Quelle langue? Une perspective de sécurité

Atteindre le plus haut niveau de application security avec des langages de développement qui se compilent dans des applications natives.

Si vous préférez application security, tous les langages de programmation ne sont pas créés égaux. Les langages qui compilent dans un format intermédiaire conservent une quantité importante de métadonnées qui, si elles ne sont pas obfusqué, peut être ingénierie inverse avec des outils de piratage disponibles dans le commerce.

Avec plus de 20 ans dans Application Security, Nous, à Digital.ai savoir si vous pouvez créer une application pour une exécution native, les gains de sécurité l'emportent sur la flexibilité des programmes qui se compilent en applications intermédiaires, bytecode ou interprétatives. Nous comprenons que cela ne peut pas être le cas pour tous les projets, nous avons donc des solutions pour couvrir la plupart des applications natives et intermédiaires.

Flexibilité

Digital.ai offre une foule de protection des applications, l'obscurcissement et anti-effraction techniques pour les applications écrites dans presque tous les langages et environnements de développement disponibles. En bref, Digital.ai peut protéger les applications écrites en :

• C
• C + +
• Objective-C
• Swift
• Java
• Kotlin
• C#/Xamarin/.NET
• Battement
• Unité
• JavaScript
• HTML5

Sécurité

De manière générale, les protections les plus profondes peuvent être appliquées au code natif. Voici pourquoi:

• Certains langages tels que C# sont compilés dans un format intermédiaire. Les formats intermédiaires conservent une quantité importante de métadonnées. Ces métadonnées peuvent être utilisées pour rétroconcevoir plus facilement l'application. La protection des applications peut obscurcir ces métadonnées. Cependant, les applications natives ne contiennent pas ces métadonnées détaillées pour commencer, ce qui élimine complètement le besoin d'obscurcissement des métadonnées et réduit ainsi la surface d'attaque. De ce point de vue, les applications natives nécessitent moins de protections et peuvent être protégées plus rapidement et plus facilement.
• At Digital.ai nous comprenons que « dans le monde réel », il n'est pas raisonnable d'attendre de nos clients qu'ils développent des applications entières en C/C++. Alors que les parties de l'application qui stockent les données sensibles doivent idéalement être écrites dans des langues natives, l'interface utilisateur et les interfaces avec les services Android, par exemple, seront généralement écrites en Java/Kotlin. Cela a du sens et nos protections peuvent être appliquées à Java/Kotlin dans une plus grande mesure qu'elles ne le peuvent pour les langages de plus haut niveau et apparemment « les plus flexibles » tels que Flutter ou Xamarin.
• Des outils qui acteurs de la menace dont ils disposent, tels que les désassembleurs et les décompilateurs, sont généralement plus faciles à utiliser avec des langages de niveau supérieur et fournissent ainsi un moyen d'attaque plus rapide et plus simple.
• La décompilation d'une application créée à partir d'un langage multiplateforme produit souvent un code très similaire à la source d'origine. Pour le code natif, de nombreuses informations sont perdues lors de la compilation et de la génération du code machine. Cela signifie que même lorsqu'une application n'est pas protégée, son code décompilé est plus difficile à « lire » par les pirates lorsqu'il est écrit en code natif.
• De plus, s'il est facile de désassembler le code machine en assemblage, il est difficile d'obtenir un code source décompilé qui ressemble au code d'origine. L'application de l'obscurcissement au-dessus du code natif peut même empêcher complètement la décompilation.

Voici des exemples de code natif non protégé décompilé, ainsi que de code natif protégé décompilé.

Remarquez à quel point la complexité peut être facilement ajoutée à une application simple et ludique. Multiplier la complexité en appliquant de telles transformations à de vraies applications rend les ordres de grandeur du travail de l'attaquant plus difficiles.

Exemples de langages de niveau supérieur

Voici des exemples de code de niveau supérieur non protégé, ainsi que de code de niveau supérieur protégé :

Même si le code protégé est plus complexe que le code non protégé, les embellisseurs et les décompilateurs peuvent être utilisés pour se rapprocher un peu plus du flux de contrôle d'origine, ce qui facilite un peu le travail de l'attaquant.

Conclusion

Tandis que Digital.ai peut protéger les applications écrites à la fois dans des langages de niveau supérieur qui se compilent en code natif ainsi que dans les langages qui se compilent en applications hybrides contenant à la fois du code natif et non natif, les protections les plus profondes et les meilleures sont exclusives aux applications écrites dans des langages qui se compilent en natif code. Si une entreprise envisage uniquement d'utiliser des langages qui produisent des applications offrant les meilleures protections, reportez-vous à la hiérarchie des langages dans le schéma ci-dessous. Le langage que vous choisissez doit équilibrer les besoins et les compétences de vos développeurs avec la sécurité dont vos applications ont besoin.

Pour en savoir plus sur la façon Digital.ai Application Security peut aider votre organisation à couvrir à la fois les applications natives et intermédiaires, visitez notre site de NDN Collective.