Blurry Box, der robuste Softwareschutz

Teilen:

Wibu-Systems hat den Wettbewerb gewonnen: Keiner der internationalen Teilnehmer konnte die neue Softwareschutz-Technologie knacken

Blurry Box, die neue Softwareschutz-Technologie von Wibu-Systems, ungeknackt beim weltweiten Hackers’ Contest 2017.

Hunderte Teilnehmer aus allen Teilen der Welt haben beim Hacker-Wettbewerb mitgemacht. Die Aufgabe war, den Blurry Box® Softwareschutz eines Computerspiels zu knacken, so dass es auch ohne Lizenz korrekt funktioniert. Blurry Box ist ein neuartiges Schutzverfahren, dessen Mechanismen öffentlich sind und das kürzlich von Wibu-Systems implementiert wurde. Ergebnis: Keiner konnte die neueste Technologie brechen.

Drei Wochen lang arbeiteten die Teilnehmer intensiv an der Aufgabe. Zwei von ihnen haben ihre Ergebnisse an die unabhängige Jury, bestehend aus führenden Wissenschaftlern der IT-Sicherheit des Horst Görtz Instituts (HGI) und des Instituts für Internet-Sicherheit if(is), eingesandt. Keiner der Hacks konnte den Softwareschutz brechen. Die Jury entschied, das Preisgeld von 50.000 Euro nicht auszuzahlen, aber jeder der beiden Einsendungen als Anerkennung 1.000 Euro zuzusprechen. Das verbliebene Geld wird weitere Forschungs- und Entwicklungsaktivitäten stärken.

Wibu-Systems befasst sich seit fast 30 Jahren mit dem Schutz von Know-how in Software und Daten. Das Ergebnis ist CodeMeter. Es bietet Herstellern von Software und intelligenten Geräten Schutz vor Produktpiraterie, Produktfälschung, Reverse Engineering und Software-Manipulation. Zu den wesentlichen Schutzmechanismen von CodeMeter zählt Verschlüsselung: Mit dem AxProtector werden ausführbare Programme ohne Quellcodeänderung verschlüsselt. Der IxProtector verschlüsselt einzelne Funktionen individuell und bietet so einen höheren Schutz vor typischen Hackerangriffen.

Nichtsdestotrotz erfordern einige komplexe und sensible Softwareprodukte noch höheren Schutz. Blurry Box wurde vom Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) des Karlsruher Institut für Technologie (KIT), dem Forschungszentrum Informatik (FZI) und Wibu-Systems entwickelt und 2014 mit dem ersten Platz beim Deutschen IT-Sicherheitspreis ausgezeichnet. Es wurde in CodeMeter integriert und jetzt in dem Wettbewerb öffentlich erprobt. Das Verfahren dupliziert, modifiziert und verschlüsselt einzelne Funktionen, bestimmt zur Laufzeit die passende Variante und berücksichtigt den Programmfluss. Wird eine Funktion benötigt, wird nur diese entschlüsselt, während die anderen Funktionen weiterhin verschlüsselt im Speicher bleiben. Werden nicht benötigte Varianten entschlüsselt, erlischt die Lizenz im Dongle. Brute-Force-Angriffe werden so verhindert. Der Aufwand für einen Angreifer, den Softwareschutz zu entfernen, ist höher als für eine Neuentwicklung.

Oliver Winzenried, Vorstand und Gründer von Wibu-Systems, kürzlich als einer von drei „Top Embedded Innovators“ des Jahres 2017 ausgezeichnet, erklärt: „Heutzutage ist das Internet eine Art digitales Schlachtfeld. Industrie 4.0 und das Internet der Dinge erfordern die besten Schutzmechanismen. Ich sehe unsere Aufgabe darin, die wichtigsten Werte in Unternehmen und im privaten Bereich zu sichern.“

Prof. Dr. (TU NN) Norbert Pohlmann, einer der Juroren des Wettbewerbs und Direktor des Instituts für Internet-Sicherheit if(is), fügt hinzu: „Ich finde es eine sehr gute Idee, dass Hersteller ihre Produkte in einem öffentlichen Wettbewerb „Hacken“ lassen, um damit ein Maß an Transparenz für Sicherheit und Vertrauen aufzubauen. Auch für die „Hacker“ ist dieser Wettbewerb eine sehr gute Möglichkeit, etwas über IT-Sicherheit zu lernen.“

Prof. Dr. Thorsten Holz, auch ein Juror und Stellvertretender Direktor des Horst Görtz Instituts für IT-Sicherheit und Professor für Systemsicherheit, stellt fest: „Blurry Box wurde beim Deutschen IT-Sicherheitspreis, dem höchstdotierten Wettbewerb im Bereich der IT-Sicherheit in Deutschland, im Jahr 2014 mit dem 1. Platz ausgezeichnet. Die kontinuierliche Weiterentwicklung des Konzepts und der nun beendete Wettbewerb entsprechen sehr gut den Zielen des Preises und es ist schön, dass ein konkretes Produkt entwickelt wird. Der Deutsche IT-Sicherheitspreis geht im Herbst 2017 in die neue Runde und ich hoffe auf ähnliche Erfolge für die Zukunft.“

Prof. Dr. Jörn Müller-Quade, Leiter des Instituts für Kryptographie und Sicherheit am Karlsruher Institut für Technologie (KIT) und einer der Partner, der den Wettbewerb organisiert hat, sagt „Ich freue mich über das Ergebnis des Hackers Contests, denn egal wie gut die Analyse im Vorfeld ist, die wirkliche Sicherheit hängt ja auch davon ab, ob die theoretischen Modelle überhaupt nahe genug an der Realität sind. Dies kann man nur durch Beobachtung und Experiment feststellen. Daher benötigt auch die Theorie einen Hackerwettbewerb. Die IT-Sicherheitsforschung im Kompetenzzentrum KASTEL betrachtet Systeme als Ganzes und muss daher viele Disziplinen und Methoden einbinden. Blurry Box zeigt dies beispielhaft.“

Nach oben