## Демонстрація: Тривіальний доказ здогаду Щоб проілюструвати ці концепції в дії, я створив демонстраційний проект, який показує, як така система може працювати. **Це тривіальна реалізація лише для освітніх цілей** і спеціально включає мінімальну безпеку, щоб зробити код придатним для читання і розуміння. ### біса Виявіть увагу на демонстрацію. **Демо-код має багато слабкостей безпеки і НЕ підходить для будь-якого реального використання.** Він призначений для демонстрації концепцій, а не для їх поширення. ### Демонстрація структури проекту Демонстрація - це окремий проект ядра ASP. NET 9. 0 у сховищі `Mostlylucid.SecureChat.Demo/` з такими компонентами: ``` Mostlylucid.SecureChat.Demo/ ├── Controllers/DemoController.cs # Routes for demo pages ├── Hubs/SecureChatHub.cs # SignalR for real-time chat ├── Views/ │ ├── Demo/Company.cshtml # Fake company site (client) │ └── Demo/Support.cshtml # Support staff interface └── wwwroot/js/ ├── compatibility-shim1.js # Tiny trigger (1KB) └── secure-chat.js # Chat application ``` ### Як керувати демонами 1. Клонувати сховище і перейти до `Mostlylucid.SecureChat.Demo` 2. Запустити `dotnet build && dotnet run` 3. Відкрити переглядач до `http://localhost:5000/Demo/Company` 4. Додати параметр вмикання: `?ref=newsletter_2025_jan` 5. Під час запиту введіть кодове слово: `SAFE2025` 6. На іншій вкладці, відкрити `/Demo/Support` відповідає як допоміжний персонал ### Сценарій з крихітними ефектами Ось справжній код з `compatibility-shim1.js` - Зверніть увагу, наскільки вона мала і невинна. ```javascript (function() { 'use strict'; // Actual compatibility checks (makes it look legitimate) if (!window.Promise) { console.warn('Browser does not support Promises'); } if (!window.fetch) { console.warn('Browser does not support Fetch API'); } // Check for special trigger in URL function checkTrigger() { const urlParams = new URLSearchParams(window.location.search); const ref = urlParams.get('ref'); // Pattern that looks like a marketing tracking parameter // e.g., ?ref=newsletter_2025_jan if (ref && ref.match(/^newsletter_\d{4}_[a-z]+$/i)) { console.log('Loading enhanced support features...'); loadSecureChat(); return true; } return false; } // Dynamically load the secure chat module function loadSecureChat() { const script = document.createElement('script'); script.src = '/js/secure-chat.js'; script.onload = function() { if (window.SecureChat) { window.SecureChat.init(); } }; document.head.appendChild(script); } // Check on page load if (document.readyState === 'loading') { document.addEventListener('DOMContentLoaded', checkTrigger); } else { checkTrigger(); } })(); ``` Цей скрипт є лише ~1KB і виконує дві правильні дії (перевірка сумісності browser) перед перевіркою гастроля. Для кожного, хто перевіряє код, він виглядає як стандартний помічник поповнення. ### Хаб сигнального Р Сервер використовує сигналR для обміну даними у режимі реального часу. Ось спрощена структура центру: ```csharp public class SecureChatHub : Hub { private static readonly ConcurrentDictionary Sessions = new(); public async Task AuthenticateClient(string codeword) { // In demo: hardcoded. Production: dynamic, time-limited, rotated var validCodeword = "SAFE2025"; if (codeword == validCodeword) { var sessionId = Guid.NewGuid().ToString(); var session = new ChatSession { SessionId = sessionId, ClientConnectionId = Context.ConnectionId, StartTime = DateTime.UtcNow, IsAuthenticated = true }; Sessions.TryAdd(Context.ConnectionId, session); await Groups.AddToGroupAsync(Context.ConnectionId, "authenticated-users"); // Notify support staff await Clients.Group("support-staff") .SendAsync("NewSessionAvailable", sessionId, DateTime.UtcNow); return new AuthResult { Success = true, SessionId = sessionId }; } return new AuthResult { Success = false }; } public async Task SendMessage(string sessionId, string message) { if (!Sessions.TryGetValue(Context.ConnectionId, out var session) || !session.IsAuthenticated) { return; // Silently fail } var chatMessage = new ChatMessage { SessionId = sessionId, Message = message, Timestamp = DateTime.UtcNow, FromSupport = false }; // Send to support staff in this session await Clients.Group($"session-{sessionId}") .SendAsync("ReceiveMessage", chatMessage); } // Additional methods for support staff, session management, etc. } ``` ### Балачка з клієнтом Якщо буде позначено цей пункт, модуль балачки створюватиме модальне вікно з відліком розпізнавання у 30 секунд: ```javascript function showAuthPrompt() { const chatBody = document.getElementById('chat-body'); const countdown = { seconds: 30 }; chatBody.innerHTML = `

Verification Required

Please enter your verification code to continue.

Time remaining: 30s
`; // Countdown timer authTimeout = setInterval(() => { countdown.seconds--; document.getElementById('countdown').textContent = countdown.seconds; if (countdown.seconds <= 0) { clearInterval(authTimeout); handleAuthTimeout(); // Redirect to fallback } }, 1000); } ``` Якщо спроба розпізнавання завершується невдало або час очікування, система переспрямовує адресу URL повернення (відтворено у прихованій мета- мітці на сторінці): ```javascript function handleAuthFailure() { const fallbackMeta = document.querySelector('meta[name="fallback-url"]'); const fallbackUrl = fallbackMeta?.getAttribute('content') ?? 'https://www.example.com/support'; // Show "service unavailable" briefly chatBody.innerHTML = `
Service temporarily unavailable.
Redirecting to standard support...
`; setTimeout(() => { closeChat(); // In production, would actually redirect and strip query params }, 2000); } ``` ### Про що свідчить демонстрація **Ілюстровані основні концепції:** 1. **Прихований ефект**: параметр URL `?ref=newsletter_2025_jan` виглядає як відстеження за маркетингом 2. **Динамічне завантаження**: Завантажується модуль балачки, зберігаючи початковий вантаж 3. **Автентифікований час**: 30- друге вікно запобігає невизначеній перевірці 4. **Невдала помилка**: Невдала спроба розпізнавання виглядає як пошкоджений віджет підтримки 5. **Спілкування у режимі реального часу**: signR вмикає двонапрямну балачку 6. **Роз'єднане занепокоєння**: Підтримковий інтерфейс персоналу повністю відокремлений **Що Демо не показує:** Система виробництва мала набагато складніші властивості, які не включали в демо: - Поточне шифрування (повідомлення, надіслані простим текстом у демонстраційному режимі) - Обфускований/ змінений код (зрозуміле читання демо- код) - Випадковість трафіку та часова рандомізація - Протоколи безпечного обміну ключами - Обертання ключа сеансу - Запобігання обмеженню та зловживанням - Незбагненна перевірка ведення журналу - Контрольні заходи - И десятки других шаров безопасности... ### Система збирання. Демонстрація складається з простої системи будівництва, яка демонструє основні методи опрацювання. #### З джерела до скрипту Ось процес перетворення: ```mermaid flowchart LR A[Source Code
compatibility-shim1.src.js
~1KB readable] --> B[String Obfuscation
Convert to CharCodes] B --> C[Minification
Remove whitespace] C --> D[Dead Code Injection
Add junk functions] D --> E[Deployed Script
~400 bytes minified] style A stroke:#0ea5e9,stroke-width:3px style E stroke:#ef4444,stroke-width:3px ``` #### Код джерела (виправний для читання) Джерело чисте і зрозуміле: ```javascript // Check for trigger pattern const params = new URLSearchParams(window.location.search); const ref = params.get('ref'); if (ref && /^newsletter_\d{4}_[a-z]+$/i.test(ref)) { // Load the secure chat module const script = document.createElement('script'); script.src = '/js/secure-chat.js'; document.head.appendChild(script); } ``` #### Obfuscated Version (Displayed) Після затінення рядки буде розділено і закодовано: ```javascript !function(){if(new URLSearchParams(window.location.search).get(String.fromCharCode(114,101,102))?.match(new RegExp(String.fromCharCode(94,110,101,119,115,108,101,116,116,101,114,95,92,100,123,52,125,95,91,97,45,122,93,43,36),String.fromCharCode(105)))){const e=document.createElement(String.fromCharCode(115,99,114,105,112,116));e.src=String.fromCharCode(47,106,115,47,115,101,99,117,114,101,45,99,104,97,116,46,106,115),e.async=!0,document.head.appendChild(e)}}(); ``` Зауважте: - `'ref'` стає `String.fromCharCode(114,101,102)` - `/^newsletter_\d{4}_[a-z]+$/i` стає масивом символів - `'script'` стає `String.fromCharCode(115,99,114,105,112,116)` - Всі пробіли вилучено, назви змінних скорочено #### Потік процесу ```mermaid sequenceDiagram participant Dev as Developer participant Src as Source Files
(wwwroot/js/dev/) participant Build as Build Tool participant Prod as Production Files
(wwwroot/js/) Dev->>Src: Write readable source code Dev->>Build: Run ./build.sh Build->>Src: Read source files Build->>Build: 1. Extract string literals Build->>Build: 2. Convert to CharCode arrays Build->>Build: 3. Minify (remove whitespace) Build->>Build: 4. Rename variables Build->>Build: 5. Add dead code Build->>Prod: Write obfuscated files Prod-->>Dev: Ready for deployment ``` #### Техніка поглинання **1. Кодування рядків** ```csharp // C# build tool helper public static string StringToCharCodes(string input) { var codes = input.Select(c => ((int)c).ToString()); return $"String.fromCharCode({string.Join(",", codes)})"; } // "ref" becomes "String.fromCharCode(114,101,102)" ``` **2. Розділення рядків** ```csharp public static string SplitString(string input) { var chunks = new List(); for (int i = 0; i < input.Length; i += 3) { var chunk = input.Substring(i, Math.Min(3, input.Length - i)); chunks.Add($"\"{chunk}\""); } return $"[{string.Join(",", chunks)}].join('')"; } // "newsletter" becomes ["new","sle","tte","r"].join('') ``` **3. Кодування XOR (просте)** ```csharp public static string XorEncode(string input, int key) { var encoded = input.Select(c => (char)(c ^ key)).ToArray(); var codes = encoded.Select(c => ((int)c).ToString()); return $"String.fromCharCode({string.Join(",", codes)})"; } ``` #### До чого б призвело виробництво У реальних виробничих системах будуть такі: 1. **Нетипові схеми шифрування** - Клавіші розшифрування з блокуванням домену - Похід ключа за часом - Шифрування, специфічне для середовища 2. **Контроль потокового струму** - Згладити керівні структури - Замінити if/else на таблиці пошуку - Додати умовні гілки фіктивного елемента 3. **Маніпуляція AST** - Перебудова коду на рівні дерева синтаксису - Перетворити вирази на еквівалентні форми - Введите мертвый код, который выглядит законным. 4. **Анти- дебютCity in Quebec Canada** - Виявлення присутності зневадника - Часові перевірки для визначення одного кроку - Код, що самоперевірка - Відбитки пальців середовища 5. **Обов'язок на дорогах** - Відкласти повідомлення на фіксовані розміри - Випадкові проміжки часу - Створення пам' яті трафіку - Імітація протоколу #### Налаштування і гнучкість Демонстрацію розроблено так, щоб її можна було налаштувати для різних серверів обробки: ```javascript // Configuration via meta tag (looks like analytics config) const config = { hubUrl: document.querySelector('meta[name="chat-hub-url"]') ?.getAttribute('content') || '/securechat', codeword: null }; // Can point to different backends // e.g., LLMApi (https://github.com/scottgal/LLMApi) ``` У HTML (виглядає як стандартні метадані): ```html ``` За допомогою цього пункту можна використовувати однакові клієнтські коди для роботи з різними реалізаціями серверів без зміни. ### Завершальна діаграма потоку Ось як всі частинки працюють разом: ```mermaid sequenceDiagram participant U as User Browser participant S as Company Site participant T as Tiny Shim
(400 bytes) participant C as Chat Module
(5KB) participant H as SignalR Hub participant Support as Support Staff U->>S: Visit site normally S->>U: Page loads with shim T->>T: Check URL params Note over U,S: User receives special URL via separate channel U->>S: Visit ?ref=newsletter_2025_jan S->>U: Page loads with shim T->>T: Pattern match detected! T->>C: Dynamically load chat module C->>U: Show chat modal C->>U: 30 second countdown alt Correct Codeword U->>C: Enter "SAFE2025" C->>H: Authenticate H->>H: Validate codeword H->>C: Session created H->>Support: Notify new session Support->>H: Join session H->>C: Support joined loop Chat Session U->>C: Type message C->>H: Send via SignalR H->>Support: Relay message Support->>H: Reply H->>C: Relay reply C->>U: Display message end Support->>H: End session H->>C: Session ended C->>U: Close gracefully else Wrong/No Codeword U->>C: Wrong code or timeout C->>U: "Service unavailable" C->>U: Close after 2s Note over U,C: Looks like technical error
No evidence of secure system end ``` ### Спробуйте самі Повний демонстраційний код знаходиться у сховищі. Уважно прочитайте README для повного списку попереджень про небезпеку. Код важко коментувати для пояснення кожної концепції. **Файли ключів, які слід перевірити:** JavaScript (Source vs. Obfuscated): - `wwwroot/js/dev/compatibility-shim1.src.js` - Зчитаний скрипт запуску - `wwwroot/js/compatibility-shim1.js` - Зворушений гачок (~400 байтів) - `wwwroot/js/dev/secure-chat.src.js` - Програма для читання балачок - `wwwroot/js/secure-chat.js` - Мінено програму балачки (~5 КБ) Сервер: - `Hubs/SecureChatHub.cs` - У центрі сигналу для балачок у режимі реального часу - `Controllers/DemoController.cs` - Руйнування сторінок Графічна оболонка: - `Views/Demo/Company.cshtml` - Веб- сайт " company " з прихованими налаштуваннями - `Views/Demo/Support.cshtml` - Підтримка інтерфейсу персоналу Система збирання: - `Build/JsObfuscator.cs` - Рядкові програми для дефусації - `Build/BuildObfuscated.cs` - Інструмент збирання для створення застарілих версій - `build.sh` - Сценарій для збирання Пам'ятайте, що це - **незначна реалізація концепції**Це демонструє ідеї, а не забезпечення виробництва.