Как изолироваться от сервера и его владельца?

Порылся в разделе, есть отчасти похожие задачи, но ничего полезного не нашел.

> Такая схема с виртуалкой имеет хоть какой-то уровень надежности?

поможет разве что от несведущих, но любопытных глаз. если кто-то будет этим заниматься целенаправленно, никаких проблем с обходом такой «защиты» не возникнет. неужели абсолютно не возможно обзавестись своим железом, пускай и в стойке у провайдера? это тоже не дает гарантий, так как потенциально у злоумышленников есть физический доступ к серверу, но всяко лучше виртуалки. а для полноценного обеспечения безопасности необходимо защищять и физический уровень. вопрос с сетью кстати решается довольно просто, только не выйдет скрыть сам факт наличия коммуникаций, но можно сильно усложнить анализ их характера.

Если у злоумышленника есть доступ к серверу, то расшифровать раздел будет вполне реально: достаточно подменить dmcrypt (или что там будет использоваться). Это задача не простая, но и не невозможная, квалифицированный специалист по безопасности должен справиться.

Что касается «чего посоветовать», то все определяется экономической выгодой для злоумышленника. Нужно просто поставить достаточно преград, чтобы это было слишком дорого для экономической оправданности взлома.

Виртуальная машина, с шифрацией виртуального диска, хорошая преграда. Стоимость специалиста, который мог бы заняться анализом уязвимости — от 5000$/мес.

Ключ от раздела только надо хранить вне сервера и передавать его только по защищенному соединению.

Можно защитить саму программу, привязать ее к конкретному компьютеру. Можно через аппаратный ключ... Анализ такой уязвимости потребует уже другого специалиста, тоже не дешевого.

В виртуальной системе не забыть в ядре randomization heap сделать (по умолчанию обычно включено). Это усложнит анализ памяти сторонними программами.

Защиту можно наращивать бесконечно, вопрос в целесообразности.

> вопрос с сетью кстати решается довольно просто, только не выйдет скрыть сам факт наличия коммуникаций, но можно сильно усложнить анализ их характера.

Эту задачу в общем плане решили. Усложнения анализа будет вполне достаточно.

Своим железом обзавестись проблематичней и не только по финансовым причинам.

> Защиту можно наращивать бесконечно, вопрос в целесообразности.

Золотые слова. Хотелось бы найти относительно дешевое и относительно эффективное решение. Проект не настолько серьезен чтобы вкладываться в его защиту. Но и потерять на ровном месте не хочется.

Я предполагаю (исходя из моего уровня дилетантства) что виртуалка до определенной степени должна скрыть активность внутри гостевой системы от «простых» наблюдателей. Ну и криптозащита по идее не позволит внаглую забрать саму программу.

> если кто-то будет этим заниматься целенаправленно, никаких проблем с обходом такой «защиты» не возникнет

Здесь я надеюсь на «цену вопроса».

> Я предполагаю (исходя из моего уровня дилетантства) что виртуалка до определенной степени должна скрыть активность внутри гостевой системы от «простых» наблюдателей. Ну и криптозащита по идее не позволит внаглую забрать саму программу.

Внаглую — да, не позволит, если не вляпаться в какой-нибудь общеизвестный баг.

Активность в принципе не скрыть, можно сделать фейковую, но наличие не скрыть.

Виртуалка с шифрованием диска — хорошая защита, если будет использоваться не dmcrypt, то убедитесь, что данные никогда не светятся в оперативной памяти в открытом виде.

Инфицируешь любой демон своей программой.
Не вызываешь подозрений своими параноидными методами.

> Здесь я надеюсь на «цену вопроса».

готов забрать все твои данные с этой виртуалки за символические $100, лол. работы аж раптом на полчаса.

это я к тому, что виртуалка - не преграда ну вообще ни разу, только разве для полных профанов.

> лол. работы аж раптом на полчаса.

А можно с этого места поподробнее

Надо полностью в ядре дизаблить CAP_DAC_OVERRIDE и CAP_DAC_SEARCH. Тогда просто закроешься файловыми разрешениями.

у тебя все оперативка на виду. и приаттачить дебаггер к твоей виртуалке тоже не вопрос, если даже надо будет что-то потрейсить.

>У тебя все оперативка на виду. и приаттачить дебаггер к твоей >виртуалке тоже не вопрос

В данном случае стоит поискать обфускатор (под язык написания проекта), хороший обфускатор должен так изгадить бинарник, что рыскать дизассемблером запаришся.

В код стоит подложить собаку, например: проверку от даты компилирования кода, даты задать в нескольких местах разными способами. Проверка начинает срабатывать через икс дней с некоторой вероятностью от 0%, с повышением вероятности с каждым последующим днем. И пусть эта проверка вызывает разные сбои (какой выпадет по вероятности). Главное оформить эти вероятности не в одной функции (то бы не отключили в дебагере) а на каждую, и вызов вероятностей напихивать в разных местах.
А если еще и сбои прикольно оформлять то будет еще интереснее - крякеры любят такие фишки.

PS: Включайте фантазию и вперед…

Отлично. Вопрос в том, сколько времени на это уйдет, и является ли это в результате экономически целесообразным? на этот вопрос никто кроме топикстартера не ответит, конечно. И все равно, я бы искал другие, более принципиальные способы решения проблемы. Кстати, ТС, а банального ДоСа ты не боишься? Является ли работа приложения критичной, или только данны?

> Кстати, ТС, а банального ДоСа ты не боишься?

Не очень наверное. Меры со стороны хозяев, и наши собственные.

Является ли работа приложения критичной, или только данны?

Если даже будет украдена та минимальная персональная информация о клиентах, думаю не особо критично. Больше беспокоит реализованная бизнес-логика. В общих чертах она должна быть известна в определенных кругах. Но для реальной работы важны тонкости и нюансы. В целом с момента запуска время будет работать на нас. В случае прямой кражи программы и ее запуска мы теряем серьезную долю клиентов, и соответственно прибыли. Если это случится быстро, проект перейдет из прибыльного в только-только окупаемый. Важно в течении первых месяцев до года, получить максимальную прибыль. Далее наверняка появятся конкуренты...

ну, тогда обфускаторы тебя не спасут.

Какой смысл так сильно защищать проект, который не может окупить 100$/мес. хостинга на СВОЕМ сервере?

> Какой смысл так сильно защищать проект, который не может окупить 100$/мес. хостинга на СВОЕМ сервере?

Что вы имеете ввиду под своим сервером? И цену довольно странную указали.
Для проекта в целом арендуется (пока) три сервера, с различными дополнениями, например немаленький список IP-адресов... И прочими вкусностями :)
Один из серверов несет 85% бизнес-логики. И цены на поддержание проекта будут видимо приличные...

> ...Предполагается, что арендуемый сервер (что-то из Linux, скорее всего CentOS) может нести шпионское ПО...

Я было подумал, что вы арендуете место на сервере. Если же вы арендуете целый сервер, то почему там не поставить систему силами своих специалистов? Тогда надобность в виртуальной машине отпадет. И вообще виртуальная машина для проекта, размещенного на трех арендуемых серверах выглядит как-то странно.

PS: за цену, которую я привел можно разместить сервер на площадках некоторых хостеров. Сервер можно либо арендовать у товарищей, либо собрать из хлама имеющегося у каждого айтишника, либо купить за копейки на интернет-барахолках (старье часто даром отдают). Это нормальный вариант для стартапов без начальных денежных вложений. Но учитывая ваш последний комментарий, это, к счастью, не ваш случай.

> Если же вы арендуете целый сервер, то почему там не поставить систему силами своих специалистов?

Проблема в том, что те кто могут обеспечить наши потребности, странным образом отказывают в unmanaged-хостинге. Переустановить систему не получится. Хотя счас продолжается поиск вариантов и с возможностью переустановки.

Мне по работе пришлось копаться в последовательных асинхронных процессах.
По ходу зацепил статейку - Защита программ с помощью сетей Петри
http://www.wasm.ru/article.php?article=petri

Интересно, на сколько реально отследить в дебагере выход программы?
Автор несколько просто рассуждает к подходу снятия защиты! Ведь в точках выхода, можно вставить переход на свой код, в котором вести в лог файл все точки вываливания программы. Даже в перехватчики сигналов для случаев x=a/z где z=0, можно довольно быстро все выловить...
Поэтому просто так выходить не интересно, интересно начать глючить, причем не сразу. Осталось придумать как глючить, так чтобы пользователь с очередным глюком, послал все к чертям.

В конце есть хорошо звучащая мысль...