Brocokript
22 subscribers
16 photos
1 file
4 links
BrocoKript | Dev Logs & Security
Canal oficial de desarrollo de BrocoKript

https://github.com/0x832
Download Telegram
🛡️BrocoKript | UI (v1.0-alpha)

🧠Después de unos cuantos días explicando teoría, hoy vengo a presentar la interfaz del software. He querido hacerlo un poco más ameno, ya que tantos conceptos a veces pueden resultar pesados y aburridos para la mayoría.

▶️Inicio
En el inicio de la app se podrá observar una sección que nos permitirá subir un archivo o una carpeta para proteger nuestros documentos más importantes. Veremos métricas como el peso, la ruta y el estado del contenido. Además, tendremos la posibilidad de cifrar el archivo en el momento o dejarlo en pendiente, junto con unos pequeños logs del sistema para visualizar cualquier posible fallo.
🗝️Descifrar
Para esta sección, disponemos del modo manual, que permite descifrar archivos que nos envíen introduciendo la ruta del archivo .locked y la contraseña que nos facilite el propietario (contraseña que también se puede gestionar en la sección de archivos).

No obstante, también contamos con la función automática, que utiliza la clave almacenada en la base de datos para realizar el proceso de forma directa. Al igual que en el inicio, incluimos logs visibles para la gestión de errores.

📁Archivos
En este apartado podremos visualizar tanto los ficheros cifrados como los pendientes. Permite filtrar por estado (cifrado/descifrado) y muestra métricas del total de ficheros almacenados de forma numérica para facilitar la visualización.

⚙️Ajustes
En este punto hay poco que explicar: aquí podremos configurar el software, gestionar la licencia y consultar el uso o el contacto técnico.

🪪Licencia
Por último, pero no menos importante, el panel de licencia. Desde aquí podremos gestionar la suscripción para utilizar las funciones Pro del software.

(🫂CONSIDERO QUE NO ÉS NECESARIO DECIRLO PERO EN EL CASO QUE SEA DE PAGO IRE PASANDO LICENCIAS GRATUITAS PAR TODOS LOS QUE CONFIARON EN ESTO AJAJAJA)

‼️‼️‼️Cabe recalcar que esto es una versión beta y aún estamos valorando si funcionará mediante licencia o si será totalmente gratuito para cualquier persona que requiera un software de estas características.

🔥 Gracias por apoyar el proyecto. 🛡️
4🖕1
🛡️BrocoKript | UI (v1.0-alpha)


💻Hoy se ha auditado un vector de ataque crítico: el Path Traversal mediante Symlinks.

🚀 Escenario de Prueba:
Se ha diseñado un entorno con enlaces simbólicos que apuntaban a directorios sensibles fuera de la raíz de trabajo. El objetivo: verificar si el motor podía "escapar" y comprometer archivos externos.


Resultado:
El motor de Rust mantiene una gestión de rutas segura.

🥦BrocoKript identifica y discrimina correctamente los reparse points, garantizando que el cifrado se mantenga estrictamente dentro de los límites definidos.

🔍 Puntos Clave:
Aislamiento: No sigue rutas no validadas, protegiendo directorios del sistema.

🔑Integridad:
Asegura que el modo automático (Pro) mantenga una base de datos libre de punteros externos maliciosos.

Gracias por apoyar el proyecto. 🛡️
🔥31🗿1
Brocokript pinned «🥦Si les mola el contenido agradecería que lo compartieran🫂 https://t.me/brocokript»
Brocokript pinned a photo
🛡️ BrocoKript | Seguridad y Límites Técnicos (v1.0-alpha)

En el mundo, el "100% seguro" no existe. Nuestro enfoque no es prometer algo imposible, sino intentar reducir la superficie de ataque 🛡️.

🧠¿Qué estamos haciendo?
Elevamos el coste del ataque. Cada mejora de hardening busca que romper el sistema sea complejo.

🤝Transparencia real:

🛡️Seguridad Compartida:
Nosotros intentamos proteger el motor en Rust, pero si el sistema operativo del usuario está comprometido (malware), ninguna herramienta es infalible... 💻⚠️

📂🔧Resiliencia:
Intentamos tener un diseño que haga que el software responda de forma predecible ante errores de disco o archivos corruptos.

🔍Auditoría Abierta:
El núcleo técnico será público. La robustez se demuestra con código, no con palabras.

🏗️BrocoKript está en constante evolución, a medida que avancemos iré publicando resultados y scripts que se están implementando para validar que tenemos un mínimo de seguridad y entropía en nuestro cifrado.

Gracias por apoyar el proyecto. 🛡️
3🔥1👌1🤡1
🛡️ BrocoKript | Update UI (v1.0-alpha)

🧠Hoy no toca teoría toca UI

Favoritos de archivos
Ya puedes marcar tus archivos importantes y tenerlos siempre a mano desde la sección Archivos.

Buscador + filtros
Añadimos búsqueda por nombre/ruta y filtros por estado (Todos, Cifrados, Pendientes/sin cifrar, Favoritos) para localizar registros rápido.

Exportar respaldo en ZIP
Ahora puedes generar un ZIP con tu inventario (rutas + claves) para que la recuperación no dependa exclusivamente del software y tengas una copia bajo tu control para auditoría o contingencias.

🫂Seguimos mejorando la experiencia de uso diario, manteniendo el enfoque en seguridad y control del usuario.

Gracias por apoyar el proyecto. 🛡️
🔥5💩1
🛡️ BrocoKript | Recovery Key (v1.0-alpha)

🔐 ¿Qué es la Recovery Key?
Clave de emergencia para recuperar acceso al Vault si olvidas el Unlock Secret que protege la VMK.

🧩 ¿Cómo se implementa?
Si configuras Unlock Secret por primera vez y no existe Recovery Key, la app obliga a guardarla en un .txt antes de activarlo.

‼️ Se genera en local con aleatoriedad (32 bytes) y se usa en Argon2id con salt y parámetros de coste.

📁 Con la clave derivada se cifra la VMK con AES-256-GCM (magic + nonce + ciphertext/tag).

💾 En la base del Vault solo se guarda material de recuperación (wrapped_vmk, salt, parámetros Argon2). La Recovery Key queda en tu archivo.txt, protégelo.

🔍 Si pierdes el Unlock Secret, introduces la Recovery Key y restauras/desbloqueas el Vault en esta sesión.

⚙️Luego puedes cambiar el Unlock Secret desde el panel de seguridad.

Gracias por apoyar el proyecto. 🛡️
4👏1🤮1
🛡️ BrocoKript | Sistema de Licencias (v1.0-alpha)

Hoy os explico cómo funciona la licencia y qué stack estamos usando 👇

🔧 Qué usamos
• Cliente en Rust + backend propio en Axum
• Integración con Lemon Squeezy (solo desde backend)
• Token offline firmado con Ed25519
• SQLite para activaciones/auditoría
• Estado local protegido en Windows con DPAPI (+ entropía local)

🔐 Flujo real
1-Activación: cliente envía licencia + installation_id + machine_fingerprint_hash.

2- Backend valida con Lemon y emite token firmado.

3- Cliente verifica firma y bindings en local.

4- Sin red, el token permite uso offline hasta su vencimiento (con periodo de gracia).

5- refresh, deactivate y webhooks gestionan renovaciones y revocaciones.

📌 Importante
El cliente no contiene API keys de Lemon.
El cifrado de archivos sigue siendo local; la parte online se usa para validar estado de licencia.
Si detectamos reloj local sospechoso, forzamos revalidación online.

‼️‼️ES IMPORTANTE DEJAR CLARO QUE AUN ESTAMOS PENSANDO SI SE GESTIONARAN LICENCIAS, DE MOMENTO ESTAMOS EN PROTOTIPO

Gracias por apoyar el proyecto. 🛡️
👍5👎1
Se ha observado que ciertas reacciones en el canal parecen originarse en la dificultad para articular una crítica técnica fundamentada. 📝

Comprendemos que, ante la complejidad inherente al desarrollo en Rust y los estándares criptográficos, algunos prefieren recurrir al uso de emojis en lugar de presentar argumentos sólidos. 🤝
🤮21
🛡️ BrocoKript | Protección anti-corrupción con ficheros temporales (v1.0-alpha)

💥 Problema real: si hay cierre forzado, corte de luz o error de disco en mitad del proceso, el archivo original podría dañarse.

Cómo lo resolvemos:
1-En cifrado, primero escribimos en archivo.locked.tmp.

2-Hacemos flush + sync_all y validamos el temporal antes de confirmar.

3- Solo si todo está correcto, renombramos a archivo.locked y después borramos el original.

4-Si falla dentro de la ejecución, se intenta borrar el temporal.

En descifrado aplicamos la misma idea:

1-Restauramos primero en *.restore.tmp.

2-Verificamos tamaño/integridad final.

3-Solo al validar, renombramos al archivo restaurado y
borramos el .locked.

4-Si existe un *.restore.tmp previo de una interrupción, el proceso se detiene con aviso (no lo borra automáticamente).

Gracias por apoyar el proyecto. 🛡️
2🔥1
🛡️ BrocoKript | Licencias con Lemon Squeezy + Cloudflare (v1.0-alpha)

🧠Hoy explico el enfoque real de licencias que tenemos implementado:

☁️ Entrada por Cloudflare Worker
La app cliente no llama a Lemon directamente; usa nuestro endpoint en Cloudflare.

🔐 API key protegida
La LEMONSQUEEZY_API_KEY y el secret de webhook se guardan como Secrets en Cloudflare Dashboard (Workers & Pages), no dentro del cliente.

🔄 Flujo de petición
Cliente → Worker: activate / validate / deactivate
Worker → Lemon Squeezy: valida estado real de licencia
Worker → Cliente: devuelve estado/ticket de licencia

🧠 Resultado
Evitamos exponer la API de Lemon en la app y centralizamos el control en una capa intermedia segura.

Gracias por apoyar el proyecto. 🛡️
5
🛡️ BrocoKript | Estatus del Proyecto


​Mis disculpas por la ausencia.

Por motivos ajenos al desarrollo, el avance de la aplicación ha sufrido un ligero retraso. 🛠️

​Lamento el parón, pero en breve volveremos a la carga con más contenido sobre el motor en Rust y la optimización de la UI.

El proyecto sigue adelante y con más fuerza que nunca. 🙏

​Gracias a todos los que mantenéis la confianza en este software de protección de datos. 🛡️
4👏1🙏1