ďťż
Przejrzyj wiadomości
aaaa[j2me] Zabezpieczenie przed kopiowaniemaaaa



Mariusz S - 11-05-2007 12:35
[j2me] Zabezpieczenie przed kopiowaniem
  Witam,

Wiem, że można zabezpieczyć przed kopiowaniem (a właściwie przed
odtwarzaniem na innym telefonie) płatnych dzwonków.

Czy istnieje podobny mechanizm w stosunku do programów? Czy dokonuje
tego operator czy też leży to w gestii programisty?

Piszę program na komórkę, który będzie rozprowadzany na zasadzie
otrzymania linku po wysłaniu płatnego smsa i szukam informacji jak można
go zabezpieczyć przed nielegalnym kopiowaniem.

Będę wdzięczny za wszelkie informacje.

Pozdrawiam,
Mariusz S




Tomek - 11-05-2007 12:35

  Mariusz S napisał(a):
> Witam,
Cześć

> Wiem, że można zabezpieczyć przed kopiowaniem (a właściwie przed
> odtwarzaniem na innym telefonie) płatnych dzwonków.
>
> Czy istnieje podobny mechanizm w stosunku do programów? Czy dokonuje
> tego operator czy też leży to w gestii programisty?
>
> Piszę program na komórkę, który będzie rozprowadzany na zasadzie
> otrzymania linku po wysłaniu płatnego smsa i szukam informacji jak można
> go zabezpieczyć przed nielegalnym kopiowaniem.
>
> Będę wdzięczny za wszelkie informacje.

Nie musisz sie o to martwić, ponieważ gdy użytkownik kliknie tego linka
to mu się pobierze jar, zainstaluje aplikacja i nie bedzie można jej
wysłać komuś innemu. Sprobuj sobie zainstalować na swoim telefonie i
sasm zobaczysz.

> Pozdrawiam,
> Mariusz S

Pozdrawiam
Tomek




DziadekDoOrzechow - 11-05-2007 12:35

  nie ma zabezpieczeń nie do złamania, zwłaszcza, kiedy możesz zrobić
zrzut pamięci telefonu jako backup :)
he he hehe eh




waldemar.kot@bea.com - 11-05-2007 12:35

  O dziwo (i to duże) - są - trochę szukałem o tym jak działa Skype(i
jako soft i jako usługa) i cóż... na razie nie został złamany a to co
w nim siedzi to majstersztyk sztuki zabezpieczeń... i to soft
ściągnięty 500 mln razy. Naprawdę można się wzorować się nanim w
zakresie bezpieczeństwa...

Jacyś chętni do stania się sławnymi w świecie ? Będę kibicował !

Pozdrawiam,
Waldek




Maciej Bodus - 11-05-2007 12:35

  waldemar.kot@bea.com napisał(a):
> O dziwo (i to duże) - są - trochę szukałem o tym jak działa Skype (i
> jako soft i jako usługa) i cóż... na razie nie został złamanya to co
> w nim siedzi to majstersztyk sztuki zabezpieczeń... i to soft
> ściągnięty 500 mln razy. Naprawdę można się wzorować sięna nim w
> zakresie bezpieczeństwa...
>
> Jacyś chętni do stania się sławnymi w świecie ? Będę kibicował !
jakaś firma chiońska juz rok temu rozpracowała protokół komunikacyjny.
Analiza działąnia szyfrowania kodu też już jakiś czas temu siępokazała
:-)

pozdrawiam
maciej




waldemar.kot@bea.com - 11-05-2007 12:35

  :) - sprawdziłem - ta firma chińska tylko to ogłosiła (a właściwie
ktoś ogłosił że słyszał, że ta firma to zrobiła). Było toponad rok
temu i do dzisiaj słuch po nich zaginął. Nie ma do dzisiaj
alternatywnych komunikatorów pozwalających wpiąć się do sieci Skype'a.
Ostatnio też ktoś ogłosił, że tym razem Rosjanie (a jakże :-) to
zrobili, ale jak się okazało ten ktoś przyznał, że ponoć Rosjanom
udało się tylko zrobić reverse-engineering kodu interfejsu użytkownika
(do kodu "komunikacyjnego" nie dotarli). Dowodem na złamanie miały być
screenshoty, gdzie w belce tytułowej zamiast "Skype" było napisane
"QtSkype". Oczywiście - nikt poważny tych rewelacji nie potwierdził i
uznano, że ktoś zrobił dobry dowcip i udowodnił, że zna się na
Photoshopie...

Dopóki ktoś nie opublikuje komunikatora, który będzie włączałsię do
sieci Skype'a, dopóty takie rewelacje będą mało warte...

Oprócz szyfrowania kodu klient Skype'a ma jeszcze wiele ciekawych
technik - m.in. wykrywa czy jest debuggowany, mierząc czas przejścia
między swoimi liniami kodu - jeśli wykryje, że trwa to dłużej niż
normalnie, to się wysypuje (chłopcy ze Skype'a zrobili tutaj dobry
pożytek z wniosków płynących z Zasady Heisenberg'a). Niby sporo
wiadomo co zastosowano jako zabezpieczenie (bo wiadomo kiedy zaczynają
one działać - czytaj debugowanie i reverse-engineering szlag trafia),
ale póki co to tyle i soft pozostaje niezłamany...

Większość poważniejszych opracowań o Skype'ie - zwłaszcza w zakresie
analizy jak działa Skype - robi bardzo wiele założeń. Poza Skype'em
(eBay) nikt nie ma tej wiedzy jak dokładnie to działa - w sensie
algorytmów, zachowania w poszczególnych sytuacjach, itd. (co osobiście
uważam szkodzi akceptacji Skype'a przez operatorów
telekomunikacyjnych, dostawców sprzętu telekomunikacyjnego, czy nawet
stosowanie go w biznesie).

Wiadomo że pierwsza (niezaszyfrowana) sekwencja operacji jakie
wykonuje klient Skype'a to łączenie się do 7 adresów IP (takich
supernode'ów). Potem już w zasadzie tylko spekulacja.

W tym sensie póki co Skype jest niezłamany.

Pozdrawiam,
Waldek




clyde - 11-05-2007 12:35

  waldemar.kot@bea.com napisał(a):
> :) - sprawdziłem - ta firma chińska tylko to ogłosiła (a właściwie
> ktoś ogłosił że słyszał, że ta firma to zrobiła). Było to ponad rok
> temu i do dzisiaj słuch po nich zaginął. Nie ma do dzisiaj
> alternatywnych komunikatorów pozwalających wpiąć się do sieci Skype'a.
> Ostatnio też ktoś ogłosił, że tym razem Rosjanie (a jakże :-) to
> zrobili, ale jak się okazało ten ktoś przyznał, że ponoć Rosjanom
> udało się tylko zrobić reverse-engineering kodu interfejsu użytkownika
> (do kodu "komunikacyjnego" nie dotarli). Dowodem na złamanie miały być
> screenshoty, gdzie w belce tytułowej zamiast "Skype" było napisane
> "QtSkype". Oczywiście - nikt poważny tych rewelacji nie potwierdził i
> uznano, że ktoś zrobił dobry dowcip i udowodnił, że zna się na
> Photoshopie...
>
> Dopóki ktoś nie opublikuje komunikatora, który będzie włączał się do
> sieci Skype'a, dopóty takie rewelacje będą mało warte...
>
> Oprócz szyfrowania kodu klient Skype'a ma jeszcze wiele ciekawych
> technik - m.in. wykrywa czy jest debuggowany, mierząc czas przejścia
> między swoimi liniami kodu - jeśli wykryje, że trwa to dłużej niż
> normalnie, to się wysypuje (chłopcy ze Skype'a zrobili tutaj dobry
> pożytek z wniosków płynących z Zasady Heisenberg'a). Niby sporo
> wiadomo co zastosowano jako zabezpieczenie (bo wiadomo kiedy zaczynają
> one działać - czytaj debugowanie i reverse-engineering szlag trafia),
> ale póki co to tyle i soft pozostaje niezłamany...
>
> Większość poważniejszych opracowań o Skype'ie - zwłaszcza w zakresie
> analizy jak działa Skype - robi bardzo wiele założeń. Poza Skype'em
> (eBay) nikt nie ma tej wiedzy jak dokładnie to działa - w sensie
> algorytmów, zachowania w poszczególnych sytuacjach, itd. (co osobiście
> uważam szkodzi akceptacji Skype'a przez operatorów
> telekomunikacyjnych, dostawców sprzętu telekomunikacyjnego, czy nawet
> stosowanie go w biznesie).
>
> Wiadomo że pierwsza (niezaszyfrowana) sekwencja operacji jakie
> wykonuje klient Skype'a to łączenie się do 7 adresów IP (takich
> supernode'ów). Potem już w zasadzie tylko spekulacja.
>
> W tym sensie póki co Skype jest niezłamany.

http://www.skypejournal.com/blog/arc...from_a_mob.php

"...So this demo shows that TalkPlus customers can dial any Skype user
by their Skype name.

It also shows that TalkPlus has engineered a server without Skype
components that talks to the Skype network as if it were a Skype client
using Skype's own language. ..."

?




koziolek - 11-05-2007 12:35

  On 20 Kwi, 23:59, waldemar....@bea.com wrote:
> O dziwo (i to duże) - są - trochę szukałem o tym jak działa Skype (i
> jako soft i jako usługa) i cóż... na razie nie został złamany ato co
> w nim siedzi to majstersztyk sztuki zabezpieczeń... i to soft
> ściągnięty 500 mln razy. Naprawdę można się wzorować się na nim w
> zakresie bezpieczeństwa...
>
> Jacyś chętni do stania się sławnymi w świecie ? Będę kibicował !
>
> Pozdrawiam,
> Waldek

Jeżeli coś można zaszyfrować i potem odszyfrować w "legalny" sposób to
można to zrobić zawsze. Wszystko to kwestia czasu. Skype to nie
wyjątek :)




waldemar.kot@bea.com - 11-05-2007 12:35

  Po raz drugi mój komentarz to :-). Taka rewelacja pojawiła się w
listopadzie zeszłego roku - już mamy koniec kwietnia - i co ? I nic...
wygląda jak niezwykle skuteczny marketing internetowy - jak się chce
rozreklamować własny biznes VoIP, to obowiązkowo trzeba powiedzieć,że
gdzieś tam, na zapleczu, zrobiliśmy reverse-engineering Skype'a i "już
za chwileczkę, już za momencik" uruchamiamy.... TalkPlus nawet nie
wspomina o takiej możliwości na swoich stronach (słowo Skype nie pada
tam nigdzie). Wiarygodność ? Na razie - zero...

Pewnie jeszcze parę takich ploteczek usłyszymy.

Jak zobaczę to uwierzę. Oczywiście że nie ma systemów nie-do-złamania,
ale są takie (i to jak widać bardzo popularne), których dotychczas-nie-
złamano.

Przytaczam (raczej mało optymistyczne) informacje ze slajdu
"Konkluzja" z naprawdę dobrej analizy bezpieczeństwa Skype'a:
Conclusion:
* Good points
- Skype was made by clever people
- Good use of cryptography
* Bad points
- Hard to enforce a security policy with Skype
- Jams traffic, can't be distinguished from data exfiltration
- Incompatible with traffic monitoring, IDS
- Impossible to protect from attacks (which would be obfuscated)
- Total blackbox. Lack of transparency. No way to know if there is/
will be a backdoor
- Fully trusts anyone who speaks Skype.

Nie ukrywam - szczerze kibicuję - może ktoś z Polski ?

Pozdrawiam,
Waldek




Mariusz S - 11-05-2007 12:35

 
> Nie musisz sie o to martwić, ponieważ gdy użytkownik kliknie tego linka
> to mu się pobierze jar, zainstaluje aplikacja i nie bedzie można jej
> wysłać komuś innemu. Sprobuj sobie zainstalować na swoim telefonie i
> sasm zobaczysz.

Dzięki za informację. Mam nadzieję, że to jest odporne również na
skopiowanie kabelkiem na kompa i potem na inny telefon?




Tomek - 11-05-2007 12:36

  Mariusz S napisał(a):
>
>> Nie musisz sie o to martwić, ponieważ gdy użytkownik kliknie tego
>> linka to mu się pobierze jar, zainstaluje aplikacja i nie bedzie można
>> jej wysłać komuś innemu. Sprobuj sobie zainstalować na swoim telefonie
>> i sasm zobaczysz.
>
> Dzięki za informację. Mam nadzieję, że to jest odporne również na
> skopiowanie kabelkiem na kompa i potem na inny telefon?
Tak jest to odporne na taka ewentualność.




Mariusz S - 11-05-2007 12:36

 
>>> Nie musisz sie o to martwić, ponieważ gdy użytkownik kliknie tego
>>> linka to mu się pobierze jar, zainstaluje aplikacja i nie bedzie
>>> można jej wysłać komuś innemu. Sprobuj sobie zainstalować na swoim
>>> telefonie i sasm zobaczysz.
>>
>> Dzięki za informację. Mam nadzieję, że to jest odporne również na
>> skopiowanie kabelkiem na kompa i potem na inny telefon?
> Tak jest to odporne na taka ewentualność.

Przeprowadziłem taki test: umieściłem przykładową aplikację w necie do
ściągnięcia przez WAP, pobrałem na swój telefon, skopiowałem z telefonu
na dysk kompa a następnie porównałem bajt po bajcie z plikem oryginalnym
i one niczym się nie różniły. Nie bardzo rozumiem gdzie tu
zabezpieczenie - skoro plik pobrany jest identyczny z tym, który
skompilowałem czyli teoretycznie z możliwością uruchomienia na dowolnym
telefonie (z Javą). Sądziłem, że zabezpieczenie polega na dodaniu do
pliku *.jar jakiejś sygnatury unikalnej dla każdego telefonu albo czegoś
w tym stylu.

Wiesz może gdzie mógłbym trochę więcej na ten temat poczytać? Szukałem w
necie ale albo te informacje nie są ogólnodostępne, albo źle szukam
(obstawiam to drugie).

Pozdrawiam,
Mariusz




clyde - 11-05-2007 12:36

  Mariusz S napisał(a):
>
>>>> Nie musisz sie o to martwić, ponieważ gdy użytkownik kliknie tego
>>>> linka to mu się pobierze jar, zainstaluje aplikacja i nie bedzie
>>>> można jej wysłać komuś innemu. Sprobuj sobie zainstalować na swoim
>>>> telefonie i sasm zobaczysz.
>>>
>>>
>>> Dzięki za informację. Mam nadzieję, że to jest odporne również na
>>> skopiowanie kabelkiem na kompa i potem na inny telefon?
>>
>> Tak jest to odporne na taka ewentualność.
>
>
> Przeprowadziłem taki test: umieściłem przykładową aplikację w necie do
> ściągnięcia przez WAP, pobrałem na swój telefon, skopiowałem z telefonu
> na dysk kompa a następnie porównałem bajt po bajcie z plikem oryginalnym
> i one niczym się nie różniły. Nie bardzo rozumiem gdzie tu
> zabezpieczenie - skoro plik pobrany jest identyczny z tym, który
> skompilowałem czyli teoretycznie z możliwością uruchomienia na dowolnym
> telefonie (z Javą). Sądziłem, że zabezpieczenie polega na dodaniu do
> pliku *.jar jakiejś sygnatury unikalnej dla każdego telefonu albo czegoś
> w tym stylu.

Generalnie problem w rozumieniu skali. Takie zabezpieczenia nie maja
specjalnego sensu.
Z zalozenia takie oprogramowanie jest rozprowadzane bardzo masowo.
W polskich warunkach gry czy aplikacje to i 200 000 pobran ale dla
malych wartosci od 2-9 zl netto.
W stosunku do jednostkowej ceny licencji trzeba duzo zachodu by
skopiowac taki soft w stosunku do jego ceny. Przypadek, gdy ktos kradnie
twoj soft by go masowo rozprowadzac poprzez wap push raczej odpada, bo
to juz mozna latwo scigac i jest robione z urzedu.

Drugi scenariusz to obawa o reverse engeenering kodu by odczytac pewne
dane. Tu odpowiedz jest prosta. Nic z takich danych nie powinno byc
zawartych w jar.

Jezeli bardzo ci zalezy na tym by program nie byl tak dystrybuowany
mozesz zbudowac mechanizm weryfikacyjny poprzez siec/sms z budowanym
'per user' (zwiazanym z MSISDN) provisioningiem. Skoro budujesz wap
pusha na event sms dokladnie wiesz z jakiego numeru przyszlo zamowienie ;)

Takze wszystko zalezy co to za soft i jak duzo pracy chcesz wlozyc w
zabezpieczenia.

Co do zabezpieczen w telefonach to juz zalezy wlasnie od telefonu.
Kiedys takie sciagniecie nie bylo mozliwe bez bardzo duzych kombinacji.
Teraz bywa to bardzo proste na przyklad gdy gry przechowywane sa na
nosnikach zewnetrznych jak karty flash.




Mariusz S - 11-05-2007 12:36

  Dzięki za odpowiedź.

> Drugi scenariusz to obawa o reverse engeenering kodu by odczytac pewne
> dane. Tu odpowiedz jest prosta. Nic z takich danych nie powinno byc
> zawartych w jar.

No właśnie - to będzie (a właściwie już jest) program, którego wartość
polega na danych w nim zawartych. Sam program jest ich przeglądarką. W
związku z tym chyba trzeba będzie te dane choćby w prosty sposób
zaszyfrować.

> Jezeli bardzo ci zalezy na tym by program nie byl tak dystrybuowany
> mozesz zbudowac mechanizm weryfikacyjny poprzez siec/sms z budowanym
> 'per user' (zwiazanym z MSISDN) provisioningiem. Skoro budujesz wap
> pusha na event sms dokladnie wiesz z jakiego numeru przyszlo zamowienie ;)

Dystrybucją będzie zajmować się firma zewnętrzna - ja jestem "tylko"
programistą współpracującym z osobą odpowiedzialną za program od strony
merytorycznej.

> Takze wszystko zalezy co to za soft i jak duzo pracy chcesz wlozyc w
> zabezpieczenia.

Wystarczyłoby mi jakieś proste zabezpieczenie takie jak w przypadku
dzwonków - w pierwszym poście odnosiłem się do tego przykładu - po
ściągnięciu dzwonka można z niego korzystać tylko na telefonie, na który
został pobrany. Myślałem że może jest coś takiego w odniesieniu do
programów.

Pozdrawiam,
Mariusz S




clyde - 11-05-2007 12:36

  Mariusz S napisał(a):

> Wystarczyłoby mi jakieś proste zabezpieczenie takie jak w przypadku
> dzwonków - w pierwszym poście odnosiłem się do tego przykładu - po
> ściągnięciu dzwonka można z niego korzystać tylko na telefonie, na który
> został pobrany. Myślałem że może jest coś takiego w odniesieniu do
> programów.

To sie nazywa DRM (Digital Rights Management) a dokladniej w tym
przypadku wersja Forward Lock. I nie jest to wcale proste, A mozliwe
jedynie w telefonach ktore obsluguja DRM (chociaz tutaj juz wiekszosc
nieleciwych spokojnie obsluguje). Chociaz znam udokumentowane
kompercyjne przypadki gdzie dla starszych nokii z symbianem takie
ograniczone DRM bylo pisane co tylko potwierdza fakt ze dla chcacego nic
trudnego. Tak czy ianczej taki dzwonek musi byc w systemie plikow jakos
przechowywany.

Mozesz pokombinowac z midletem podpisanym cyfrowo. Moze to daje nie
tylko sam podpis ale ale jakies wiarygodne szyfrowanie. Chociaz juz
zupelnie sobie wymyslam. Trzeba by sprawdzic.
Tak czy inaczej jak chcesz w sensowny sposob szyfrowac zawartosc to bez
certyfikatu sie nie obejdzie raczej.
Proste szyfrowanie nic nie pomoze, bo pobranie aplikacji +dekompilacja
rozwiaze problem. Musialo by to byc powiazane ze sprytnym
provisioningiem "per terminal". A i narzuty deszyfrowania beda spore.

Zatem trzeba przeliczyc wartosc tego kontenu w stosunku do zachodu jaki
trzeba bedzie wlozyc by go wyluskac. Moze nieskomplikowana fragmentacja
wystarczy?

infinity69 Tylko ja i moja przestrzeń.