Posted at :
Apr/29/2012
Pada tanggal 29 April 2012 STMIK Sumedang bekerja sama dengan MUGI Sumedang telah mengadakan acara seminar tentang topik Security yang bertemakan “Safe The System”. Area security yang dibahas meliputi Operating System, Networking dan Application. Di seminar tersebut saya berkesempatan untuk membawakan topik tentang .NET Security. Peserta yang hadir sekitar kurang lebih 200 orang dan pada umumnya berasal dari jurusan Informatika.
Secara umum saya membahas overview teknik-teknik security yang disediakan oleh .NET Framework untuk melindungi aplikasi, topik-topik tersebut meliputi :
- Securing .NET Assembly
- Encryption (One way & Two Way)
- Role Based Security
- Code Access Security
- Isolated Storage
- ASP.NET Security
Karena waktunya terbatas saya hanya dapat melakukan demo secara live tentang penggunaan ildasm.exe, ilasm.exe, dotfuscator, .net reflector dengan menggunakan tools ILSpy dan CodeReflect untuk melakukan reverse engineering kode IL ke source code VB.NET atau C#, dan signing the assembly. Demo dimulai dengan pembuatan class library project (.dll) yang di konsumsi oleh aplikasi windows (.exe). Dll yang sudah dibuat diinspeksi kode MSIL nya dengan menggunakan ildasm.exe yang kemudian di Dump menjadi file .il. Setelah di dump, file .il tersebut dimodifikasi kode MSIL nya dengan menggunakan notepad untuk “mengacak” business logic assembly tersebut. Hasil modifikasi .il tersebut kemudian di assembly ulang untuk menghasilkan file .dll dengan menggunakan tools ilasm.exe. Untuk mengecek hasil modifikasi terhadap file .il maka aplikasi .exe yang mengkonsumsi .dll tersebut dijalankan kembali dan hasilnya sesuai dengan perubahan yang telah dilakukan pada file .il. Untuk menghindari penulisan ulang kode MSIL digunakan teknik signing dengan menggunakan strong name key (.snk) file agar perubahan tersebut dapat terdeteksi dengan membandingkan hash code yang sudah di generate sebelum assembly di modifikasi.
Demo selanjutnya yang saya lakukan yaitu tentang penggunaan Dotfuscator tools yang sudah tersedia secara built-in di Visual Studio 2010. Tools tersebut sifatnya free, namun teknik obfuscating yang disediakan tentunya terbatas hanya pada opsi renaming saja, sedangkan opsi-opsi teknik obfuscation lainnya hanya tersedia apabila membeli tools tersebut secara full di sini : http://www.preemptive.com/ . Setelah salah satu assembly yang dibuat di demo tersebut di obfuscate dengan menggunakan tools tersebut selanjutnya assembly hasil modifikasi di inspeksi kembali kode IL nya dengan menggunakan ildasm.exe untuk membuktikan hasil teknik obfuscating.
Ok…sekian reportnya dan sampai jumpa di seminar berikutnya :)
