formulario de correo en AMS modo pasivo

[carsonzillo]

Como reza el titulo si uno hace un formulario de correo que contengan los campos "remitente" y "asunto"
como protegeriais la clave y direccion de correo destino para que no os averiguen la cotraseña? La accion Crypto es fiable hasta cierto punto?

Que hariais para crearlo?

[Daniel_Lechu]

Nada es fiable al 100% y el crypto para usuarios como yo es fiable hasta que consiga descomprimir el CCD del programa y sacar la clave viéndolo con un visor de texto, y en eso tardaría como 10 minutos ya que el trabajo de sacar la clave del CCD me lo han adelantado otros

Desde mi punto de vista no es nada fiable almacenar un pass en el AMS ya que se puede sacar como digo en 10 minutos, por lo que si quieres usar un correo sería crear uno específicamente para el programa, redireccionando después los correos después al tuyo original.

Tengo oído por ahí que existen empaquetadores que encriptan los archivos originales dejándolos en un EXE, mas menos lo que hace el AMS cuando lo compilas en un ejecutable pero sin descomprimir los archivos en TEMP, ya que eso es un agujero de seguridad importante, a que viene comprimir en ZIP con clave y despues compilarlo en EXE si despues todo lo dejas al descubierto en la carpeta temporal

[Ceone]

Daniel_Lechu criterio 100% opino igual que tu pero creo que el CDD de AMS8 aun no se puede saber la clave por que es dinamica, o eso creo... eso el que tiene mano es pabloko y kindly.

opino igual que Daniel_Lechu crypto esta de PM pero nada es 100% seguro existe como bien a dicho una aplicacion para rempaketar... pero... siempre tienes que partir de la base que nada es fiable a tope...

[webultra]

Cierto ceone, pero igual también puedes leer la memoria activa (incluso suspendiendola) de la aplicación y ahi viene todo el source hehe...

[carsonzillo]

mmm entonces lo veo chungo .....

...
correo sería crear uno específicamente para el programa, redireccionando después los correos después al tuyo original....

Como veis la idea de incrustar un objeto web y creo una pagina de formulario de correo desde esa pagina es mas dificil leer las claves? Que me aconsejais para aparte del consejo de Lechu?

Entonces lo de la carpeta temp chungo :/ no tengo mas ideas...

[webultra]

Eso si es mejor, un php sencillo con phpmail()... sólo ocupas un servidor xD

[Daniel_Lechu]

Sep, lo del formulario es otra opción ya que la clave está en el servidor e incluso si el servidor aguanta phpmail() no necesitas ni siquiera clave...

[carsonzillo]

ok estoy buscando un script en phpmail, alguien sabe de un server o hosting ( free o no free) para subir la web con su formulario?

No veo por aqui que hayan hecho alguna vez un apz con este tema...

[webultra]

Ya he hecho varios sitios con ese tipo de script, un hosting podría ser miarroba. Justo hoy estoy iniciando una aplicación para enviar correos con adjuntos desde android hacia emails y tal vez próximamente hacia facebook xD.

Búscate el phmailer, es un buen script que te recomiendo .

[webultra]

Daniel_Lechu creo que el CDD de AMS8 aun no se puede saber la clave por que es dinamica, o eso creo... eso el que tiene mano es pabloko y kindly.

En efecto es dinámica, pero trás 15min. de revisar he notado que a pesar de ello....es fácil saber la clave.

Me molesta en parte haber averiguado esto porque si pude dar con el clavo en este corto tiempo (pabloko y kindly estoy seguro que también) cualquiera puede dejar al desnudo cualquier aplicación.

[carsonzillo]

Otra pregunta estupida, y es posible crear un formulario que solo ponga el correo destino y el cuerpo ( creo haber visto algo de eso en el foro oficial)? y asi me dejo de historias.

Por cierto el phpmailer esta en jodido ingles como siempre XD, lo miraré gracias porla info

[carsonzillo]

una pregunta alguien ha probado y crakeado el plugin socket que por lo que veo si puede mandar correos sin poner pass por medio?

[Ceone]

yo tengo el socket full para el siguiente pack lo voy a poner pero si lo necesitas de manera inminente puedo pasartelo por prive... :D :D

Suerte!!

[carsonzillo]

ok mejor me espero al proximo pack, asi lo tengo todo juntico XD, de todos modos estoy pensando buscar hostin para hacer pruebas con el formulario de correo creo que como dice webultra es la opcion mas segura otra cosa es crear el formulario upload que no se como lo haré..

Avisame cuando tengas el pack actualizado

[Ceone]

Daniel_Lechu creo que el CDD de AMS8 aun no se puede saber la clave por que es dinamica, o eso creo... eso el que tiene mano es pabloko y kindly.

En efecto es dinámica, pero trás 15min. de revisar he notado que a pesar de ello....es fácil saber la clave.

Me molesta en parte haber averiguado esto porque si pude dar con el clavo en este corto tiempo (pabloko y kindly estoy seguro que también) cualquiera puede dejar al desnudo cualquier aplicación.

me reitero en pensar que nada es impetable!!! sin lugar a dudas

[Thedary]

Daniel_Lechu creo que el CDD de AMS8 aun no se puede saber la clave por que es dinamica, o eso creo... eso el que tiene mano es pabloko y kindly.

En efecto es dinámica, pero trás 15min. de revisar he notado que a pesar de ello....es fácil saber la clave.

Me molesta en parte haber averiguado esto porque si pude dar con el clavo en este corto tiempo (pabloko y kindly estoy seguro que también) cualquiera puede dejar al desnudo cualquier aplicación.

Pues bueno aunque esto es serio deberiamos tomarnoslo mas con calma ya que Casi o mejor cualquier programa de computador se puede hackear crackear o lo que sea con conocimiento y un poco de tiempo...

Lo que hay que hacer es poner las cosas un poco dificiles sin pensar en hacerlo totalmente invulnerable por que nada es invulnerable.

Si se crackean Antivirus y hasta consolas de juegos !!!

( Pequeña opinion )

[webultra]

En efecto watson...De hecho ya estoy trabajando en una forma para poner el código en la memoria del sistema y asi no tenerlo compilado en el cdd zip. Las pruebas van bien salvo que cuando cargo demasiadas líneas me da un error de "Not enough memory" jajaja.

A ver si lo resuelvo hoy porque ya llevo 3 días trabajando solo en ello. Para mí es una de las mejores formas para no dar el código junto con la aplicación pero no esta libre de que le hagan ingeniería inversa. En sí es todo un rollo de autenticación y otras cosas pero vale la pena

[Thedary]

En efecto watson...De hecho ya estoy trabajando en una forma para poner el código en la memoria del sistema y asi no tenerlo compilado en el cdd zip. Las pruebas van bien salvo que cuando cargo demasiadas líneas me da un error de "Not enough memory" jajaja.

A ver si lo resuelvo hoy porque ya llevo 3 días trabajando solo en ello. Para mí es una de las mejores formas para no dar el código junto con la aplicación pero no esta libre de que le hagan ingeniería inversa. En sí es todo un rollo de autenticación y otras cosas pero vale la pena

o.O Me puedes explicar ¿como que en la memoria del sistema?

[webultra]

Thedary, no puedo entrar mucho en concreto porque el decir como lo estoy haciendo expondría las aplicaciones que llegase a hacer.

Un método que he visto es poner el código (encriptado con blowfish) en dlls empacadas con upx (aunque que hay mejores virtualizadores) que se cargan a la memoria activa de la aplicación. Pero no es el método que uso porque siempre se le puede hacer unpack, reverse, edit & pack al código directo sobre la dll o incluso desde el exe (en ASM siempre es lo mismo).

Pero rutinas de autenticación de seriales no deben estar dentro de tus códigos que colocas en el ams, ya que se guardan en el cdd zip y ese se descomprime, edita y vuelve a empacar en menos de 3 minutos (cronometrados).

Por ejemplo he visto plugins (no mencionaré títulos) que supuestamente te generan licencias y ese tipo de cosas, pero al final siempre retornan un valor que debe ser evaluado con algo tan simple como:

if x==1 then do "esto" else aquello end

Cualquiera puede entrar a esa parte del código y cambiar (por ejemplo) el "if x==1 then" por "if x~=1 then" o mejor aún....ponerle a X siempre el valor de 1 jajaja. Incluso alguien puede sustuir el plugin original por uno creado por sí mismo (CLON jajaja), cuyas funciones siempre retornen el mismo valor sin procesar nada y así no modificar el programa anfitrión.

Desde mi punto de vista esos plugins deberían tener ese tipo de evaluaciones (if then else) dentro del código del plugin sin valores que retornar por parte de las funciones. Sólo hacer un simple os.exit() si falla la verificación.

Pero aún así, como dije antes, se les puede hacer reverse. Algo un poco más difícil de crackear sería cargando las funciones a la memoria del programa (aún mejor en corutinas porque se colocan en threads por separado) pero sin que éstas esten disponibles en archivos cualesquiera. Y aún así se le puede hacer un dump al proceso, sacar el código, etc. y hacer un process loader/patcher.

Otra opción es tener un exe empacado (con algo no tan comercial) que reciba, procese y retorne valores ya digeridos a la aplicación a modo de 2-3 steps validation. Miento, cualquiera puede interceptar ams jajajaja....

Bueno, basta de charla....me voy a tomar un cafe para seguir hasta las 5o 6 am (hora actual 8:41pm).

[Thedary]

Ps Bno La verdad eske Entendi Pero no mucho
Jejej

Pero bno voy a investigar para algun dia llegar a entender todo lo ke escribes....

Posdata:

Si entendi!!!

Posposdata:
pero no todo

Muchas Gracias :D