Microsoft renforce la protection du code de Visual Studio

Le par  |  11 commentaire(s)
Microsoft Visual Studio

Sera intégrée dans cette future version de VS la dernière mouture de Dotfuscator Community Edition de l'éditeur PreEmptive Solutions, un outil qui protègera le code source de menaces extérieures et des hackers recherchant des vulnérabilités de sécurité.

Microsoft visual studioSera intégrée dans cette future version de VS la dernière mouture de Dotfuscator Community Edition de l'éditeur PreEmptive Solutions, un outil qui protègera le code source de menaces extérieures et des hackers recherchant des vulnérabilités de sécurité.

Selon nos confrères de TechWeb, Dotfuscator demeure un bouclier protecteur de la propriété intellectuelle des logiciels informatiques en agissant sur le code source par obfuscation, chiffrement et randomisation, ce qui rend d'autant plus difficile le reverse-engineering - ou rétro-conception ( voir la définition de Wikipedia ) - d'une application.

D'après Prashant Sridharan, responsable de produit dans la division Développeur de Microsoft, " protéger la propriété intellectuelle et éviter les tests de vulnérabilité des applications sont deux problèmes importants auxquels se heurtent actuellement les informaticiens. (...) L'obfuscation est un élément important de la solution complète de gestion du cycle de vie de l'application proposée par Microsoft et la dernìère version de Dotfuscator CE de PreEmptive Solutions représente une amélioration considérable pour la plate-forme Visual Studio. "

Selon le communiqué, la nouvelle version de Dotfuscator offrira une intégration complète avec le logiciel de Microsoft qui permettra " une résolution automatique des dépendances de construction, l'intégration transparente avec d'autres processus postérieurs à la construction comme la génération du script d'installation, et des moyens cohérents de gestion des objets d'obfuscation qui rationalisent le débogage, la gestion des patchs et les processus de développement distribué. "

Bill Leach, directeur technique chez PreEmptive Solutions, se réjouit également de cette alliance entre les deux groupes :

" Nous avons toujours considéré l'obfuscation comme étant à la fois un processus et un portefeuille de technologies. (...) L'intégration de l'obfuscation dans le cycle de vie du développement de Visual Studio introduit un nouveau niveau de sécurité de l'application et de protection de la propriété intellectuelle à des millions d'ordinateurs de bureau de développeur.  "
Complément d'information
  • Microsoft : Visual Studio Code en Open Source
    Désormais en version bêta, l'éditeur de code gratuit Visual Studio Code pour Windows, OS X et Linux voit son code source libéré en Open Source.
  • Microsoft annonce Visual Studio 2010
    La firme de Redmond publie la version 2010 de Visual Studio réunissant des outils pour développeurs. De même la sortie de .NET Framework 4 et dans le courant de la semaine de Silverlight 4.

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #140715
Tout le monde sait très bien que la sécurité par l'obscurité est la meilleure et de loin !

Il suffit de voir Internet Explorer dont les sources n'ont pas été diffusée et qui grâce à cela est le plus sécurisé des navigateurs
Le #140716
Mais IE ne disposait pas de la la technologie "Dotfuscator", c'est pour ca!!
Le #140717
Les paris sont ouvert sur "à quand le premier reverse algorythme de Dotfuscator "
Le #140730
Les packers/crypters n'ont jamais tenu très longtemps.
Pourtant il falltait agir carrément au niveau du noyau windows pour poser des bpx stratégiques.

La machine virtuelle de .net est un cran au dessus ( niveau applicatif ), le pauvre obfuscateur ne va pas pouvoir faire grand chose contre les dumps

Comme avec cette machine virtuelle on ne peut pas faire de l'obfuscation de haut vol ( ecraser l'IAT, decrypter un bloc fichier directement dans une section executable etc etc etc ), la protection va surement etre minimaliste. Tout au plus on aura des dump de 500 Mo que des plugins de IDA nettoieront
Le #140750

KerTiaM


dé-assembler du .net (ou du java, c'est pareil) on aura tout vu!
Alors qu'il faut juste le décompiler pour avoir le code d'origine

l'obfuscateur sert juste a renommer les variables, méthodes, classes... (plus que des a, b ,c d..), ajouter du code bidon, modifier le code pour qu'il soit compris par la machine exécutante, mais qu'une fois décompilé, ca ressemble a rien.

du coup pour

Sheep


c'est impossible de revenir sur ce que l'obfuscateur fait (on n'a plus le nom des méthodes ni le nom des variables) en revanche, un outil pour nettoyer le code décompilé est plutôt pratique.
Le #140751
Moui c'est vrai que dis comme ca un reverse algo n'est pas vraiment possible.

Par contre un cleaner doit se faire assez simplement, genre le code ajouté sert forcément "à rien" donc suffit de faire une vérif des appels inutiles et donnc comme tu dis de nettoyer le code.

Bref une pauvre sécurité pas trés utile je pense, mais si ca se trouve y'a une autre idée derrière.

Chassez le stégosaure il arrive au galop!
Le #140762
C'est vrai que de tout "obfusqué" (c'est quoi le terme français'), c'est tout de suite plus pratique pour débugger.
"Le client a l'air très remonté! Ça a crashé où'"
"J'en sais rien, avec la protection c'est tellement bien obscurci que j'y comprends rien"
"On est mal"
Le #140764
Quoi qu'on en dise ça ne sera pas de trop pour améliorer la sécurité des programmes informatiques. Dans ce domaine tout ce qui peut apporter un peu de sécurité est bon a prendre. Mais je crois que c'est surtout pour des raisons qui tiennent plus de la protection de leur code vis à vis de la concurence que les entreprises utiliseront cet outil.
Le #140783
@Wargre

dé-assembler du .net (ou du java, c'est pareil) on aura tout vu!


Y a que toi qui a lu ça dans mon post .... La derniere fois qu'on a halluciné ça a bouté les anglais. Courage !


Alors qu'il faut juste le décompiler pour avoir le code d'origine


Exactement : utiliser ildasm du pack mono par exemple. Ca permet de passer du fichier compilé en fichier texte compréhensible (opcode il ).
Mais comme tu es tatillon, je vais me faire plaisir en étant condescendant : "pour avoir le code d'origine" <= impossible. As tu déja utilisé ildasm au moins ' Cause t'on vraiment entre connaisseur du sujet '

Du coup :

l'obfuscateur sert juste a renommer les variables, méthodes, classes... (plus que des a, b ,c d..)


Ralentira a peine le reverser (merci IDA) ->argument bidon


ajouter du code bidon


Là tu as pas saisi le role des plugins IDA, c pas grave, un coup de google t'aidera. ->argument bidon


modifier le code pour qu'il soit compris par la machine exécutante


Et là on retombe sur mon premier commentaire. .net ne permet pas de l'obfuscation de haut vol comme l'ecrasement de l'IAT et tout le tintouin. ->argument bidon
Le #140803
@ Kerdiam
j'ai juste vu que t'utilises IDA et comme je ne l'utilise que pour desassembler des executables "natif" (il faudra que je regarde ce qu'il donne avec des exec utable .net!) j'ai extrapolé... (je n'ai decompilé qu'une fois un programme .net en utilisant un outil comme "lutz roeder reflector for .net")

Ma remarque visant plus à expliquer le role de l'obfuscateur pour répondre à sheep.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]