 |
Italiano
| 
 |
Venerdì,
15-Settembre-2006
|
|
del
Geom. Marcello Cantelmo :: C.C.I.A.A.: LECCE
• R.E.A.: 241514 •
P.IVA: IT-03733730752
|
| |
||||
| |
|
|||
| |
||||
GRAZIE!
PER AVER SCELTO DI VALUTARE: "GOLIATH .NET OBFUSCATOR
2.x"
-
Siamo consapevoli che commercializzando una qualsiasi applicazione .NET, stiamo consegnando (involontariamente!) anche il relativo codice sorgente ?
-
.NET = Open-Source ?
-
Noi sviluppatori ci troviamo a dover affrontare la questione: COPYRIGHT vs. BREVETTO. In breve:
- il software, tutelato dal copyright, è a rischio "Decompilazione";
- il "monopolio assoluto" sull'utilizzo di un'idea (Brevetto) è troppo oneroso.
VULNERABILITA' DEGLI OBFUSCATOR'S
.NET
PRESENTI ATTUALMENTE SUL MERCATO:| .NET OBFUSCATOR | PRODUTTORE | PREZZO SINGOLA LICENZA |
REVERSE-ENGINEERING ATTACCO ALL'OBFUSCATOR |
 |
| Aspose Obfuscator | Aspose Pty Ltd | * F R E E * | Our Brain
vs Aspose Obfuscator |
1, 2 |
| Demeanor Obfuscator | WiseOwl Inc. | 799,00 $ | Our Brain vs Demeanor Obfuscator |
1 |
| Desaware QND Obfuscator | Desaware Inc. | * F R E E +src * | Our Brain vs Desaware QND Obfuscator |
1, 2, 3 |
| Dotfuscator (incluso in VS.NET) | PreEmptive Solution | fino a: 1.890,00 $ | Our Brain vs PreEmptive Dotfuscator |
1 |
| Dynu .NET Obfuscator | Dynu System Inc. | fino a: 499,00 $ | Core Obfuscator DLL = Desaware QND DLL !?! | [:-o] |
| Salamander .NET Obfuscator | Remotesoft | fino a: 1.399,00 $ | Our Brain vs Salamander
Obfuscator |
1 |
| Spices .NET Obfuscator | 9Rays.net | 492,95 $ | Our Brain vs Spices Obfuscator |
1, 2 |
| Xenocode Obfuscator | Xenocode Corporation | fino a: 1.499,00 $ | Our Brain vs Xenocode Obfuscator |
1 |
| tabella non definitiva... |
NON E' STATA
DATA LA GIUSTA IMPORTANZA AL
PROBLEMA "REVERSE-ENGINEERING DI APPLICAZIONI .NET"
...FINO AD OGGI C'E' STATA L'ILLUSIONE DI AVER OFFUSCATO ADEGUATAMENTE IL NOSTRO SOFTWARE !
Oltre ad un
eventuale Decompiler, grazie all'utility denominata ILDASM (IL
Disassembler) contenuta in VS.NET,
è possibile visualizzare
il codice MSIL
contenuto in un Assembly. Con alcuni degli obfuscator
suindicati,
è anche possibile bloccare
ILDASM. In
fase di disassembling, comparirà la seguente
schermata:...FINO AD OGGI C'E' STATA L'ILLUSIONE DI AVER OFFUSCATO ADEGUATAMENTE IL NOSTRO SOFTWARE !
Come dimostrato, senza
nessuno "sforzo" (...ed utilizzando *esclusivamente*
prodotti gratuiti), è
stato
possibile, "analizzare ed eludere" le varie misure di
protezione !
L'analisi eseguita
sugli attuali obfuscator ha messo in risalto che, sebbene i nomi dei
metodi, proprietà
e variabili siano
stati alterati
(tanto da non far
comprendere "immediatamente" la logica di progetto), un
programma:
- può funzionare senza problemi;
- può essere studiato per "eludere" eventuali sistemi di licensing (creazione dei cosiddetti "keygen");
- può essere studiato ed utilizzato per generare prodotti similari;
- etc.
Questa
Tecnica è Assolutamente Inutile! Il
Controllo di Congruenza Dati sul file viene eseguito
da "ILDASM"! Un
Aggressore potrebbe *Disassemblare e
Manipolare*, a
proprio piacimento, l'eseguibile "ILDASM.exe"
e bypassare questo tipo di protezione! Cantelmo Software ha
ritenuto importante segnalare questa circostanza, per
non far provare, agli Sviluppatori, un falso senso di sicurezza!
VULNERABILITA'
DELLA SECURITY by OBSCURITY (N.B.: non
è possibile offuscare una singola .DLL)| EMBEDDED .NET .EXE + *.DLL = .EXE |
PRODUTTORE | PREZZO SINGOLA LICENZA |
REVERSE-ENGINEERING ATTACCO ALL'EMBEDDED |
|
| Deploy .NET | Jungle Creatures Inc. | 750,00 $ | Our Brain vs Deploy .NET |
1 |
| Thinstall | Jitit | fino a: 10.000,00 $ | ...non si riesce a recuperare una copia demo! | ... |
| CodeWall .NET | CodeWall Technologies | 199,00 $ | ...a "protector" obfuscated with Xenocode!?! | [:-o] |
| tabella non definitiva... |
Per
mettere al sicuro il Codice .NET, non basta solo
"nascondere"
uno o più Assembly come "file di risorse". Un
"LOADER" sempre uguale (...ed offuscato male)
facilita un aggressore nella realizzazione di
un "UNPACKER"
automatico !
VULNERABILITA' DEI CRYPTER'S .NET
PRESENTI ATTUALMENTE SUL MERCATO| .NET CRYPTER | PRODUTTORE | PREZZO SINGOLA LICENZA |
REVERSE-ENGINEERING ATTACCO AL CRYPTER |
|
| CodeVeil | Xheo Inc. | fino a: 1.199,99 $ | Our Brain vs. CodeVeil |
1 |
| .NET Reactor | Eziriz | fino a: 282,00 $ | Our Brain vs .NET Reactor |
1 |
| tabella non definitiva... |
Per
mettere al sicuro il Codice .NET, non basta solo
"cryptare"
Meta-Data, Risorse e Stringhe. Prelevando il codice .NET ("in
chiaro") direttamente dalla memoria, è possibile "rendere
inefficaci", le più moderne
tecniche crittografiche !
CONCLUSIONI
CONCLUSIONI- I COMPILATORI DELLA PIATTAFORMA .NET *NON* GENERANO CODICE NATIVO !
- PER LA NATURA DEL CODICE .NET, PURTROPPO, NON ESISTE UNA PROTEZIONE SICURA AL 100%. CHIUNQUE AFFERMI IL CONTRARIO NON VA PRESO SERIAMENTE !
- ...LA NOSTRA PROPOSTA:
GOLIATH .NET OBFUSCATOR 2.x
Copyright © 2003-2008 "Cantelmo Software" del
Geom. Marcello Cantelmo. Tutti i Diritti sono Riservati
• Note Legali
Microsoft™, Windows™, .NET™, and .NET Framework™ sono marchi di Microsoft Corporation. Tutti gli altri marchi appartengono ai legittimi proprietari.
Microsoft™, Windows™, .NET™, and .NET Framework™ sono marchi di Microsoft Corporation. Tutti gli altri marchi appartengono ai legittimi proprietari.