Hackers Contest

CodeMeter houdt stand in hackers contests

Wibu-Systems organiseert al vele jaren “Hacker Contests” om de sterkte van de CodeMeter® beveiliging te bewijzen. Deze werden gehouden in West-Europa, Rusland en China (in China en Rusland gelden de hoogste percentages piraterij in de wereld) om aan te tonen dat we het hoogste niveau van veilige licentiëring en bescherming van intellectueel eigendom kunnen bieden. Geen deelnemer is er ooit in geslaagd om de voorbeeld toepassing beschermd door CodeMeter® te kraken.

6e Hacker Contest 2011 in Rusland

De meest recente hackers contest werd van 23 november tot 8 december 2011 in Rusland gehouden. De hackers werden getriggerd door de hoofdprijs van 20.000 euro voor iedereen die de met CodeMeter beschermde applicatie kon kraken. Toegang tot de toepassing moest worden verkregen zonder gebruik te maken van een debugger. Direct na detectie van een debugger blokkeert de CmStick de licentie voor de software en kan deze niet verder worden geopend. CodeMeter ® heeft tijdens deze wedstrijd nog eens bewezen dat het een goede bescherming van software biedt. Niet een van de 144 deelnemers was in staat om de CodeMeter ® beschermde voorbeeld applicatie te kraken. Onze distributiepartner in Rusland - Rainbow Security  - was heel enthousiast over de resultaten met name gelet op het aantal encryptie (en decryptie!)  experts die in dat land wonen.

De bottom line: CodeMeter ® opnieuw niet gekraakt. Ook geen deeloplossingen. 

5e Hacker Contest 2010 in Shanghai

Alle deelnemers van de Chinese versie van de Contest in 2010 hadden een kans op het winnen van de prijs van 100.000 RMB. De wedstrijd begon op 20 oktober 2010 en eindigde op 19 november 2010. De opdracht was om de beschermde toepassing te kraken, zodat deze werkt zonder de CmStick. Om iedereen een eerlijke kans te geven werd er aan elke geregistreerde deelnemer een CmStick verstrekt.

De bottom line: CodeMeter ® was opnieuw succesvol. CodeMeter ® werd niet gekraakt. Zelfs geen gedeeltelijke hacks.

4e Hacker Contest in West-Europa

In onze Hackers Contest 2007, gingen we een stap verder en ontvingen de deelnemers niet alleen de beveiligde toepassing maar ook een CmDongle met de bijbehorende licentie. Meer dan duizend deelnemers hadden zich ingeschreven voor de wedstrijd met een prijzengeld ter waarde van 32.768 euro. 

Opdracht

Om de wedstrijd te winnen moest software beschermd door CodeMeter^® zodanig gemanipuleerd worden dat deze draaide zonder de CmDongle.

Het programma
• Enkel uitvoerbaar met CmDongle
• Functie 1: Feature bit geset in de CmDongle -> run
• Functie 2: Feature bit niet geset in de CmDongle
• Beide functies geven een wachtwoord weer

Opdracht
• Ontdek de twee wachtwoorden.
• Programma moet volledig uitvoerbaar zijn zonder de CmDongle.
• Stuur de oplossing en het gekraakte programma via e-mail naar Wibu-Systems.

Deelnemers

1092 deelnemers uit 27 landen deden mee met de wedstrijd en hadden tot zes weken de tijd om de kopieerbeveiliging te verwijderen en het aantrekkelijke prijzengeld van 32.768 euro op te eisen. De meeste deelnemers kwamen uit Duitsland, China, de VS, Nederland, Polen, Hongarije, Frankrijk, Groot-Brittannië, en de Oekraïne. 

Resultaat

Hoewel het theoretisch oplosbaar was, kon geen van de deelnemers de beveiliging volledig verwijderen van het programma. Het merendeel van de deelnemers viel in de val bij een poging om de detectie van indringers te by-passen en zagen de licentie in de CmDongle benodigd voor verdere ontsleuteling van de software direct geblokkeerd worden.  De enige resterende optie is dan om met een brute force attack op zoek te gaan naar de juiste sleutel voor het decoderen van de code. De kans op het breken van de 128-bits AES-encryptie is praktisch nul.

Niemand slaagde volledig
• Geen van de vele aanvallen tegen de versleuteling
• Geen van de vele aanvallen op de hardware of manipulatie van de Feature Map

Andere deelnemers struikelden over andere hindernissen. Er waren wel enkele gedeeltelijke oplossingen, deze deelnemers hebben we beloond met prijzen tussen 500 en 2000 euro. Hackers of crackers pakken de zaken immers anders aan dan ontwikkelaars, de details over deze gedeeltelijke oplossingen waren belangrijk voor ons. Men had een aantal zwakke plekken in ons systeem ontdekt die we zelf niet eerder hadden gezien. De ontdekking van van deze zwakke punten maakte dat we de totale veiligheid hebben kunnen versterken.

Deeloplossingen
• Gedeeltelijke memory dump
• Klein succes met record/playback techniek
• De deeloplossingen werden beloond met prijzen ter waarde van 16.000 euro

Conclusie

We zien inderdaad dat geen enkel beveiligingssysteem 100% veilig is maar ook dat een zeer hoog niveau kan worden bereikt met:

• Veilige hardware: de CmDongle biedt veilige sleutel-opslag en sterke encryptie in een smart-card chip. Het CodeMeter^® systeem bevat hacker detectie mechanismen die de licentiesleutel vergrendelen wanneer nodig.
• Veilige integratie: de code en de recources van de beveiligde toepassing zijn nooit volledig ontcijferd in het geheugen van de PC. Door variabele encryptie, anti-debugging en obfuscation technieken samen met de tools voor maatwerk op dit vlak in de broncode bereiken we een zeer hoog niveau van beveiliging.