[VBnet] Discussione "seria" sulla protezione software

[Nix82]

Salve a tutti,
premetto che ho letto abbastanza nell'ultimo periodo in materia di protezione software ma da neofita vorrei parlarne con voi per avere un confronto diretto.
Quasi tutti sconsigliano la protezione software perchè affermano che tanto prima o poi potrebbe venire hackerato. Suppongo comunque che in questo caso stiamo parlando di programmi di alto livello, non di programmini come il mio. Quindi tutte le mie richieste sono per un software amatoriale, non per colossi come Adobe, Microsoft, Autodesk ecc.

Detto questo vorrei chiedervi:

1. la decompilazione è una cosa così semplice da realizzare? In caso di risposta positiva come si può proteggere il codice sorgente?
2. nel caso in cui dovessi inserire dei dati sensibili all'interno del software, per esempio i dati di log-in per l'invio di una mail o un codice licenza, se li cripto perchè non restino in chiaro come faccio a riutilizzarli?
3. è più o meno sicuro inserire dei dati sensibili nelle impostazioni del programma? (per intenderci quelle che si raggiungono da MyProject-->Impostazioni)
4. è più o meno sicuro inserire dei dati sensibili in un txt tra le resource del programma?
5. ci sono svariati metodologie per proteggere un software tramite una licenza, a vostro avviso queli sono le procedure che comportano il miglior costo/tempo/beneficio?

Grazie dell'attenzione.

[URANIO]

Parliamo di applicazione web o in generale?

1- se parliamo di progetti .net o java SI in quanto il compilato non è un vero e proprio compilato come per il C.
Puoi offuscare parzialmente o totalmente il tuo codice per renderlo non decompilabile facilmente.
2- Li decripti ...gli algoritmi di criptazione prevedono le due strade (Esistono gli algoritmi di hash ma sono altra cosa)
3 4 5 Cosa esattamente devi proteggere? stiamo parlando di un sistema per bloccare la licenza del software o per proteggere dei dati

[Nix82]

Innanzitutto grazie per la celere risposta.
Ho sviluppato un software portable per PC con vb.net

1- se parliamo di progetti .net o java SI in quanto il compilato non è un vero e proprio compilato come per il C.
Puoi offuscare parzialmente o totalmente il tuo codice per renderlo non decompilabile facilmente.

Essendo un software .net quindi dici che è possibile decompilarlo con facilità. Puoi darmi qualche info o link per l'offuscamento del codice?

2- Li decripti ...gli algoritmi di criptazione prevedono le due strade (Esistono gli algoritmi di hash ma sono altra cosa)

Ah ok, quando programmavo in PHP usavo l'MD5 che effettivamente è un hash. Resta il fatto che se sono decriptabili non sono comunque sicuri come dati. Avresti una funzione da consigliarmi per la criptazione?

3 4 5 Cosa esattamente devi proteggere? stiamo parlando di un sistema per bloccare la licenza del software o per proteggere dei dati

Il software si può scaricare tranquillamente ma alcune parti vengono inibite. Tramite una licenza vengono attivate tutte. Pensavo di abilitare il software mettendo dentro o le impostazioni o un txt resource i dati di licenza e qualcosa dell'hardware. Sono posti più o meno sicuri dove non è possibile accedere a un utente "medio"?

Scusa, solo un'altra informazione. Per identificare il singolo computer cosa mi consigli di prelevare come codice univoco? Tanti dicono che il seriale della scheda madre non è univoco, stessa cosa con il seriale dell'hard disk, altri consigliano il MAC della scheda di rete (ma chi dice che ci sia?). Hai un consiglio?

[oregon]

Scusa se te lo dico ma, seriamente, è tutto tempo perso. Se il programma desta un certo interesse lo avrai sprotetto in men che non si dica, nonostante i tuoi sforzi. Succede per i "grandi", figurati ...

Limitati ad offuscarlo e basta.

[Nix82]

Scusa se te lo dico ma, seriamente, è tutto tempo perso. Se il programma desta un certo interesse lo avrai sprotetto in men che non si dica, nonostante i tuoi sforzi. Succede per i "grandi", figurati ...
Limitati ad offuscarlo e basta.

Ho trovato moltissime risposte come la tua ma considerando i seguenti fattori:
1 - il costo del software è relativamente contenuto
2 - il software è di una categoria di nicchia, non aperta ad un pubblico vasto
3 - non tutti sono hacker e, anzi, il livello medio di conoscenza informatica del mio settore è molto basso

ho capito che l'unica soluzione è quello di metterci una licenza a pagamento.
In alternativa si potrebbe mettere dei banner pubblicitari ma anche qua la storia è abbastanza complicata.

[oregon]

Ho trovato moltissime risposte come la tua

E un motivo c'è ...

il costo del software è relativamente contenuto

Mah ... può non essere un deterrente se esiste una versione "craccata"

non tutti sono hacker

Non sono quelli che lo usano che lo sproteggono ... pensaci ...

ho capito che l'unica soluzione è quello di metterci una licenza a pagamento.

Fai come vuoi ... ma sappi che, purtroppo, è come ti dico. Se il software "attira", un esperto, anche fuori dal giro, lo sproteggerà su commissione. E più controlli metti in atto, prima sarà "preso in considerazione".

[eziogsv]

Beh, Oregon, io non sarei così drastico. Dipende tutto dal target, da quanto può interessare il programma, da quanto costa e A CHI può interessare hackerarlo. Dubito qualcuno si prenda la briga di hackerare un programma per casalinghe che costa 3 euro.

Detto ciò:
1) Poiché la decompilazione di un programma .net è semplice (basta verificare con ILspy, che è un usatissimo decompilatore .NET opensource), un buon offuscatore aiuta (basta verificare col medesimo ILspy, decompilando un programma offuscato: tutta un' altra storia, almeno per un profano)
2) Così come li cripti.... li decripti.
3) No
4) Se il programma è offuscato (e l' offuscatore offusca le stringhe), meglio che niente
5) Qui ognuno ha i suoi metodi e le sue preferenze...

[eziogsv]

Per identificare il singolo computer cosa mi consigli di prelevare come codice univoco? Tanti dicono che il seriale della scheda madre non è univoco, stessa cosa con il seriale dell'hard disk, altri consigliano il MAC della scheda di rete (ma chi dice che ci sia?). Hai un consiglio?

System.Management consente di recuperare dal HW moltissimi dati (es. seriali e costruttori di molti componenti). Ne prendi NON UNO ma tre o più (voglio vedere che almeno uno non sia univoco per quel PC), unisci le varie stringhe ottenute, encripti la stringa totale. Più univoco di così.

[oregon]

Ezio ... Io non ho mai detto che viene sprotetto tutto indistintamente, non travisare quello che scrivo. Te lo ripeto per chiarezza ... Se il prodotto ha un certo costo e attira un certo numero di persone, anche se sono poche, stai sicuro che verrà sprotetto.

Fra l'altro, se proponi protezioni con hardware univoco poi DEVI dare assistenza perché bisogna lasciare la gente libera di modificare i propri sistemi. E quindi ti telefoneranno dicendo che il programma non funziona più e vorranno assistenza (dato che hanno pagato), dovrai fornire un altro codice di sblocco e non saprai dove verrà utilizzato ...

Insomma dalla teoria alla pratica ci sta un mare di problemi in mezzo...

La faccenda delle protezioni è decennale e irrisolta. Sopravvive qualche soluzione con chiavi hw poco economica e logisticamente complessa.

[eziogsv]

Fra l'altro, se proponi protezioni con hardware univoco poi DEVI dare assistenza perché bisogna lasciare la gente libera di modificare i propri sistemi. E quindi ti telefoneranno dicendo che il programma non funziona più e vorranno assistenza (dato che hanno pagato)...

Anche lì dipende dal prezzo: se il programma costa 1.000 euro è un conto, ma se il programma ne costa 10 e SCRIVI CHIARAMENTE che se qualcuno cambia HW "potrebbe" (dipende da cosa cambia e da cosa controlli) dover acquistare una nuova licenza, non vedo il problema... può telefonare quanto vuole: patti chiari, amicizia lunga.