WIBU-SYSTEMS Website
Wählen Sie Ihr Land
Rüppurrer Straße 52-54
76137 Karlsruhe Telefon: +49 721 93172-0
Telefax: +49 721 93172-22
info@wibu.de
Hackers Contest
Um die Sicherheit seiner Produkte zu beweisen, hat Wibu-Systems inzwischen mehrere Hacker’s Contests veranstaltet – mal weltweit, mal in Deutschland, Russland oder China. Bisher ist es keinem Teilnehmer gelungen, die Beispielsoftware zu knacken.
Hacker's Contest 2011 in Russland
Vom 23.11.2011 bis zum 8.12.2011 fand der erste Hacker’s Contest in Russland statt: CodeMeter® konnte den hohen Sicherheitsgrad beim Schutz von Software beweisen. Keinem der 114 Teilnehmer gelang es, die mit CodeMeter® geschützte Beispielsoftware zu knacken und den ausgelobten Preis von 20.000 Euro einzufordern. Der Weg zum ungeschützten Programm sollte ohne die Nutzung eines Debuggers erfolgen, was die Teilnehmer zu spürten bekamen, die sich nicht daran hielten: in diesem Fall hat sich die Schutzhardware CmStick gesperrt.
Unser Distributionspartner Rainbow Security ist vom Ergebnis begeistert, da es gerade in Russland viele Fachkräfte mit Verschlüsselungserfahrung gibt.
Ergebnis:
- CodeMeter® wurde nicht geknackt.
- Es gab keine Teillösungen.
Hacker’s Contest 2010 in Shanghai
Die Chance auf ein Preisgeld von 100.000 RMB (rund 10.800 Euro) haben alle Teilnehmer aus China, die sich für den Hacker’s Contest 2010 registriert haben. Der chinesische Wettbewerb begann am 20. Oktober 2010 und endet am 19. November 2010. Die Aufgabe ist, die geschützte Wettbewerbssoftware so zu verändern, dass sie ohne Schutzhardware CmStick funktioniert. Reale Bedingungen, wie ein Hacker arbeiten würde, sind beim Wettbewerb besonders berücksichtigt: jeder Teilnehmer bekommt für den Wettbewerb einen CmStick.
Ergebnis:
- CodeMeter® wurde nicht geknackt.
- Es gab keine Teillösungen.
Hacker's Contest 2007
Wibu-Systems Hacker’s Contest: Zum 4. Mal ungeschlagen
Kein Schutz kann hundertprozentig sein. Wibu-Systems führte bereits in der Vergangenheit Wettbewerbe durch, um die Sicherheit des Schutzes auf den Prüfstand zu stellen. Dabei wurde immer nur ein geschütztes Programm herausgegeben und gezeigt, dass dies ohne passende Lizenz in der passenden WibuBox nicht zu knacken ist. Durchaus ein praxisrelevanter Test für Softwarehersteller, die ihre Software zum freien Download auf ihre Webseite stellen wollen.
Im Hacker’s Contest 2007 sind wir einen Schritt weiter gegangen und die Teilnehmer haben das geschützte Programm mit einem CmDongle mit passender Lizenz erhalten. Über Tausend Teilnehmer meldeten sich, die das Preisgeld von 32.768 EUR gewinnen wollten.
Aufgabe
Aufgabe ist, eine mit CodeMeter® geschützte Software so zu verändern, dass sie anschließend ohne angeschlossenen CmDongle vollständig funktioniert.
- Das Wettbewerbsprogramm hat 2 Funktionen
- Programm mit CmDongle ausführbar
- Funktion 1: Feature-Bit im CmDongle gesetzt -> läuft
- Funktion 2: Feature-Bit im CmDongle nicht gesetzt
- Beide Funktionen zeigen ein Lösungswort an
- Aufgaben:
- Zwei Lösungswörter ermitteln.
- Programm muss ohne CmDongle komplett ausführbar sein.
- Lösungsweg und geknacktes Programm per E-Mail an Wibu-Systems senden.
Teilnehmer
1092 Teilnehmer aus 27 Ländern nahmen die Herausforderung an und versuchten vom 1. Februar bis 14. März 2007 die Aufgabe zu lösen und das attraktive Preisgeld von 32.768 EUR zu gewinnen. Die meisten Teilnehmer kamen aus Deutschland, gefolgt von China, den USA, den Niederlanden, Polen, Ungarn, Frankreich, England und der Ukraine.
Ergebnis
Obwohl die Aufgabe lösbar war, ist es keinem der Teilnehmer gelungen, den Schutz vollständig zu umgehen. Bei den meisten Teilnehmern hat die Angriffserkennung des geschützten Programms zugeschlagen und die Lizenz im CmDongle gesperrt. Damit hätten weitere Angriffe die Entschlüsselung mit Brute Force notwendig gemacht, was aufgrund der 128-Bit AES-Verschlüsselung keine große Aussicht auf Erfolg gehabt hätte.
- Keinem gelang die vollständige Lösung:
- Kein Angriff auf Verschlüsselung
- Kein Angriff auf Hardware oder Manipulation der Feature Map
Andere Teilnehmer sind an anderen Hürden gescheitert. Dennoch haben wir einige Teillösungen erhalten und diese auch mit jeweils 500 bis 2.000 EUR prämiert. Hacker oder Cracker gehen anders vor als unsere Entwickler. Die Teilnehmer bekamen eine Prämie auch für die Teillösung und wir wichtige Erkenntnisse, um unser Schutzsystem weiter zu verbessern. Die Teillösungen umfassten partielle Memory Dumps und auch Versuche, durch Record-Playback der Kommunikation des geschützten Programms mit dem CodeMeter® Runtime Programm den CmDongle zu ersetzen.
- Teillösungen:
- Partieller MemoryDump
- Partieller Record/ Playback Ansatz
- Teillösungen mit insgesamt 16.000 EUR prämiert
Fazit
Sicherlich kann kein Schutzsystem einen hundertprozentigen Schutz bieten.
Ein sehr hoher Schutzgrad ist jedoch erreichbar durch:
- Sichere Hardware: Der CmDongle bietet einen sicheren Schlüsselspeicher und harte Verschlüsselung im SmartCard Chip sowie eine Angriffserkennung (Crack Detection), die Schlüssel sperren kann.
- Technologien zur Integration: Code und Resourcen geschützter Anwendungen sind niemals komplett entschlüsselt im Hauptspeicher des PC. Variierende Verschlüsselung, Anti-Debug- und Obfuskatortechniken sowie Tools zur individuellen Integration in den Quellcode erhöhen die Sicherheit nochmals.
