Ynt: Tutsak yazilim felsefesi - Cipe Uzaktan kod yuklemek

Başlatan z, 26 Nisan 2014, 17:40:16

mufitsozen

29 Ekim 2020, 12:25:56 #60 Son düzenlenme: 29 Ekim 2020, 12:44:51 mufitsozen
Alıntı yapılan: z - 29 Ekim 2020, 12:15:58Haklisin ama kripto algoritmasinin herkesce bilinip bilinmemesi durumu uygulama ile ilgili degil mi?

Sifrelememde exorlama islemi yaptigimi belirtmemisim. Sonucta ortamda random keyim de var.



Hayir degil.
yontemin gizli tutulmaya calisilmasi bu sekilde sifrelenmis BUTUN sistemlerin kirilmasi riskini getirir.

Bu yuzden resmi gov/military hicbir sistemde bu yontem kullanilmamalidir.
Aptalca bir soru yoktur ve hiç kimse soru sormayı bırakana kadar aptal olmaz.

z

Evet haklisin. Mevcut sistemim bir kere kirilirsa ve bundan haberim olmazsa artik butun sistemlerim cok kolay cozulur.

O yuzden de tek korumam PC yazilimimin benim elimde olmasi.
Bana e^st de diyebilirsiniz.   www.cncdesigner.com

Tagli

Konuyla ilgili kaynaklarda geçen genel bir tavsiye var:

AlıntıKriptoloji konusunda uzman değilseniz kendi algoritmanızı geliştirmeye çalışmayın. Güncel ve bilinen hazır bir algoritmayı alıp kullanın.
Gökçe Tağlıoğlu

mufitsozen

29 Ekim 2020, 15:21:14 #63 Son düzenlenme: 29 Ekim 2020, 15:25:36 mufitsozen
Alıntı yapılan: z - 29 Ekim 2020, 12:47:10Evet haklisin. Mevcut sistemim bir kere kirilirsa ve bundan haberim olmazsa artik butun sistemlerim cok kolay cozulur.

O yuzden de tek korumam PC yazilimimin benim elimde olmasi.
@z bu durumda en buyuk risk (liability) sen oluyorsun farkindaysan!!

sana bir sekilde santaj veya iskence veya para vererek bu bilgiyi senden alanlar BUTUN eski-yeni bilgiyi ele gecirebilir.

Yada sana otobus carpsa sistem calismaz olur vs vs vs

Sonucta gelistirdigin sistemin kurumsal, gov/askeri yada gizlilik derecesi yuksek yerlerde kullanilmasi cok riskli ve tehlikelidir.
Aptalca bir soru yoktur ve hiç kimse soru sormayı bırakana kadar aptal olmaz.

z

Bahsettiginiz uygulamalarda haklisiniz. Benimkisi bu uygulamalardan cok uzak oldugundan ornegini verdigim projede bu riski her zaman alirim. Sozkonusu risk, kodlarin cirilciplak olmasindan daha iyidir.

Kriptolu kodlarim asagidaki linkte.

http://www.cncdesigner.com/wordpress/wp-content/uploads/Z1100.rar

Bana e^st de diyebilirsiniz.   www.cncdesigner.com

muuzoo

Hocam doğrudan alakalı değil ama zamanında yaptığım bir uygulamadan bahsedeyim. Türktelekom'un dağıttı modemlerden biri donanım olarak oldukça yetenekli olmasına rağmen firmware olarak kısıtlanmıştı. Openwrt yüklemye çalıştığımızda da firmware imzalı olmadığı/imzası tutmadığı için yüklenmiyordu. SOnrasında cihaza telnet(ssh da olabilir emin olamadım) üzerinden eriştim. Busybox üzerinden çalıştırılabilir dosyaları incelerken firmwarupdater uygulamasını buldum. Elle istediğim firmwarei yüklemeye çalışınca hata verdi.

Hata mesajını almak iyi oldu çünkü artık o uygulamayı disassemble edip dallanmaları görebilirdim. Nitekim de öyle oldu. firmwareupdater dosyasını alıp bilgisayarda disassemble edip her hata mesajı verdiğinde dallanma noktalarını bulup kodun istediğim yere jump etmesini sağladım  ;)

Bu sayede imza imiş doğrulama imiş hepsini bir kaç bitlik değişiklikle (sanırım 5 nokta vardı zıplama yapılan) aştım ve istediğim firmware'i yükledim.

Özet olarak keyi bilmek çok öenmli değil gibi. Uygun motivasyon varsa bir şekilde aşılır.  :)

Ekleme : Şİmdi bakınca işlemleri MCU üzeriende yaptığınızı yazmışsınız o noktayı atlamışım :) . Muhtemelen kod koruması da olduğu için okunması zor olur. Ben işlemin bir yerinde dağıttığınız programı da kullanıdığınızı düşünmüştüm.
gunluk.muuzoo.gen.tr - Kişisel karalamalarım...

Kılıç

Alıntı yapılan: mufitsozen - 29 Ekim 2020, 12:06:0619yy da yasamis olan Auguste Kerckhoffs kuralina gore sifreleme metodu/teknigi bilinir olmali sadece sifre sakli olmalidir.
Şifreye ilaveten algoritma da gizli olursa niçin güvenli olmuyor? 
Algoritma da gizli olursa sanki ekstra güvenlik sağlanacak gibi görünüyor?  Aydınlatır mısınız?
auto-reverse recording

z

Alıntı yapılan: muuzoo - 29 Ekim 2020, 16:20:25Özet olarak keyi bilmek çok öenmli değil gibi. Uygun motivasyon varsa bir şekilde aşılır.  :)

Key var key var.

Key var 10 karakter, key var benim ornegimde oldugu gibi programin kendi uzunlugu kadar.

10K uzunlugunda bir programin var. Bunu 10K uzunlugunda bir baska programla exorladin diyelim. Bu 10K uzunlugundaki key de sadece sende bir de musteriye verdigin kartin icine gomdun diyelim.  JTAG'dan Disasm sansini da elden alinca geriye iki secenek kaliyor.

Ya sen bir hata yapacaksin
Yada kaba kuvvet kirmayi deneyecekler.

Ama bir kere kirildimi artik sistem coker.


Bana e^st de diyebilirsiniz.   www.cncdesigner.com

Yasal Uyarı: Picproje.org sitemizde 5651 sayılı kanunun 8. maddesine ve T.C.Knın 125. maddesine göre tüm üyelerimiz yaptıkları paylaşımlardan kendileri sorumludur. Picproje.org hakkında yapılacak tüm hukuksal şikayetleri İletişim sayfamızdan bize bildirdikten en geç 3 (üç) iş günü içerisinde ilgili kanunlar ve yönetmelikler çerçevesinde tarafımızca incelenerek gereken işlemler yapılacak ve site yöneticilerimiz tarafından bilgi verilecektir.