Autor Tema: Seguridad En Instaladores (Leído 7515 veces)

jodijo5 · « **en:** Sábado 4 de Noviembre de 2006, 23:50 »

hoa amigos, estaba buscando algunos metodos de seguridad que cuando venda un programa a mi cliente, este solo pueda instalarlo un sola vez en toda su vida, mejor dicho que el cliente solo pueda usar el instalador una sola vez en toda su vida y despues de eso el instalador que yo le di sea inservible para cualquier maquina.

aver si me dan algunas ideas por favor, gracias de antemano por su ayuda

su -

Cita de: "jodijo5"

hoa amigos, estaba buscando algunos metodos de seguridad que cuando venda un programa a mi cliente, este solo pueda instalarlo un sola vez en toda su vida, mejor dicho que el cliente solo pueda usar el instalador una sola vez en toda su vida y despues de eso el instalador que yo le di sea inservible para cualquier maquina.

aver si me dan algunas ideas por favor, gracias de antemano por su ayuda

Tal cosa no se puede hacer, a no ser que el instalador se automodificara (el ejecutable) de tal manera que diera error al ser ejecutado (eso es facil, quitas X bit o pones en los headers y en el cuerpo) pero si el instalador esta en un CD, no hay nada que hacer.

jodijo5

si es asi, entonces tendria que distribuir mi instalador en una unidad de almacenamiento sobreescribible como un diskette, pero al hacer esto me arriesgo a que antes de que se use el instalador hagan una copia del mismo, y asi tengan instalaciones infinitas.

F_Tanori

Bueno pues yo creo que eso es muy muy dificil

y aun no esta solucionado ni por grandes compañias que gastan campañas enteras intentando evitar pirateria pero ya ves como camina este mundo....

Una tecnica muy utilizada es sacar el serial del disco duro y generar una llave a apartir de el, lo mismo se hace con la "mac address" pero siempre hay formas de 'botarlo'

incluso puedes tomar el numero de serie del cd, pero exiten programas que te clonan el cd osea exactamente igual

Puedes crear archivos ocultos en la carpeta de sistema, y en el registro de windows

Puedes darle caducidad a la instalacion, pero si se instala fuera de ese tiempo ya no funcionaria... tambien se puede quitar

y la que creo que es mejor es activacion por internet le das una clave de acceso al usuario (cliente) para que active su producto por internet o por telefono y luego la das de baja de tu bd de claves activas

....pero alguna vez haz oido como se instala el norton, el SP2 de windows, el photoshop.... yo he escuchado...

y esta tecnica ya no les funciona

Symantec/Microsoft/Adobe aun buscan como solucionar eso tal vez un dia de estos los veamos posteando por aqui....

pero en fin tal vez la mejor es irlo a instalar personalmente, y colocar algunos candados

Suerte y
Saludos

su -

Cita de: "jodijo5"

si es asi, entonces tendria que distribuir mi instalador en una unidad de almacenamiento sobreescribible como un diskette, pero al hacer esto me arriesgo a que antes de que se use el instalador hagan una copia del mismo, y asi tengan instalaciones infinitas.

Entonces haz que el usuario se registre en el servidor, el programa tiene que tener un numero unico y si ya existe esto registrado no instale

jodijo5

gracias amigos por su ayuda, lo tengo muy en cuenta
pero aun me queda una duda, existen unos dispositivos USB a modo de llave que si eso no esta insertado en la maquina, el programa no puede funcionar, hace algun tiempo lo vi por aqui en los foros pero como no se el nombre no se como buscarlo. me pueden decir de que dispositivo se trata?

RadicalEd

Cita de: "jodijo5"

gracias amigos por su ayuda, lo tengo muy en cuenta
pero aun me queda una duda, existen unos dispositivos USB a modo de llave que si eso no esta insertado en la maquina, el programa no puede funcionar, hace algun tiempo lo vi por aqui en los foros pero como no se el nombre no se como buscarlo. me pueden decir de que dispositivo se trata?

A lo que te refieres es un Dongle o mochila.

Eternal Idol

Mucho cuidado con los dongles que si la comunicacion para autentificar entre el programa y el dongle no esta MUY bien hecha es MUY simple saltar la proteccion ...

jodijo5

oigan gracias por sus aportes ami duda, lo tomare muy en cuenta lo de los dongles

Bicholey

lo de la mac address suena interesante pero si dicho cliente que me compro el software cambia de maquina o quiere posteriormente instalar el producto en otra maquina , este no podra y eso repercutiria en mala reputacion para nosotros, ademas con todo respeto para los que crean software, yo creo que la pirateria es algo que solo le pasa alas grandes empresas o al menos yo no he escuchado que alguna empresa haya clonado un sistema personalizado para lucrar con el o uds si ????

ArKaNtOs

olvidaste que jodijo5 dijo que solo queria que instalador solo sirviese una vez en la vida

F_Tanori

Cita de: "Bicholey"

lo de la mac address suena interesante pero si dicho cliente que me compro el software cambia de maquina o quiere posteriormente instalar el producto en otra maquina ,

Entonces tendria que llamarte para que le des el nuevo numero o vayas a instalarselo ya que tu seras su proveedor de software, y ahi debes de establecer para cuantos equipos le vendes el sistema, sino cualquier persona que conozca los comandos

Crear carpeta
Copiar
Pegar
y grabar un cd o memoria podra mover tu programa con absoluta libertad y si no es imposible protegerlo por completo almenos hay que dificultarlo para proteger nuestro trabajo

no creees?

Cita de: "Bicholey"

al menos yo no he escuchado que alguna empresa haya clonado un sistema personalizado para lucrar con el o uds si ????

yo si sobre todo cuando los programas son de copiar la carpeta y listo sin ninguna clave en el registro o candado

Saludos!

ArKaNtOs

yo también lo escuche con los de la linea del aspel (suite de software empresarial famoso aqui en mx)

Bicholey

Es cierto ahora recuerdo que aca en mx sono un caso de unos contadores que modificaron un software que mandaron a hacer y solo cambiaron logos y que les cayo la AFI , pero si teneiks razon creo que es mejor dificultarlo un poco màs , asi tambien vendes el servicio de soporte tecnico y no solo el software...

F_Tanori

Apoco solo pasa en mexico?

Bueno pues ni modo

Bicholey

Cita de: "F_Tanori"

Apoco solo pasa en mexico?

Bueno pues ni modo

Bueno que pase algo asi en Mexico o en cualquier parte del mundo no es raro , es solo que dicho caso quedo impune dado que no existia legislacion al repecto y todo termino cuando llegaron a aun acuierdo economico...

jodijo5

bueno aqui en peru, existe mas pirateria ue spftware original, digamos que casi nadie usa sw original, existen leyes anti pirateria, pero la verdad esque no las cumnplen, hacen operativos para erradicar la pirateria, pero los piratas siguen ahi, por ejemplo en lima hay un lugar que se llama "el hueco", ahi solo existe pirateria, hacen un operativo y se van de frente al "el hueco", decomisan el material pirata lo destruen, al siguiente dia, la vida sigue igual y "el hueco" tambien, siguen vendiendo piateria, eh ahi mi preocupacion por hacer que mi instalador sea mas seguro

dBase3

La única manera (en caso que esté en cd) es que se atentifique a través de la web antes de seguir ejecutandose, y que cada ejecutable sea diferente por supuesto con una clave que coincida con otra que exista en el servidor, y se desactive.

Más o menos es lo que hacen con los juegos pero ellos no pueden permitirse el lujo de tener un ejecutable diferente para cada cliente, seguramente tu si.

Por supuesto que se puede crackear, pero no es tan facil, si el programa se actualiza frecuentemente puedes cambiar la web y además.

De todas maneras ya no creo en el soft cerrado (excepto en casos) y para eso mejor una herramienta web tipo php. Creo que el soft abierto o sino gratuito puede beneficiar a más gente claro, siempre que consigas que cada uno ponga su gramito de dinero para colaborar, o comas de otra manera.

Eternal Idol

Cita de: "dBase3"

La única manera (en caso que esté en cd) es que se atentifique a través de la web antes de seguir ejecutandose, y que cada ejecutable sea diferente por supuesto con una clave que coincida con otra que exista en el servidor, y se desactive.

Por supuesto que se puede crackear, pero no es tan facil, si el programa se actualiza frecuentemente puedes cambiar la web y además.

Lo mismo que con los dongles: mucho cuidado de hacer miles de comprobaciones para que al final sea cambiar un par de instrucciones en el ejecutable para que funcione. Realmente hay que preguntarse si vale la pena el esfuerzo, si tu producto es interesante habra gente que pague por el pero mucha mas que lo consiga gratis, alguien lo crackeara y sin ningun problema. Sino ver los juegos ... cada vez hacen sistemas mas complejos y cada vez son crackeados ...

Enko

Citar

Sino ver los juegos ... cada vez hacen sistemas mas complejos y cada vez son crackeados ...

Calculo que para esos tipos, saltar la proteccion debe ser una especie de pasatiempo, aunque nadie les pague, no lo largan hasta que este listo.

JuanK

Bueno yo haría algo diferente...

Crearía un certificado privado que conste de una llave publica y una llave privada.

El programa instalador debe quedar cifrado con la llave publica siempre y cada vez que valla a entregar un instalador genero la otra llave ( la privada) con fecha de vencimiento del dia de la instalacion e incluyendo en la llave los datos del hardware id de la PC (si e cambia el hardware cambia el hardware id)

El usuario debe tener instalado el certificado privado para poder acceder al instalador , así que accede y queda instalado, pero no puede instalarlo en otra máquina porque el HDWRE ID cambia y la validación del certificado daría invalido, adicionalmente al día siguiente se vence el certificado así que menos podrá volverlo a insatalar en la máquina.

Eternal Idol

Cita de: "JuanK"

El usuario debe tener instalado el certificado privado para poder acceder al instalador , así que accede y queda instalado, pero no puede instalarlo en otra máquina porque el HDWRE ID cambia y la validación del certificado daría invalido, adicionalmente al día siguiente se vence el certificado así que menos podrá volverlo a insatalar en la máquina.

¿Y que le impide copiar el programa a otra maquina despues de instalarlo?

dBase3

Citar

Más o menos es lo que hacen con los juegos pero ellos no pueden permitirse el lujo de tener un ejecutable diferente para cada cliente, seguramente tu si.

Citar

ejecutable sea diferente por supuesto con una clave que coincida con otra que exista en el servidor, y se desactive

Bueno, me voy a arriesgar un poco porq es un tema delicado y dificil como aquí bien dicen llevan años las casas y no lo resuelven, pongo mi granito:,

Siguiendo el post que hice antes, el tema que si cada ejecutable es diferente entonces no vas a llamar al que nos rompe la protección del programa para cada usuario.
Hablo incluso de variar RANDOM el código llave, y hasta la línea del programa donde se decide el salto.(polimorfismo )

Bueno claro, yo no protegería nigún programa para el gran público, ya que el open source tira un monton. Esto es un caso/s muy especial

Por otro lado en cuanto a los certificados y autentificaciones no en el instalador sino en la ejecución del programa, yo diría lo mismo pero que tuviera que acceder a algunos datos a través de la web o que sea con base de datos remotas. ASi puedes comprobar cuando hay 2 usuarios con la misma licencia, y los que están usandolos si coinciden con tu lista de PAGADOS

.
Por si alguien no lo entiende, tienes un LOG

de quien usa, cuando y donde(ip), con lo que no puede pasar que haya 100 usuarios si pagan 50.

También que un mismo usuario no pueda usarlo 2 veces(en ordenadores

diferentes si, pero no simultaneamente)...

JuanK

Cita de: "Eternal Idol"

Cita de: "JuanK"
El usuario debe tener instalado el certificado privado para poder acceder al instalador , así que accede y queda instalado, pero no puede instalarlo en otra máquina porque el HDWRE ID cambia y la validación del certificado daría invalido, adicionalmente al día siguiente se vence el certificado así que menos podrá volverlo a insatalar en la máquina.
¿Y que le impide copiar el programa a otra maquina despues de instalarlo?

se puede incorporar desde el instalador en hwid de la maquina, dejarlo como referencia en algun lugar, llamese llave de registro o lo que sea y desde utilizar nuevamente cifrado de datos y porque no extraer un hash md5 de dicho valor y asi comenzar a hacer comprobaciones etc.

en todo caso no hay nada perfecto y cualquier alternativa que decida usar es sensible de ser contrarrestadas tarde que temprano, aunque tratándose de una aplicación 'chica' no era tan fácil que alguien se ponga en la tarea.

Eternal Idol

Cita de: "JuanK"

se puede incorporar desde el instalador en hwid de la maquina, dejarlo como referencia en algun lugar, llamese llave de registro o lo que sea y desde utilizar nuevamente cifrado de datos y porque no extraer un hash md5 de dicho valor y asi comenzar a hacer comprobaciones etc.

Si, como poder se pueden hacer esas cosas y muchas mas, solo decia que la solucion era parcial.

Cita de: "JuanK"

en todo caso no hay nada perfecto y cualquier alternativa que decida usar es sensible de ser contrarrestadas tarde que temprano, aunque tratándose de una aplicación 'chica' no era tan fácil que alguien se ponga en la tarea.

Efectivamente. Por ser una aplicacion chica que supuestamente sera usada por poca gente y sera "desconocida" con lo cual habra que ver si realmente vale la pena el esfuerzo ...