¿Cual idioma? Una perspectiva de seguridad

Alcanzar el más alto nivel de application security con lenguajes de desarrollo que se compilan en aplicaciones nativas.

Cuando se trata de application security, no todos los lenguajes de programación son iguales. Los lenguajes que compilan en un formato intermedio retienen una cantidad significativa de metadatos que, si no ofuscado, puede ser Ingeniería inversa con herramientas de piratería disponibles en el mercado.

Con más de 20 años en Application Security, Nosotros en Digital.ai saber si puede crear una aplicación para que se ejecute de forma nativa, las ganancias en seguridad superan la flexibilidad de los programas que se compilan en aplicaciones intermedias, de código de bytes o interpretativas. Entendemos que no puede ser el caso para todos los proyectos, por lo que tenemos soluciones para cubrir la mayoría de las aplicaciones nativas e intermedias.

Flexibilidad

Digital.ai ofrece una gran cantidad de blindaje de aplicación, ofuscación y anti-manipulación técnicas para aplicaciones escritas en casi todos los lenguajes y entornos de desarrollo disponibles. En breve, Digital.ai puede proteger aplicaciones escritas en:

• C
• C + +
• Objective-C
• rápido
• Java
• Kotlin
• C#/Xamarin/.NET
• aleteo
• La Unidad
• JavaScript
• HTML5

Seguridad

En términos generales, las protecciones más profundas se pueden aplicar al código nativo. Este es el por qué:

• Algunos lenguajes como C# se compilan en un formato intermedio. Los formatos intermedios retienen una cantidad significativa de metadatos. Estos metadatos se pueden utilizar para aplicar ingeniería inversa más fácilmente. La protección de aplicaciones puede ofuscar estos metadatos. Sin embargo, para empezar, las aplicaciones nativas no contienen estos metadatos detallados, lo que evita por completo la necesidad de ofuscar los metadatos y, por lo tanto, reduce la superficie de ataque. Desde esta perspectiva, las aplicaciones nativas requieren menos protecciones y pueden protegerse más rápida y fácilmente.
• At Digital.ai entendemos que “en el mundo real” no es razonable esperar que nuestros clientes desarrollen aplicaciones completas en C/C++. Si bien las partes de la aplicación que almacenan datos confidenciales deberían escribirse idealmente en idiomas nativos, la interfaz de usuario y las interfaces con los servicios de Android, por ejemplo, generalmente se escribirán en Java/Kotlin. Esto tiene sentido y nuestras protecciones se pueden aplicar a Java/Kotlin en mayor medida que a los lenguajes de más alto nivel y aparentemente "más flexibles" como Flutter o Xamarin.
• Herramientas que actores de amenaza Los programas que utilizan, como los desensambladores y descompiladores, suelen ser más fáciles de usar con lenguajes de nivel superior y, por lo tanto, proporcionan un medio de ataque más rápido y sencillo.
• La descompilación de una aplicación creada a partir de un lenguaje multiplataforma a menudo produce un código muy similar a la fuente original. Para el código nativo, se pierde mucha información durante la compilación y la generación del código de máquina. Esto significa que incluso cuando una aplicación no está protegida, su código descompilado es más difícil de "leer" por parte de los actores de amenazas cuando está escrito en código nativo.
• Además, si bien es fácil desensamblar el código de máquina para ensamblarlo, es difícil obtener un código fuente descompilado que se asemeje al código original. La aplicación de ofuscación sobre el código nativo puede incluso evitar por completo la descompilación.

Los siguientes son ejemplos de código nativo sin protección descompilado, junto con código nativo protegido, descompilado.

Observe cuánta complejidad se puede agregar fácilmente a una simple aplicación de juguete. Multiplicar la complejidad mediante la aplicación de tales transformaciones a aplicaciones reales hace que las órdenes de trabajo del atacante sean más difíciles.

Ejemplos de lenguajes de alto nivel

Los siguientes son ejemplos de código de nivel superior desprotegido, junto con código de nivel superior protegido:

Aunque el código protegido es más complejo que el código desprotegido, se pueden usar embellecedores y descompiladores para acercarse un poco más al flujo de control original, lo que facilita un poco el trabajo del atacante.

Conclusión

Aunque la Digital.ai puede proteger aplicaciones escritas en lenguajes de alto nivel que se compilan en código nativo, así como lenguajes que se compilan en aplicaciones híbridas que contienen tanto código nativo como no nativo, las mejores y más profundas protecciones son exclusivas para las aplicaciones escritas en lenguajes que se compilan en código nativo. código. Si una empresa solo busca usar lenguajes que produzcan aplicaciones que puedan presentar las mejores protecciones, consulte la jerarquía de lenguajes en el diagrama a continuación. El idioma que elija debe equilibrar las necesidades y habilidades de sus desarrolladores con la seguridad que requieren sus aplicaciones.

Para obtener más información sobre cómo Digital.ai Application Security puede ayudar a su organización a cubrir aplicaciones nativas e intermedias, visite nuestro website.