Hackers Contest
Um die Sicherheit seiner Schutz- und Sicherheitstechnologien zu beweisen, hat Wibu-Systems inzwischen mehrere Hacker-Wettbewerbe veranstaltet. Hacker unterstützen die Verbesserungsprozesse und beim Wettbewerb können sich selbst Teilnehmer aus Russland und China mit den weltweit höchsten Piraterie-Raten beteiligen. Durch solche Wettbewerbe wollen wir zeigen, dass unsere Produkte zum Nonplusultra an sicheren Lizenzierungs- und Schutztechnologien für Ihr geistiges Eigentum zählen.
Das Ergebnis spricht für sich selbst: Bisher ist es keinem Teilnehmer gelungen, die mit CodeMeter geschützte Beispielsoftware zu knacken. Unsere Kunden können sicher sein, das Wibu-Systems nicht nur von hohen Qualitätsstandards spricht, sondern wirklich alles Nötige tut, bevor ein Produkt auf den Markt kommt – selbst wenn dies bedeutet, die Technologie erst von Hackern, Crackern und Softwarepiraten auf Herz und Nieren prüfen zu lassen.
Weltweiter Hackers‘ Contest 2017
Um die Stärke und Korrektheit der patentierten Blurry Box-Verschlüsselung, die für Debugging und Verschleierung in der CodeMeter Protection Suite sorgt, auf die Probe zu stellen, hat Wibu-Systems die internationalen Hacker dazu aufgerufen, ihr Können im Hacker-Wettbewerb zu beweisen. Im Kern ist die Blurry Box das genaue Gegenteil der trügerischen „Security through Obscurity“: Getreu dem Kerckhoffs’schen Prinzip basiert Blurry Box auf öffentlichen Methoden, die einen erfolgreichen Angriff zu zeit- und ressourcenintensiv machen.
Die Teilnehmer des Wettbewerbs erhielten jeweils eine Spielesoftware, die mit Blurry Box verschlüsselt ist, sowie eine Lizenz im CmDongle. Sie hatten vom 15. Mai bis zum 2. Juni Zeit, um die geschützte Anwendung zu hacken und zu beweisen, dass sie das Spiel ohne Dongle ausführen können. Eine Jury, bestehend aus IT-Sicherheitsexperten und unabhängig von den Ausrichtern des Wettbewerbs Wibu-Systems, demKarlsruher Institut für Technologie (KIT) und dem FZI Forschungszentrum Informatik, hat alle eingereichten Lösungen geprüft.
Keiner der weltweit 315 Teilnehmer konnte einen vollständigen Hack des verschlüsselten Spiels einreichen. Nur zwei Einsendungen wurden von der Jury als Teillösungen anerkannt. Beide nutzen eine Art Replay-Angriff, der jedoch keine gültigen Ergebnisse oder ungeschützte, spielbare Versionen des Spiels lieferte. Die beiden Einsender wurden mit einer freiwilligen Zuwendung von je 1.000 Euro belohnt; die verbleibenden 48.000 Euro des Preisgelds kommen weiterer Forschung und Entwicklungsarbeit zugute.
Hackers' Contest 2011 in Russland
Vom 23.11.2011 bis zum 8.12.2011 fand der erste Hacker’s Contest in Russland statt: CodeMeter® konnte den hohen Sicherheitsgrad beim Schutz von Software beweisen. Keinem der 114 Teilnehmer gelang es, die mit CodeMeter® geschützte Beispielsoftware zu knacken und den ausgelobten Preis von 20.000 Euro einzufordern. Der Weg zum ungeschützten Programm sollte ohne die Nutzung eines Debuggers erfolgen, was die Teilnehmer zu spürten bekamen, die sich nicht daran hielten: in diesem Fall hat sich die Schutzhardware CmStick gesperrt.
Unser Distributionspartner Rainbow Security ist vom Ergebnis begeistert, da es gerade in Russland viele Fachkräfte mit Verschlüsselungserfahrung gibt.
Ergebnis:
- CodeMeter® wurde nicht geknackt.
- Es gab keine Teillösungen.
Hackers' Contest 2010 in Shanghai
Die Chance auf ein Preisgeld von 100.000 RMB (rund 10.800 Euro) haben alle Teilnehmer aus China, die sich für den Hacker’s Contest 2010 registriert haben. Der chinesische Wettbewerb begann am 20. Oktober 2010 und endet am 19. November 2010. Die Aufgabe ist, die geschützte Wettbewerbssoftware so zu verändern, dass sie ohne die Schutzhardware CmStick funktioniert. Reale Bedingungen, wie ein Hacker arbeiten würde, sind beim Wettbewerb besonders berücksichtigt: jeder Teilnehmer bekommt für den Wettbewerb einen CmStick.
Ergebnis:
- CodeMeter® wurde nicht geknackt.
- Es gab keine Teillösungen.
Hackers' Contest 2007
Zum 4. Mal ungeschlagen
Kein Schutz kann hundertprozentig sein. Wibu-Systems führte bereits in der Vergangenheit Wettbewerbe durch, um die Sicherheit des Schutzes auf den Prüfstand zu stellen. Dabei wurde immer nur ein geschütztes Programm herausgegeben und gezeigt, dass dies ohne passende Lizenz in der passenden WibuBox nicht zu knacken ist. Durchaus ein praxisrelevanter Test für Softwarehersteller, die ihre Software zum freien Download auf ihre Webseite stellen wollen.
Im Hacker’s Contest 2007 sind wir einen Schritt weiter gegangen und die Teilnehmer haben das geschützte Programm mit einem CmDongle mit passender Lizenz erhalten. Über Tausend Teilnehmer meldeten sich, die das Preisgeld von 32.768 EUR gewinnen wollten.
Aufgabe
Aufgabe ist, eine mit CodeMeter® geschützte Software so zu verändern, dass sie anschließend ohne angeschlossenen CmDongle vollständig funktioniert.
Das Wettbewerbsprogramm hat 2 Funktionen
- Programm mit CmDongle ausführbar
- Funktion 1: Feature-Bit im CmDongle gesetzt -> läuft
- Funktion 2: Feature-Bit im CmDongle nicht gesetzt
- Beide Funktionen zeigen ein Lösungswort an
- Aufgaben:
- Zwei Lösungswörter ermitteln.
- Programm muss ohne CmDongle komplett ausführbar sein.
- Lösungsweg und geknacktes Programm per E-Mail an Wibu-Systems senden.
Teilnehmer
1092 Teilnehmer aus 27 Ländern nahmen die Herausforderung an und versuchten vom 1. Februar bis 14. März 2007 die Aufgabe zu lösen und das attraktive Preisgeld von 32.768 EUR zu gewinnen. Die meisten Teilnehmer kamen aus Deutschland, gefolgt von China, den USA, den Niederlanden, Polen, Ungarn, Frankreich, England und der Ukraine.
Ergebnis
Obwohl die Aufgabe lösbar war, ist es keinem der Teilnehmer gelungen, den Schutz vollständig zu umgehen. Bei den meisten Teilnehmern hat die Angriffserkennung des geschützten Programms zugeschlagen und die Lizenz im CmDongle gesperrt. Damit hätten weitere Angriffe die Entschlüsselung mit Brute Force notwendig gemacht, was aufgrund der 128-Bit AES-Verschlüsselung keine große Aussicht auf Erfolg gehabt hätte.
Keinem gelang die vollständige Lösung:
- Kein Angriff auf Verschlüsselung
- Kein Angriff auf Hardware oder Manipulation der Feature Map
Andere Teilnehmer sind an anderen Hürden gescheitert. Dennoch haben wir einige Teillösungen erhalten und diese auch mit jeweils 500 bis 2.000 EUR prämiert. Hacker oder Cracker gehen anders vor als unsere Entwickler. Die Teilnehmer bekamen eine Prämie auch für die Teillösung und wir wichtige Erkenntnisse, um unser Schutzsystem weiter zu verbessern. Die Teillösungen umfassten partielle Memory Dumps und auch Versuche, durch Record-Playback der Kommunikation des geschützten Programms mit dem CodeMeter® Runtime Programm den CmDongle zu ersetzen.
Teillösungen:
- Partieller MemoryDump
- Partieller Record/ Playback Ansatz
- Teillösungen mit insgesamt 16.000 EUR prämiert
Fazit
Sicherlich kann kein Schutzsystem einen hundertprozentigen Schutz bieten.
Ein sehr hoher Schutzgrad ist jedoch erreichbar durch:
- Sichere Hardware: Der CmDongle bietet einen sicheren Schlüsselspeicher und harte Verschlüsselung im SmartCard Chip sowie eine Angriffserkennung (Crack Detection), die Schlüssel sperren kann.
- Technologien zur Integration: Code und Resourcen geschützter Anwendungen sind niemals komplett entschlüsselt im Hauptspeicher des PC. Variierende Verschlüsselung, Anti-Debug- und Obfuskatortechniken sowie Tools zur individuellen Integration in den Quellcode erhöhen die Sicherheit nochmals.