C# / VB.NET - [VB.NET] Sicurezza

26/06/10 16:02

Consideriamo un file criptato (in modo adeguato da scongiurare l'attacco al testo cifrato). Consideriamo un programma che carichi questo file, lo decripti e fornisca all'utente solo una parte del contenuto informativo dello stesso. La sicurezza della non divulgazione della restante parte del contenuto informativo del file è demandata alla non tracciabilità dei dati (o del programma) di decrittazione. Sia infine il programma di decrittazione scritto in VB.NET.

Domande:

1) essendo VB.NET un linguaggio semiinterpretato, è questo un fattore peggiorativo per la valutazione della sicurezza nelle condizioni indicate?

2) è possibile immaginare un attacco al materiale informativo presente nella memoria RAM mentre il programma è in esecuzione?

3) esistono disassemblatori e/o tracciatori specifici per il VB.NET che mettano in evidenza carenze di questo linguaggio in relazione ad altri con metodologia di compilazione differente?

Nota: in tutte le valutazioni del caso si consideri ininfluente l'attacco alla chiave di cifratura eventualmente inserita nel programma.

aaa

26/06/10 16:16

HeDo

per quanto consideri .net il miglior prodotto microsoft degli ultimi 20 anni la sicurezza del codice sorgente è un tallone d'achille.

a patto di usare impostazioni molto aggressive dell'obfuscator si può sempre risalire al codice C# o VB.NET dell'applicazione con minimo sforzo.

aaa

26/06/10 16:26

nessuno

Postato originariamente da enox:
1) essendo VB.NET un linguaggio semiinterpretato, è questo un fattore peggiorativo per la valutazione della sicurezza nelle condizioni indicate?

Sì

2) è possibile immaginare un attacco al materiale informativo presente nella memoria RAM mentre il programma è in esecuzione?

Sì

3) esistono disassemblatori e/o tracciatori specifici per il VB.NET che mettano in evidenza carenze di questo linguaggio in relazione ad altri con metodologia di compilazione differente?

Sì

Ricorda che nessuno è obbligato a risponderti e che nessuno è perfetto ...
---
Il grande studioso italiano Bruno de Finetti ( uno dei padri fondatori del moderno Calcolo delle probabilità ) chiamava il gioco del Lotto Tassa sulla stupidità.

26/06/10 18:45

Mte90

dal tono del post di enox mi sembra un compito affibiatogli in qualche scuola lol.
tornando al contesto come detto precedentemente il net è molto facile da decompilare.
basta usare reflector e si ottiene il codice in vb.net,c#,il e delphi.
l'unica soluzione è offuscare il codice.

aaa

26/06/10 21:49

TEX WILLER

La sicurezza con il .net puoi sognarla (a meno che non siano programmatori), il .net e sconsigliato vivamente per la sicurezza!

aaa

27/06/10 2:23

enox

Postato originariamente da Mte90:
dal tono del post di enox mi sembra un compito affibiatogli in qualche scuola lol.

No, no... la scuola, ormai, è un ricordo lontano. Ho imparato che se si pongono le domande in modo preciso si ottengono risposte precise, e questo esempio ne è la conferma.

La sostanza, invece, è che è un bel problemino... credo che prenderò quel file e lo suddividerò in blocchi informativi differenti, con differenti chiavi di crittazione.

BTW: ma quando gli dei di Seattle progettano un sistema di sviluppo, non si soffermano a pensare che il reverse-engineering del codice è un problema che spesso gioca un ruolo più importante della bella iconcina e/o dello splash accattivante?

Grazie delle risposte!

aaa

27/06/10 6:57

nessuno

E' una scelta ... pensa a Java ...

Ricorda che nessuno è obbligato a risponderti e che nessuno è perfetto ...
---
Il grande studioso italiano Bruno de Finetti ( uno dei padri fondatori del moderno Calcolo delle probabilità ) chiamava il gioco del Lotto Tassa sulla stupidità.

28/06/10 12:26

Il Totem

Per quanto riguarda il punto (2), puoi usare SecureString:
totem.altervista.org/guida/versione3/…

aaa