Как реализовать защиту приложения по его «железу» и дальнейшей авторизацией на сервере?

Question

[Вадим Маткаримов]

Приложение использует подключение к серверу партнёра, для получения большого кол-ва данных и их последующей обработке на стороне клиента. Для подключения к серверу партнёра, необходима авторизация (логин, пароль).

Задача:

Обезопасить ПО, чтобы вначале шло подключение к моему серверу и только после авторизации на моём сервере, клиент подключался к партнёру.

Планирую сервер на инфраструктуре .net core операционная система Debian. Рассматриваю также вариант с Azure, но на данном этапе в этом нет необходимости.

Цели:

- Обезопасить ПО;
- Сделать монетизацию более эффективной, по ежемесячной подписке;
- Должна работать проверка что программа запущена только на одном устройстве;
- Должна быть реализована привязка к «железу ПК». При первом запуске, за соответствующим логином на моем сервере закрепляется какой-либо уникальный ключ, который жестко привязан к «железу» и если пользователь имеет статус демо, то при запуске демо аккаунта на другом ПК, на сервере сохранялся ещё один ключ и закреплялся за данным пользователем, а демо аккаунт заканчивался ровно в срок его окончания. При повторной регистрации демо и запуске ПО на компьютере, данный демо аккаунт вносится в чёрный список и закрепляется за данным пользователем, в случае, если на данном ПК уже была запускалась программа ранее и время предыдущего демо аккаунта истекло.

Данная мера необходима для того, чтобы пользователи не смогли обманывать систему, постоянно регистрируя новые демо аккаунты, повторной переустановкой ОС или создания виртуальных машин. Это хороший стимул для приобретения\продления платной подписки.

Мой сервер, также будет собирать статистику по клиенту, но в будущем.
--
Вопросы:

1. Как лучше реализовать данную задачу, понимая тот факт, что данные подключения к партнёрскому серверу необходимо передавать по сети, только после авторизации на моём сервере?
   
   Необходим развёрнутый ответ, от людей, которые уже реализовывали задачи такого плана. Возможно у вас найдётся решение получше, нежели передача таких данных.
   
   
2. Какое подключение лучше реализовать в данном случая, http или сокет, просьба написать ссылки на интересные библиотеки по реализации сокет соединений (C#, .net), если есть?
   
   
3. Как передавать такие данные, шифровать их или нет, какие готовые решения существуют, просьба написать ссылки на такие решения (C#, .net), если есть?
   
   
4. Какие готовые решения существуют для получения всех основных характеристик «железа» ПК, процессов, жесткий диск, видеокарта, мат. плата и т.д, дальнейшее конвертирование данных характеристик в уникальный ключ? Интересуют библиотека на платформе .net, язык C#.
   

Answer 1

[MrDywar Pichugin]

Вы ведь новости читаете, крэк группы выкладывают свои труды регулярно для новинок ИГР, Софта.

.net и c/c++/asm откроют за пару часов при желании.
К железу привязываться - звонки с жалобами, HDD/CPU/Motherboard заменил и программа не запускается. Отломают быстрее чем напишите.

Всю важную проверку на сервер, клиент при желании сломает все.
Логин-пароль должно хватать, или думать что нить, но при росте популярности обойдут.

VM - vmware есть настройки, обнаружение VM сработает если вы сами его напишите или не слишком распространенный способ использовать будите.

Клиент не должен подключаться к партнеру на прямую, узнают через wireshark/netstat/... ip, и вас обойдут в этой цепи.
Данные шифровать через https, проблем не будет, firewall пропустит.

Флаги установки программы на ПК обходят быстро, снимают снимок состояния ПК, ставят ваше ПО, удаляют его, делают еще 1 снимок. Сравниваются 2 снимка, находят флаг присутствия установки программы. У MS такая утилита даже есть, название забыл.

Хочется защиты - используйте виртуальные машины (~VMProtec), квалификация средняя и выше нужна для их взлома.

Comments

[Вадим Маткаримов]

К железу привязываться - звонки с жалобами, HDD/CPU/Motherboard заменил и программа не запускается. Отломают быстрее чем напишите.

Это не принципиально, для данного ПО - это абсолютно нормально и будет оговорено, например в публичной оферте.

Задача взята не от «балды», уже видел готовые решения!

Привязка к железу сделана с целью реализации демо режима с полным функционалом. Если отмести демо и реализовать только проверку по логину паролю, то большинство пользователей не смогут попробовать программу и принять решение. К тому же, данные о железе хранятся на сервере. Ни переустановка ОС, ни виртуальная машина не помогали запустить программу повторно, после окончания срока демо режима. А в случае, если зарегистрировать новый аккаунт демо, то это не помогало, т.к. на пк уже была запущена программа и характеристики железа хранились на сервере. Единственное, как можно было обойти программу, запустить её на другом ПК или ноутбуке, но только с новым логином и паролем.

Логин-пароль должно хватать, или думать что нить, но при росте популярности обойдут.

Если подключаться к серверу партнёра через свой сервер и ретранслировать данные, то не обойдут, в этом случая бизнес логика будет завязана на мой сервер и взлом клиента не поможет. Но этот вариант я пока не рассматриваю, т.к. предвижу затраты ресурсов сервера, на него ляжет большая нагрузка.

Хочется защиты - используйте виртуальные машины (~VMProtec), квалификация средняя и выше нужна для их взлома.

Уже использую обфускатор, шифровку сборки и привязку к железу на этапе начального взлома это работает нормально и отпугнёт большую часть обычных пользователей. Но решение платное и работает только на стороне клиента без исходного кода, именно поэтому мне необходимы какие-либо библиотеки для программного получения данных о "железе".

[MrDywar Pichugin]

Вадим Маткаримов: Не понимаю, в чем проблема регать с одним акком, и параметры железа в программе менять рендомно, бесконечное демо. Железо ни как 100% не получить.
Программу даже ломать не надо, пакеты по сети меняем, ставим нужные значения на лету.
winsock packet editor

Обфускатор - деобфускатор.
Шифровка - это наверное имеется ввиду строгое имя сборки, снимается.

Для получения данных о железе либы не нужны, все что нужно может C# из коробки.

Если хочется обсудить могу по Skype поговорить в СБ/ВС вечером.

[Вадим Маткаримов]

MrDywar Pichugin не всё так просто, для примера посмотри, как реализован volfix.net. Чтобы тут не повторяться, схему проверки описал ниже в комментариях к другому ответу. Добавил твой скайп, как будет время маякни, пообщаемся.

Answer 2

[Роман]

Создавайте трехзвеньевую структуру, и реализуйте всю бизнес-логику у себя на сервере, клиент просто для просмотра. Как пример Diablo 3, все реализовано на сервере близардов, сама игра лишь рисует данные полученные от сервера, как итог, никто и не ломал, нет смысла.

Comments

[Вадим Маткаримов]

Роман Если я правильно понимаю что такое "трехзвеньевая структура", то оставил комментарий выше у предыдущего ответчика MrDywar Pichugin и в конце указал на минусы, если отдавать данные через мой сервер, прочти и уточни что означает трехзвеньевая структура в твоём понимании? Приведи пример такой структуры.

Ещё раз подчеркну, в моём варианте важно подключение к серверу партнёра, т.к. все данные поступают именно от него.

[Роман]

Вадим Маткаримов: вынос логики на ваш сервер и обработка данных партнера на нем. Получить какие то уникальные сведения о железе нельзя, даже ни AIDA, ни Everest не выдают их. как показывает гугление все привязки работают по принципу сбора инфы о типе железа и генерации ключа, небольшое их изменение, и все, новый комп. Полная защита гарантируется лишь переносом бизнес логики на ваш сервер, не выдержит нагрузки, увеличите его мощность. Не взломают основную программу, то могут взломать сетевой протокол и тд. от всего не защитишься.

[Вадим Маткаримов]

Роман уже видел готовые продукты, где реализована привязка к железу, несмотря на то, что даже бизнес логика, у этих продуктов, реализована на сервере. Это сделано только с одной целью, стимулировать платную подписку. Чтобы демо аккаунты не плодить и блокировать халявщиков. Я бы вообще с этим не заморачивался, если бы не предусматривалась возможность демо аккаунтов, для того, чтобы каждый смог попробовать полный функционал за ограниченный промежуток времени.

Пока программа не особо популярна, защита программы предложенным мною способом вполне работоспособна. Не переживаю, за взлом сетевого протокола, об этом пока рано говорить. Реализовывать бизнес логику на сервере не вариант, это увеличит сроки разработки, время запуска продукта, стоимость и обслуживание сервера. Т.к. это стартап и ещё не известно, выстрелит ли он, то смысла затрачивать ресурсы на серверную часть на данном этапе не вижу, это риск.

Есть коммерческий продукт The Enigma Protector, у них реализована возможность привязать софт к железу, но меня интересует, как получить данные программным способом. Порекомендуй готовые решения по сбору информации о железе программным способом.

[OwDafuq]

Вадим Маткаримов: vscode.ru/prog-lessons/get-comp-info-wmi.html

[Роман]

Вадим Маткаримов: Не нашел у них даже упоминания о привязке к железу. Указанно к компьютеру и только. например известная программа нелинейного монтажа Edius, для привязки выбирает неиспользуемое место в служебной зоне NTFS. Сама защита программы не взломана, а вот триал на раз два снимается. Опять же повторяю, не возможно получить уникальные характеристики железа. Все решения (по крайне мере которые находятся на первых 4-5 страницых гугла) основаны на сборе названий оборудования, и генерации из них ключа, фактически может оказаться, что кто то с таким же оборудованием не сможет получить доступ. Самый действенный способ стимулировать подписку, функциональное ограничение, например в отчете только первых 10 записей показывать, или не позволять создавать более 20 записей в базе, в принципе и даст полноценно посмотреть программу и стимул к подписке, и невозможность полноценной работы. Кстати зачем вообще свой велосипед разрабатывать, цена на EP не так и велика, просто прикиньте свои трудозатраты, оплату и тд, и сравните с ценой на EP. 150 долларов не велика цена.

[Вадим Маткаримов]

Роман возможно, ты не нашёл описание привязки на сайте The Enigma Protector, установи демо и увидишь сам. Я же уже использую данный софт и именно поэтому хочу проверку железа на сервере.

Судя по твоим ответам, ты ещё не сталкивался с таким видом защиты. Тогда глянь volfix.net, установи демо, а после окончания срока действия, запроси демо на другой почтовый ящик с другими данными. Потом попробуй запустить софт с новым аккаунтом и только тогда ты поймёшь о чём я говорю.

Если продолжишь эксперимент, удалишь программу, почистишь реестр, переустановишь ОС или попробуешь запустить софт на виртуальной машине, то все попытки будут тщетны, до тех пор пока не приобретёшь платную лицензию или не установишь ПО на другой ПК, но опять-таки только с новым демо аккаунтом, если запустишь со старым, то ПК также попадёт в список и далее по той же схеме, ничего не поможет.

Повторюсь реализовывать всю бизнес логику на данном этапе не вариант, но реализовать вышеописанную мною защиту вполне реально и несложно, а вопрос задал для тех, кто уже сталкивался с подобными задачами и возможно поделиться опытом реализации или подскажет, как ещё можно реализовать демки по подписки, чтобы "скинуть пассажиров", которые привыкли до бесконечности продлять подписки демо.

[Вадим Маткаримов]

LiptonOlolo благодарю!

[Роман]

Вадим Маткаримов: Еще раз, привязаться к конкретному железу нельзя, нет возможности запросить серийник материнской платы, жесткого видео карты. volfix.net и EP могут писать данные в неиспользуемые служебные области диска, например в MBR.Опять же, в описании EP четко сказано, что в антиотладочные средства есть, а это как раз невозможность запуска в VM. Я выше говорил, можете без проблем список оборудования получить и на их основе создать ключ установочный, но например большая вероятность, что у кого то будет аналогичный ключ сгенерирован. (например в большие или бюджетные организации поставки однотипной техники, мне например бывает сразу по 10 штук абсолютно одинаковых приходит). Подумайте не над тем как защиту усложнять, а ввести функциональные ограничения в демо, нельзя сохранять, распечатать и тд. Опять же излишняя защита, головная боль для пользователей (что в свое время показал и StarForce и Denuvo), которые если надо ломаются, а головной боли для легальных пользователей и разработчиков добавляет.