ВМоисеевПозвольте с Вами не согласиться. Процесс зондирования выявляет наличие не санкционированных изменеий в клиентском приложении.
Какие изменения? Нет никаких изменений :) В том случае, который я рассказал, в клиентском приложении не менялось ни байта. Можно было сканировать файл на диске, образ в памяти, что угодно - любая проверка прошла бы. Более существенно то, что даже при наличии изменений процесс зондирования не "выявляет", а "имеет шанс выявить". Тут уже идет соревнование: кто кого обманет, автор зонда или хакер, причем все козыри в руках хакера. Чтобы не ходить далеко за примерами, вспомните про такую разновидность софта как стелс-вирусы - как раз инструмент обмана зонда-антивируса.

Не совсем понимаю, какую собственно информацию снимает (получает) ваша присосавшаяся программу.
Задачей было взять информацию из БД и записать ее в нормальном виде. Собственно проблема была в том, что клиентское приложение к этой информации было дико кривым, и в какой-то момент решили сделать над этими данными более удобную оболочку.

Право, слишком сильное заявление. На чем Вы основываетесь?
На сказанном выше. Зондирование - это игра на чужом поле.

Итак, я взламываю Вашу систему. Разобрал по косточкам клиентское приложение, увидел, что оно получает и выполняет зонд. Что я делаю: приписываю кусок кода, который получает зонд, расшифровывает итп, записывает в файл. Если я ленив - далее попросту имитируется сбой клиента, если не ленив - мой код самоубирается из памяти, восстанавливает все как должно было бы быть в оригинальном приложении, зонд выполняется и продолжается нормальная работа. Далее я разбираю по косточкам зонд, и в том месте, где должен вернуться результат проверки, ставлю return true. Следующий запуск, приложение получает зонд и выполняет его пропатченную версию, которая сообщает, что все в порядке.

Что делаете Вы, обнаружив мой взлом. Вы садитесь и пишете некий динамический генератор зондов, чтобы лишить работоспособности разобранную мной версию.

Что делаю я, обнаружив такой облом. Пишу стелс, скидываю зонды в файлы, анализирую и в конце концов пишу динамический патчер для динамических зондов.

Итп. Соревнование в лучшем случае на равных условиях. Тоже метод защиты, конечно, но имхо непродуктивный - лучше сосредоточить усилия там, где у защиты все преимущества, то есть на серверах.

ВМоисеев
Не все так просто.
Зонд - это или (вариант 1) объект некоторого класса, или (вариант 2), некоторая сборка, - являюшийся частью клиентского приложения.
Замечу - слабо связанной частью. Иначе клиентское приложение не сможет запуститься-аутентифицироваться-получить зонд.

ВМоисеевПередается в клиентское приложение и запускается там только после аутентификации клиента в ситеме безопасности информационной системы.
Это не имеет значения. Если полагаться на то, что злоумышленник не пройдет аутентификацию, все следующие ступени просто излишни.

ВМоисеевОба варианта зонда не будут работать в другой среде, кроме как в среде клиентского приложения, где было создано.
Не верю. Вопрос может быть только в том, сколько сил потребуется для адекватной подмены среды.

И отмечу, что зонд вообще говоря даже не обязан работать - до тех пор пока Вы не приходите к динамической генерации зондов. Взломщику вполне хватит варианта "получить зонд и послать нужный ответ".

ВМоисеевЗонд обязан передать некоторую информацию серверу приложения в течении некоторого промежутка времени. Если информация не поступит, видимо будет принято решение блокировать клиента и последует отработка ситуации по не штатной ситуации. Несомненно и зонд будет заменен и видимо, клиентское приложение.
Это, простите, фантастика. На каждый сбой модема у одного из десяти тысяч пользователей Вы будете заменять клиентское приложение?

ВМоисеевНет. Заменяю клиентское приложение и больше не имею дел с подобным клиентом (если он что-то может менять в базе данных).
Во-первых, возможность либо невозможность менять данные значения не имеет. Во-вторых, меня удивляет то, что - по условиям предыдущего абзаца - столкнувшись с фактом взлома, Вы собираетесь всего лишь заставить меня заново взломать по той же, апробированной технологии.

Впрочем, не хотите динамических зондов - не надо, хакеру только проще. Генерить динамический зонд - пожалуй, единственный способ более-менее гарантировать то, что отработает именно зонд, а не подготовленная хакером заглушка.

ВМоисеевИдеальной защиты конечно же нет. Вы правы.
Вынуждено, последовательно строим рубежи защиты.
Если у нас бесконечное количество сил, безусловно, защищаем все рубежи. В реальных же условиях я сосредоточился бы в первую очередь на тех рубежах, на которых легче эффективно защищаться.

ВМоисеевИ на серверах приложений (ограничиваю клиенткое любопытство только подмножеством допустимых ему (группе, куда он входит) функций - никаких SQL предложений !)
"Никаких SQL предложений" не добавляет к защите ровным счетом ничего.

ВМоисееви на сервере данных.
Прежде всего на сервере данных. Сервер данных - это единственное место, где можно относительно легко организовать вполне пристойную защиту.

ВМоисеев
С точностью до наоборот.
Повторяю, классы и зонды компилируются в составе единого клиентского приложения, которое представляет собой многофайловую сборку. Некоторое количество .dll представляют собой зонды, но клиенту они явно не передаются.
Возможно, я слишком сплю, чтобы понять Вас. В моем понимании дела обстоят следующим образом:

- Все, что заранее собрано в клиентское приложение, может быть сильно связано, но я (хакер) имею полную возможность разобрать это по винтикам и изменить как угодно, прежде чем связываться (измененным приложением) с сервером. Соответственно, включенные туда зонды будут передавать то, что я им скажу, итд.

- Все, что передается с сервера в клиентское приложение, является отделяемой частью клиентского приложения. Следовательно, относительно легко выполнить это в составе другого (измененного) приложения.

- Может существовать защита на уровне среды выполнения. Тут уже вопрос - можно ли ее обойти, но в целом - она опять же доступна хакеру для разборки по винтику.

ВМоисеевСильное заявление. Важно идентифицировать, кто шалит.
С этой точки зрения - да. Я имел в виду, что "передача только после аутентификации" не усиливает защищенность системы (в смысле ее способности противостоять взлому, по крайней мере без вмешательства администратора).

ВМоисеевНичего вразумительного по этому поводу сказать не могу. Это вопрос Биллу. Читаю тех. литературу, верю-проверяю, тому что написано и пользуюсь этими знаниями.
Насколько мне известно, Mono уже неплохо работает и доступен в исходниках. Так что это вопрос уже даже не к Биллу.

ВМоисеев
>Это, простите, фантастика. На каждый сбой модема ...
Простите, не на каждый сбой модема. А только сбой в одной контретной ситуации - при работе зонда. Это не штатная ситуация. И работа клиента должна быть блокирована.
Сформулирую так: с моей точки зрения, в коммерческой системе такая защита вызовет существенные неудобства (проблемы для админов, недовольство клиентов итп).

Кроме того, это совершенно замечательный способ помочь хакеру выполнить одну из стандартных задач, а именно - блокировать работу системы. По сути хакеру почти ничего не надо делать, только подсадить нескольким вашим клиентам вирус, который будет в случайные моменты времени инициировать подобный сбой.

ВМоисеев
>Во-первых, возможность либо невозможность менять данные значения не имеет. ...
Не согласен. Принципиальное значение. Одно дело, когда клиент смотрит наличие лекарств в аптеках города (наличие товара в магазинах города и наличие оного на складах), и совсем другое, когда он начинает что-то менять (изменять не своё).
Когда шпион спер коммерческую тайну, довольно неважно, подредактировал он ее после себя (что все равно заметят и восстановят) или нет.

ВМоисеев>"Никаких SQL предложений" не добавляет к защите ровным счетом ничего. Не согласен. Привожу пример ситуации. На клиетской машине плохого умного человека (Мориарти) есть возможность строить SQL предложения. Он знает, что есть ему доступная о...чень большая таблица. И он строит нечто несуразное - сортировку (Like ...) по текстовому полю и наверное многое что. Два - три (десятка) подобных запросов и сервер блокирован. Не есть хорошо.
Хм. В первую очередь стоит отметить, что вызов SQL с сортировкой очень_большой_таблицы или вызов процедуры отсортируй_очень_большую_таблицу в данном случае особо не различаются. Почему: в том числе потому, что во вторую очередь пользователи регулярно требуют выполнить ту или иную долгую операцию. Я сходу не вспомню полномасштабной информационной системы, в которой в том или ином виде не видел бы фразы: "требуемый поиск/сортировка/фильтрация/отчет... может выполняться долго. Продолжить? (Д/н)". Можно привести и другие аргументы, но не хочется утонуть в обсуждении конкретных деталей, поэтому если Вы не согласны - давайте зафиксируем, что эту точку зрения я не собираюсь особо отстаивать.

В-третьих, стоило бы отметить, что если сервер блокируется от двух-трех (десятков) подобных запросов - надо либо выкинуть сервер, либо выкинуть админа. Если то и другое нормальны - блокируются (точнее, долго работают) именно эти запросы, а остальные пользователи работают как обычно.

ВМоисеевДругое дело, как можно исключить подобное развитие событий в двухзвенке. Но это не сфера моих интересов. Если есть эффективное решение, на уровне app воспользуемся, нет - там и сделаем
Хм. Вы совершенно напрасно делаете здесь противопоставление двухзвенка-трехзвенка. С моей точки зрения, в большинстве случаев стоит пользоваться понятием layer (слой, уровень), потому что оно позволяет взглянуть на ситуацию с нужным уровнем абстракции. Те слои, из которых состоит многозвенка, обычно можно размазать по двум звеньям без заметного изменения логики взаимодействия уровней. В данном случае - не думаю, что нечто, что Вы можете "там и сделать", не получится сделать на сервере. Опять же, отдельно отмечается роль трехзвенки как "велосипеда для работы с MySQL".

ВМоисеевДело в том, что клиентское приложение в том виде, как оно передано клиенту не содержит сборок(.dll) зондов. Так что хакер долго может искать черную кошку.
Если не содержит - значит, связь таки слабая. Значит, клиентское приложение изначально запускается без _отъемлимой_ части.

ВМоисеевПодписанная сборка не запустится в измененной среде.
Хм. А кто-то обязывался ее запускать? Получить и разобрать на винтики это не помешает.

ВМоисеевНо как Вы понимаете, это в некоторой степени виртуальное предположение. Всё зависит от реализации среды мелкими или еже с ними.
Я так понимаю, что эта точно такая же доступная хакеру часть клиентского приложения, которую можно не спеша разобрать по винтикам :)

ВМоисеевИзвините, но здесь опять не могу с Вами согласться. Клиент в этом случае в принципе должен быть блокирован.
Должен - так должен. Это означает, что Вы затрудняете атаку одного типа за счет того, что даете хакеру превосходный инструмент осуществления атаки другого типа. Возможно, это оправданно, по крайней мере для приложений, в которых главное - защита информации, а не доступность.

VladiChБолее того, есть реализации .NET Framework в исходниках под Windows, тот же Mono
Я об этом упоминал :)

VladiChВообще обеспечить гарантию неизменности клиента - задача нереальная, да и смысла в этом я особого не вижу.
Собственно, именно эту мысль я и пытаюсь обосновать :)

Alexey RovdoАппаратно вероятно решаемо и будет таки решено.
Угу. Сразу вспоминается, как в далеком уже тысяча девятьсот каком-то году некий пытливый канадский студент обнаружил, что буквально одним движением паяльника можно из модема USR Sportster сделать модем USR Courier (стоивший на тот момент баксов на двести дороже).