لو رفتن یا نرفتن کد نیست.....

[saied7468]

سلام

البته من از یک چیز تعجب می کنم: این که دوستان امنیت رو فقط در عدم decompile کردن برنامه می دونن!!!!

دوست عزیز شما فرض کن بهترین روتین ها رو برای جلو گیری از کراک شدن در برنامه بکار بردی خوب وقتی کراکر بتونه سورس برنامه شما رو ببینه خیلی راحت می تونه بفهمه که :
1- اگر کراکر با برنامه نویسی آشنا باشه ==> این روتین ها چی هست و چطور باید باهاش مقابله کرد.
2-روتین ها رو کجا های برنامه نوشتی که این توی کراک کردن برنامه خیلی کمک میکنه .

بخاطر همین decompile رو مسئله مهمی می دونیم.

[Amir Oveisi]

امنیت به خیلی چیزها بیتگی داره که decompile شدن یه قسمتی از اونه اما همش نیست. اگر برنامه نویسی براش دیده نشدن کد خیلی مهمه بهتره بره سراغ زبان های دیگه اما این کار باعث نخواهد شد که برنامش کرک نشه!
در ضمن دیده شدن کد دلیلی بر این نمیتونه باشه که دات نت امنیت نداره.

موفق باشید

[saied7468]

خوب به نظر می یاد این تاپیک داره به میدون جنگ تبدیل میشه!!
من فکر می کردم دوستانی که با دات نت کار می کنن می تونن یه جواب منطقی برای سوالم بهم بدن اما انگار نشد .
با این حال از همه دوستانی که سعی کردن منو راهنمایی کنن تشکر می کنم.

[keivan mousavi]

(با کنایه خوانده شود) رشته جدید دانشگاهی به نام علوم رایانه داریم که کارش طراحی زبانهای برنامه نویسی هستش پیشنهاد میکنم به خاطره اینکه این قائله ختم به خیر شود توی این رشته تحصیل کنید و خودتون برای خودتون زبان برنامه نویسی ابداع کنید

دوستان امنیت یکی از بخشهای یک زبان برنامه نویسی هست بخش بزرگ و عظم آن پیشرفته بودن آن زبان و برآورد خواسته های برنامه نویس هست که الحق و النصاف ویژوآل استادیو این نیاز به خوبی برطرف کرده

من نمیخوام دو زبان برنامه نویسی رو با هم مقایسه کنم چرا که مقایسه این دو مانند مقایسه دو رشته رزمی میباشد شما نمی توانید بگویید که کدام کامل تره چرا که در هرکدام اگر به درجه استادی برسید میتوانید بر هر مشکلی غلبه کنید
در مورد NET. و دلفی هم این مسئله مصداق داره
NET. ممکن ضعفهایی داشته باشه که حتماً همین طور هست ولی امکاناتش از رقیبه دیرینه خود یعنی دلفی خیلی بیشتره و کسی نمیتونه این مسئله رو انکار کنه

[alireza_tavakol]

من بعد از مطالعه کل پست ها و تجربه شخصی به نتایج زیر رسیدم


1- کلا" معماری دات دانت خیلی محبوبه و علت محبوبیتش به خاطر قدرت و سهولت در پیاده سازی برنامه ها است

2- یکی از نقاط ضعف دات نت Decompile شدن برنامه های نوشته شده است که البته این موضوع خیلی مهم نیست ( البته به نظر من Microsoft باید این لکه ننگ از دامن دات نت پاک کنه )

3- در برابر این نقط ضعف ابزار هایی وجود داره که میشه حتی کد های Decompile شده را به گونه ای ناخوانا جلوه داد

4- موضوع امنیت فرار تر از بحث Decompile شدنه که البته من نمی دونم چطوری قرار جواب پست 23 رو بدم

[debugger]

به نظر من هر كي يه كرك مي بنويسه تا با تست اونا بتونيم به يك معماري با امنيت بالا برسيم .

تست هم با من !

[Amir Oveisi]

موضوع امنیت فرار تر از بحث Decompile شدنه که البته من نمی دونم چطوری قرار جواب پست 23 رو بدم

پست 23:

دوست عزیز شما فرض کن بهترین روتین ها رو برای جلو گیری از کراک شدن در برنامه بکار بردی خوب وقتی کراکر بتونه سورس برنامه شما رو ببینه خیلی راحت می تونه بفهمه که :
1- اگر کراکر با برنامه نویسی آشنا باشه ==> این روتین ها چی هست و چطور باید باهاش مقابله کرد.
2-روتین ها رو کجا های برنامه نوشتی که این توی کراک کردن برنامه خیلی کمک میکنه .

بخاطر همین decompile رو مسئله مهمی می دونیم.

ببینید این حرف کاملا درسته اما بحث سر اینه که با اینکه میدونیم کدهامون دیده خواهند شد حالا چجوری باز هم امنیت برنامه رو حفظ کنیم. یه مثال از خودم میزنم شاید منظورم بهتر بیان بشه. من تو خیلی از برنامه هایی که نوشتم و امنیت یک قسمت از کدم برام یا برای اون شرکت خیلی مهم بوده از چند روش استفاده می کنم:
1- از packer ها و Obfuscator ها استفاده میکنم>
2- اون قسمت هایی که نمیخوام کدم دیده بشه رو با ++C بصورت dll مینویسم و استفاده میکنم تو برنامم.
3- اون قسمت هایی که نمیخوام کدم دیده بشه و یا در دسترس کاربر اصلا نباشه از Web Service ها استفاده میکنم.
و ...

حالا استفاده درست از روش های رمزنگاری اطلاعات مهم به جای خودشه و حتما باید استفاده بشه.
خوب حالا با در نظر گرفتن این شرایطی که عرض کردم فرض کنید یکی بیاد کد شما رو هم ببینه. چه چیز مفیدی دستگیرش خواهد شد؟

یه مطلب دیگه هم در مورد برنامه هایی که با دات نت نوشته میشه وجود داره اونم اینه که برنامه ها و کلا اسمبلی های دات نت یه ویژگی دارن به نام Strong Name که یه Hash Code هست که برای هر اسمبلی مقدار یکتایی داره و بر اساس محتویات و کدهای اون اسمبلی موقع کامپایل بدست میاد. هر موقع که .NET Loader میخواد برنامه رو اجرا کنه Strong Name اونرو با مقدار اصلیش مقایسه میکنه و تنها در صورتی اجازه اجرا شدن بهش میده که مقدار این Strong Name برابر مقدار اصلیش باشه. بنابراین اگر حتی یک بیت هم از اون برنامه به هر روشی تغییر کنه مقدار Strong Name اون عوض خواهد شد و دیگه اجازه اجرا نخواهد داشت.
مگر اینکه برنامه دوباره کامپایل بشه که اینکار مستلزم تبدیل سورس برنامه به سورس های قابل اجراست که با وجود اینکه نرم افزارهایی هستن که این کار رو انجام میدن اما باز هم اگر برنامه یکم پیچیده نوشته شده باشه و حجیم باشه کار خیلی سختیه...

پ.ن:
من اصلا قصد دفاع از دات نت رو ندارم و فقط خواستم که اطلاعات و تجربیات ناچیزی که تو این مدت بدست آوردم رو در اختیار بقیه بذارم تا با دید بازتری تصمیم بگیرن که چیکار باید بکنن.

موفق باشید

[alireza_tavakol]

2- اون قسمت هایی که نمیخوام کدم دیده بشه رو با ++C بصورت dll مینویسم و استفاده میکنم تو برنامم.

ببخشید مگه با ++C هم میشه فایل DLL ایجاد کرد؟

[اَرژنگ]

مشکل اینجاست که من نوعی نمی خوام ایده (سورس الگوریتم هام ) فاش بشه . برای من تغییرات اصلا" اهمیتی نداره

یکی از این الگریتمهایی که اینقدر مهم هستند بگید چه کاری انجام میده. از لحاظ امنیتی دات نت هیچ چی کم ندارد، به اندازه کافی مقاله در مورد امنیتی دات نت در سایت مایکروسافت وجود دارد، اگر کسی در مسائل امنیتی دات نت مشکلی پیدا کند، به احتما زیاد مایکروسافت بهش پیشنهاد استخدام میده!

[اَرژنگ]

سلام

دوست عزیز شما فرض کن بهترین روتین ها رو برای جلو گیری از کراک شدن در برنامه بکار بردی خوب وقتی کراکر بتونه سورس برنامه شما رو ببینه خیلی راحت می تونه بفهمه که :
1- اگر کراکر با برنامه نویسی آشنا باشه ==> این روتین ها چی هست و چطور باید باهاش مقابله کرد.
2-روتین ها رو کجا های برنامه نوشتی که این توی کراک کردن برنامه خیلی کمک میکنه .

بخاطر همین decompile رو مسئله مهمی می دونیم.

اگر برنامه واقعا خوب باشد کپیش را درست میکنند. اگر واقعا این موضوع مهم باشد، یک برنامه واقعی ( تجاری ) را که با دات نت نوشته شده و کسی دی کمپایلش کرده وازش مانند اینکه خودش درست کرده و پشتیبانی میکند را مثال بدید. این طرز تفکر ربط دادن دیکمپایل نشدن برنامه را به امنیت ربط دادن حقیقت خارجی ندارد. از لحاظ تجسمی، بله میشه یک پله یک پله به ماه راه ساخت ولی در واقعیت کی این کار را انجام داده؟

در مورد کرک، برنامه‌هایه غیره دات نت را هم کرک میکنند، تنها برنامهایه را کرک نمیکنند که ارزش کرک کردن نداشته باشد. دات نت یا غیره دات نت، برنامه درست حسابی که کرک نشده باشد را کسی سراغ دارد؟

[اَرژنگ]

من بعد از مطالعه کل پست ها و تجربه شخصی به نتایج زیر رسیدم

2- یکی از نقاط ضعف دات نت Decompile شدن برنامه های نوشته شده است که البته این موضوع خیلی مهم نیست ( البته به نظر من Microsoft باید این لکه ننگ از دامن دات نت پاک کنه )

3- در برابر این نقط ضعف ابزار هایی وجود داره که میشه حتی کد های Decompile شده را به گونه ای ناخوانا جلوه داد

4- موضوع امنیت فرار تر از بحث Decompile شدنه که البته من نمی دونم چطوری قرار جواب پست 23 رو بدم

۲. نتیجه گرفته شده بر حسبه فرضهایه اشتباه است. در نتیجه نظرتان اشتباه است. چرا جاوا را فراموش کردید؟ همین شرائط در جاوا هم وجود دارد، پس چرا کسی در مورد کمبود امنیت جاوا مشکلی نمیبیند؟
۳. ناخوانا کردن فقط برایه دات نت نیست، برنامه هایه غیره دات نت را هم ناخوانا میکنند. پس این مشکل را نمیشه فقط به استفاده از دات نت ربط داد.

۴.چواب پست ۲۳ را در پست قبلیم دادم.

[Armin060]

به اندازه کافی مقاله در مورد امنیتی دات نت در سایت مایکروسافت وجود دارد

ميشه بگيد كجاش؟

[اَرژنگ]

ميشه بگيد كجاش؟

http://msdn.microsoft.com/en-us/library/ms998408.aspx

[ali_kolahdoozan]

امنیت یک کلمه نیست با سورس شدن یا نشدن برقرار یا نقض بشه . در ضمن میزان سورس شدن آنقدر نیست که همه چیزو بریزه بیرون . ضمننا من الان که یک پروژه تحویل شهرداری دادم کی میاد بره که سورش کنه ؟ شما خودت میگی شرکتها . خوب شرکتهایی که برای جاهای بزرگ کار کنند نیازی ندارند که زیاد هم خودشون رو بیچاره کنند . ضمننا میتونی با روشهایی جلوی این اندک سورس شدن رو هم بگیری

وقتی پروژه بزرگ شد دیگه راه کارها و تحلیلها مهم میشه و پشتیبانی دیگر exe ارزش نداره

[saeed2rele]

البته دوستان باید به این نکته توجه داشته باشن که منظور از امنیت در این تاپیک فقط فاش نشدن سورس کد برنامه است نه مسائل دسترسی و یا لایه های امنیتی در برنامه نویسی.
به نظر من هم این مسئله مشکل بزرگیه. وقتی کسی میخواد یه برنامه جدید بنویسه وقت زیادی صرف آنالیز میکنه و برای انجام اون کار یه راه حل پیدا میکنه اونوقت هر کسی میاد با دیدن سورس کد حاصل زحمت اون رو میبره.
اما از طرف دیگه انگار چاره دیگه ای نیست و باید با این خصوصیت پلتفرم های دات نت و جاوا ساخت.
درسته پلتفرم جاوا هم دقیقا همین خصوصیت رو داره.

[اَرژنگ]

البته دوستان باید به این نکته توجه داشته باشن که منظور از امنیت در این تاپیک فقط فاش نشدن سورس کد برنامه است نه مسائل دسترسی و یا لایه های امنیتی در برنامه نویسی.
به نظر من هم این مسئله مشکل بزرگیه. وقتی کسی میخواد یه برنامه جدید بنویسه وقت زیادی صرف آنالیز میکنه و برای انجام اون کار یه راه حل پیدا میکنه اونوقت هر کسی میاد با دیدن سورس کد حاصل زحمت اون رو میبره.
اما از طرف دیگه انگار چاره دیگه ای نیست و باید با این خصوصیت این پلتفرم دات نت و جاوا ساخت.

یک مثال که این اتفاق واقعه شده را کسی ازش خبر دارد؟ الگریتهمایه سطح بالا که بدرد دزدی بخورند را حتی با مدارک کامل نمیشه دستگیر شد، چه برسه اینکه یکی با کد کج مواجی که رفلکتر بدست میده را استفاده کند که ازش سر دربیاره. ۹۹٪ مواقع برنامه ها درمورد بازکردن فرم ویا ریختن داتا در گرید هستند. تا حالا ندیدم که کسانیکه که کدشان بدرد بدست آودرن باشد در این مورد جاوا و یا دات نت شکایتی کرده باشند.

[alireza_tavakol]

بعد از پست هایی که در بالا خوندم نکات زیر را به عنوان جواب به پست های آقای ( کلاهدوزان و ارژنگ ) عرض میکنم ( پس لطفا" پست های بالا رو کامل و با دقت بخوانید )

قضیه اول : تبدیل exe به Source
دوستان یک فایل exe بزارین در بخش امنیت همین سایت و عنوان تاپیک رو بزارین Crack Me دوستان نفوذگر ، source کامل اون فایل exe رو ظرف کمتر از 30 دقیقه upload می کنند ( نمونش پست 14 همین تاپیک )
پس باید قبول کنیم که فایل اجرایی دانت رو میشه به کد منبعش تبدیل کرد ، عین روز اولش ، حالا اگه من یا شما قادر به انجام این کار نیستیم دلیلش این نیست که این کار شدنی نیست

قضیه دوم :درجه اهمیت فاش شدن کد منبع
شرکت مایکروسافت در سال 1980 به وجود آمد و در سال 1981 اولین نسخه سیستم عامل DOS رو به بازار ارائه کرد. از آن زمان تا به امروز نرم افزار های متعددی ساخته است و به عنوان یکی از بزرگترین شرکت های نرم افزاری درآمد سرشاری داشته است. به نظر بنده حقیر علت این درآمد سرشار حفظ امنیت source کد های سیتم عامل های این شرکت بوده ، یعنی اگه از روز اول هر سیستم عاملی می ساخت به صورت کد باز ارائه می داد حتما شرکت های دیگر با تغییرات جزیی یا کلی می توانستند سیستم عامل بهتری نسبت به مایکروسافت ارئه کنند و رقیب تجاری این شرکت بشوند.
پس منی که برنامه نویسی را به عنوان شغل آیند خود انتخاب کرده ام ، باید نیاز های اقتصادی من از این راه تامین گردد و این امر در گرو فاش نشدن کد های برنامه من است و در غیر این صورت ممکن است برنامه من توسط دیگران کامل تر و بهتر شود و درآمدی که باید به جیب من برسد به شخص دیگری میرسد.
و همون طوری که می دونید خود شرکت مایکروسافت حتی حاضر نیست اطلاعات پایه ای سیستم عامل های خود را در اختیار شرکت های تولید کننده نرم افزار بگذارد ، پس وای به روزی که source کد های سیستم عامل هاش فاش بشه!

قضیه سوم :روش های جلو گیری از Decompile
اگر ما اعتقاد داریم که روش هایی برای جلوگیری از resource شدن فایل های اجرایی است پس چرا خود مایکروسافت که به قول ارژنگ جون خیلی به امنیت پایبنده به میدان عمل نمی آید و توسط ابزار های ابتکاری و یا ابزار های تولید شده توسط دیگر شرکت ها ، کد برنامه های تولید شده به IL رو کاملا" ایمن نمی کنه که این مشکل بوجود نیاد


قضیه چهارم : نرام افزار های بزرگ غیر قابل نفوذ تا به امروز
نرم افزاری به اسم سایتکت وجود دارد برای مانیتورینگ دستگاه های PLC که دو نسخه از این نرم افزار برای شرکت زیمنس و اشنایدر تولید شده
قیمت این نرم افزار در ایران حدود 1400/000 تومان است و تا امروز هیچ نسخه قفل شکسته ای از سایتکت وجود ندارد
البته این نرم افزار ورژن های مختلفی داره من ارزان ورژن رو خدمتتون عرض کردم

قضیه پنجم : اهمیت فاش نشدن سرس فایل های اجرایی تولید شده توسط شرکت های بزرگ
آقای کلاه دوزان فرموده بودن : وقتی پروژه بزرگ شد دیگه راه کارها و تحلیلها مهم میشه و پشتیبانی ، دیگر exe ارزش نداره
اگه فایل اجرایی اون برنامه ای رو که شما واسه شهر داری نوشین رو یکی از کارمندان شهرداری بهش نفوذ کنه و رمز عبور پایگاه داده های شما فاش بشه و...
البته منم می دونم که خیلی راه برای جلوگیری از این اتفاق وجود داره ولی فرض محال که محال نیست ، اگه فرضا" رمز عبور پایگاه داده ها فاش بشه اون برنامه هیچ ارزشی نخواهد داشت
پس یکی از دقدقه های همه برنامه نویسان و شرکت های بزرگ حفظ تمام بخش های برنامه ارائه شده است

بعد از تایپ این همه کلمات بی ارزش یک جمله با ارزش می نویسم

من خودم معماری دات نت رو دوست دارم. بهش ایمان دارم . و تمام این حرف ها رو زدم تا با هم همفکری کرده باشیم ، و هیچ کس فکر نه منظور من توی این پست اینکه دات نت بده و باید بزاریمش کنار یا اینکه بگم جاوا یا ++C خیلی بهتر از دانت هستند!

[ali_kolahdoozan]

اگر من exe گذاشتم و نتوانستید سورس کنید چی میگید اون وقت ؟؟ رمز پایگاه داده ما رو هم کسی داشته باشه باز هم هیچ کاری نمی تواند بکند پروژه های ما در بستر کاری gis است . فقط 2 تا ابزار توش هست خودمان هم نصف روز کار داره تا روی سرور بیاریمش بالا و لایسنس ها هم فقط دست ماست . وقتی کار بزرگ شد از این حرفها میاد بیرون اما همینجا بازم میگم من وقت ندارم برم توی crack me و اینها می خواهید میزارمش همین جا هر کس خواست سورس کنه و بزاره