Crear una protección shareware para programa hecho con Lazarus.

[rrf]

Desde el correo electrónico que me llegó, fuí redirigido directamente al mensaje de David, y no leí el de Casimiro.

Lo acabo de leer ahora y creo que he contestado en el mensaje anterior a su comentario acerca del nivel de protección al que aspiro: que mi protección ideal está dirigida a los usuarios con conocimientos medios.

Casimiro, las sugerencias que haces me han aportado posibilidades acerca de como implementar una protección básica, que podría hacer yo mismo.

Lo que posiblemente cumpliría de forma completa o casi completa, con mis aspiraciones.

Me ha gustado esa idea que aportas de guardar la fecha en el primer arranque del programa y usarla como referencia en el control del tiempo.

Muchísimas gracias.

[Casimiro Notevi]

El OnGuard citado por [dec] lo tienes instalable desde los repositorios en el propio Lazarus.

[rrf]

Muchas gracias Casimiro.

No sabía que Lazarus tiene el servicio Online Package Manager. Le he dado un vistazo a lo que ofrece Online Package Manager y hay muchas cosas interesantes.

He instalado OnGuard, que crea una pestaña nueva con varios componentes y espero probarlo en esta semana.

Me ha sorprendido la precisión en la ayuda que me han dado los dos: Casimiro y David.

Muchas gracias.

[dec]

Hola a todos,

Cita:

Empezado por rrf

Muchas gracias Casimiro.

No sabía que Lazarus tiene el servicio Online Package Manager. Le he dado un vistazo a lo que ofrece Online Package Manager y hay muchas cosas interesantes.

He instalado OnGuard, que crea una pestaña nueva con varios componentes y espero probarlo en esta semana.

Me ha sorprendido la precisión en la ayuda que me han dado los dos: Casimiro y David.

Muchas gracias.

¡No hay de qué!

[[escafandra]]

Es un tema, que como comentáis, siempre depende de hasta que punto uno se quiera complicar la vida para complicársela al cracker. Hace ya muchos años, en los comienzos de los PC, había aplicaciones en diskette que se distribuían encriptadas y se desencriptaban al ejecutarse, necesitando arrancar el PC desde ese disco. De esta forma nunca se tenía el código final leyendo el diskette.

Basado en la encriptación del ejecutable para evitar el análisis del desensamblado del mismo escribí un tutorial, a modo de prueba de concepto, que se basó en encriptar el código compilado de una función vital para el funcionamiento de la aplicación a proteger. El tutorial comienza con un encriptado sencillo que en sucesivas fases de complicación termina convirtiendo la función en un shellcode encriptado. Solo la ejecución de la app y el conocimiento de la clave se desencriptación conseguirían hacer funcionar de forma correcta el programa. Por si es de interés y/o curiosidad os dejo el enlace: Encriptando funciones.


Saludos.

[dec]

Hola a todos,

Cita:

Empezado por escafandra

Es un tema, que como comentáis, siempre depende de hasta que punto uno se quiera complicar la vida para complicársela al cracker.

Y al propio usuario legítimo... tu aportación es estupenda, y, puede ser de utilidad, sin duda, en muchos aspectos. Cuando se habla de que una solución así pudiera saltar alguna alarma de algún antivirus... ¿a quién complicamos la vida? ¿Al "cracker"? ¡No! Al propio usuario legítimo.

Podrían ponerse no pocos ejemplos. Antes se ha comentado que el programa podría hacer uso de internet para comprobar determinadas cosas, pero, eso crearía una dependencia de internet, y, de nuevo, ¿a quién puede perjudicar esto? Exacto: a un usuario legítimo que en un momento dado no disponga de internet.

De hecho podría perjudicarnos a nosotros mismos, porque, vamos a encontrarnos con la necesidad de "dar soporte" a usuarios legítimos descontentos que no van a entender en un momento dado que necesiten internet, o que tengan que lidiar con falsos positivos de antivirus, etc., etc.

Por otro lado, no estoy seguro de que si la solución que propones, escafandra, por otro lado ya digo que muy curiosa e interesante, sea exactamente lo mismo que "no dar el código completo". Con esto último yo me refiero, directamente, a tener dos versiones del programa: la incompleta y la completa.

Pero por versión incompleta me refiero exactamente a eso: por ponerlo sencillo, sería una versión de nuestro programa a la que directamente le faltase el formulario de opciones, por mencionar uno solo de los posibles formularios. No es que estuviese "escondido", es que dicho formulario (entre otros) no estaría, sencillamente.

Lo que no está, no se puede "crackear". De este modo, se trataría de que sólo los usuarios legítimos recibiesen el programa completo, con el formulario de opciones y cualquier otro formulario, que, no existirían en la versión incompleta. ¿El problema? En efecto, sin formulario de opciones, la "demo" de nuestro programa también sería incompleta.

Pero es acaso la única forma completamente efectiva de lograr que esa versión "demo" no fuese "crackeable", sencillamente, porque, no sería interesante "crackearla", de hecho no necesitaría de ninguna protección, porque, realmente, se trataría de un programa incompleto que no sería usable en absoluto.

Lo complicado aquí sería por lo tanto cómo lograr una versión "demo" de nuestro programa lo suficientemente completa como para permitir la prueba del programa, pero, sin dejar de ser una versión incompleta, distribuyendo la versión completa del programa sólo a los usuarios que hayan comprado dicha versión.

[[escafandra]]

Distribuir una copia incompleta de prueba es una muy buena idea. Está claro que esa copia no merece el esfuerzo de romperla y, si se intenta, será frustrante puesto que nada había que romper. Pero no podemos desdeñar que al final el cracker pueda hacerse con una copia completa, procedente de un usuario legal y sobre ella realizar su trabajo. La cuestión termina siempre en el mismo punto: el valor que tiene la aplicación y el valor del trabajo para romperla. La diferencia entre ambas, más el valor añadido que le aporte al cracker la distribución de la aplicación pirateada a la que puede añadir malaware, va a condicionarlo todo.

El tutorial que propuse puede ocultar fuertemente código importante y frustrar al cracker, pero el origen de esa idea surgió más como un experimento que de la necesidad de protección de algo concreto. Podemos argumerntar y contraargumentar, será un ejercicio divertido, intersante y deportivo pero, ciertamente, ningún sistema garantiza la seguridad completa.


Saludos.