Весёлые задачки шароварщикам про защиту от взлома
От: Matrix_Failure http://matrixfailure.wordpress.com/
Дата: 13.10.11 08:58
Оценка: 21 (1) :)
Коллеги поздравьте меня, у меня первый раз взломали программу.

За больше чем год, других взломов, насколько я знаю небыло. Да и вообще программа довольно узконишевая, и больше для бизнеса чем для простых людей.

В программе кое что было предусмотрено на этот случай. А именно система детектирования нарушения целостности и отправка серийников домой при ручном запросе обновлений.

Благодаря логированию проверок обновлений и уведомлений о взломе, удалось запечатлеть процесс взлома в хронологическом порядке.

Подробности о встроенной функции уведомления и о хронологии взлома тут.

Что мне известно:
— три IP адреса в Канаде, на которых в течение нескольких дней запускалась программа со странными ключами, а в последствии откуда запускалась программа с нарушенным цифровым сертификатом.
при этом известно точное время, т.е. в принципе можно написать письмо провайдеру.

— серийные номера, которые они вводят представляют собой наборы единичек, вроде 1111-1111-111111 и.т.п. Последний запуск был с пустым серийным номером
— размер EXE шника увеличился на 180 килобайт, цифровая подпись нарушена
— уникальный ID компьютера с которого хакер взламывал программу.

При этом система проверки обновлений позволяет после проверки обновления заблокировать отдельные серийные номера, а также приостановить работу данной программы на компьютере с указанным ID железа, или заблокировать работу программы если данный EXE файл имеет определенный размер, но мне кажется сделай я это сейчас кракер быстро заNOP-ит весь этот код.

В принципе у меня скоро будет готова новая версия, существенно лучшая чем предыдущая. Но конечно, любое снижение продаж для меня сейчас негативный фактор, т.к. большие планы на развитие: офис, дополнительные рабочие руки, и.т.п.

В принципе я понял, что некоторые из методов которые я предпринял для обнаружения взлома были правильными:
Как минимум это
-счетчики активности программы, чтобы у хакера программа выполнялась подругому.
-проверка цифрового сертификата при опредленных (лучше редких) дествиях в программе.
-возможность прищемить определнные серийники, и модификации программы с определенным размером файлов.



Вопросы к уважаемой аудитории:
1. как отреагировать сейчас
2. как уменьшить будущий вред от взлома
3. как улучшить систему реагирования на взлом и на нарушение целостности файла
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.