[Programmazione][Java] Proteggere le applicazioni dall’uso non autorizzato


Oggi affrontiamo il problema che sorge dopo aver sviluppato un’applicazione e nel momento in cui questa deve essere distribuita. Il problema è tanto più sentito quando l’applicazione è a pagamento, e magari deve essere venduta a clienti. E’ lecito aspettarsi che il programmatore voglia proteggere il suo lavoro, o almeno cercare di scoraggiare potenziali abusi e malintenzionati. Vediamo in questo articolo quali sono le azioni da intraprendere per proteggere la nostra applicazione, supponendo che questa sia stata sviluppata con il linguaggio Java.

sicurezza_applicazione

Le operazioni da eseguire sono le seguenti:

  1. proteggere il codice in modo tale che non possa essere modificato o letto da persone non autorizzate (software chiuso);
  2. evitare che il software venga distribuito a chiunque;
  3. permettere di usare il software in versione demo/trial, e bloccarne eventualmente il funzionamento dopo n giorni.

In generale oggi esistono svariate tecniche più o meno efficaci per proteggere un’applicazione, e queste possono essere generalizzate in 2 categorie: le protezioni più sicure (siamo sicuri che siano le più sicure?!) che possono essere costose in termini di soldi e di tempo per implementarle, o le protezioni più deboli ma spesso di più semplice utilizzo e a basso costo. Il mio consiglio è di optare per la seconda categoria, perché tanto non esiste una protezione sicura al 100% e qualunque venga adottata presto o tardi finirà probabilmente per essere crackkata. Consiglio di scegliere una tecnica di protezione elevata solamente nel caso in cui l’applicazione sviluppata sia di notevoli dimensioni e laddove la quantità di soldi investiti sia stata ingente.

Analizziamo dettagliatamente i 3 punti precedenti, per studiare le tecniche in grado di proteggere un’applicazione.

1. Bloccare lettura/modifica del codice. Per impedire a qualcuno la lettura e la modifica del codice, e dunque di un file, è possibile agire solamente tramite i permessi all’interno di un sistema operativo. Su Linux ad esempio possiamo agire tramite gli sticky bit, assegnando ai vari utenti/gruppi i permessi che riteniamo più adeguati. Questo però non ci aiuta se l’applicazione è distribuita a persone (ad esempio tramite Internet) delle quali non possiamo gestire i sistemi locali.
A questo punto dobbiamo agire diversamente per rendere difficile la vita a chi vuole leggere il  codice e magari appropriarsi degli algoritmi usati. Dal momento che la nostra applicazione è sviluppata in Java, ciò che dobbiamo proteggere sono le classi prodotte dal processo di compilazione (il codice sorgente può semplicemente essere omesso nel software finale, in quando non è necessario). La soluzione in questo caso è di usare un offuscatore di codice, ossia un particolare software che agisce sulle classi compilate, modificandole in modo tale da renderne ardua la lettura in caso di reverse engineering. Per fare ciò un buon software free e aggiornato è ProGuard 4.8 (ultima versione in questo momento):

http://proguard.sourceforge.net/

e qui c’è una guida ben fatta su come utilizzarlo:

http://dellabate.wordpress.com/2010/11/22/java-bytecode-obfuscator-con-proguard/

Offuscatori di codice alternativi a ProGuard sono reperibili in questa lista:

http://proguard.sourceforge.net/alternatives.html

Nella lista precedente io escluderei i software un po’ datati, mentre consiglio yGuard o JBCO.

2. Bloccare la distribuzione non autorizzata del software. In questo caso la soluzione ideale è di utilizzare un sistema di licenziamento del tipo “per installare o avviare il programma deve essere inserita la chiave corretta”, come avviene per i software commerciali più noti (ad esempio Office o Windows stesso). Una possibilità è quella di usare il software TrueLicense:

http://truelicense.java.net/

Sul sito ufficiale potete trovare ampia documentazione in modo da usare correttamente il software e le licenze.

Qui c’è una lettura interessante su come proteggere un’applicazione Java facendo uso di chiavi/licenze:

http://stackoverflow.com/questions/10896596/protect-java-application-by-licence-or-key

Avendo un po’ di tempo a disposizione, potrebbe valere la pena implementare un proprio algoritmo per la generazione di una chiave. Ad esempio, una chiave univoca potrebbe essere generata a partire dall’indirizzo MAC della scheda di rete, essendo l’indirizzo stessa per sua natura univoco (a meno di manomissioni hardware). Di semplice utilizzo sono anche le funzioni hash, come SHA1, sufficientemente robuste, e possono essere sufficienti per le applicazioni più piccole.

3. Versione trial del software. Un’altra tecnica, che può essere usata per proteggere un’applicazione, è quella di crearne una versione demo/trial, o alternativamente di permetterne l’utilizzo solo per un periodo di prova limitato (10 giorni, 30, …).

Il software TrueLicense visto al punto precedente permette di creare anche licenze temporanee, che sono dunque valide per un periodo limitato di tempo, oltre il quale il software non può più essere adoperato. Per questa funzionalità potete vedere la documentazione ufficiale:

http://truelicense.java.net/tutorial.html#Using_the_Free_Trial_Period_FTP_Package

Al seguente link viene suggerita una soluzione “manuale” che permette di creare un’applicazione in versione trial:

http://stackoverflow.com/questions/2021088/implementing-a-30-day-time-trial/2022237#2022237

Buon codice a tutti ;-)…

Matteo

Annunci

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...