Hackers Contest
Wibu-Systems has been organizing hackers' contests for many years to prove the strength of its protection and security technologies. By involving hackers early on in the process and letting the door open even to countries like Russia and China known to have the highest piracy rates in the world, we prove that our products represent the pinnacle of secure licensing and intellectual property protection.
And the result is: No contestant has ever succeeded in cracking the sample application protected by CodeMeter. Customers can stay reassured that Wibu-Systems does not just enforce high quality standards of its own, but is also taking the necessary steps to have hackers, crackers, and pirates test its technology first hand before it is commercialized.
Global Hackers' Contest 2017
To test the validity and strength of the newly patented encryption method Blurry Box, integrated with the anti-debug and obfuscation methods of CodeMeter Protection Suite, we launched a new contest, open to all hackers around the globe. The underlying principle of Blurry Box is the exact opposite of “security through obscurity”; based on Kerckhoffs’ Principle, Blurry Box cryptography uses published methods that greatly increase the complexity and time required for an attack to be successful.
The contenders were delivered a game application protected with Blurry Box cryptography that came with its license stored in a CmDongle. Between May 15th and June 2nd, they were requested to hack the protected game and prove they could run it without the provided dongle and without any Internet connection to a jury consisting of IT security scientists and independent from the challenge partners (Wibu-Systems, Karlsruhe Institute of Technology, and FZI ResearchCenter for Information Technology).
None of the 315 international contendants managed to send in a full crack of the encryption scheme. The only two exploits that were received were found to be incomplete: They simulated a record playback attack that did not lead to any valid result or playable game. The two participants who submitted their partial solution received a volunteer award of €1,000 each. The remaining €48,000 of the original prize at stake will go towards further research and development.
CodeMeter houdt stand in hackers contests
Wibu-Systems organiseert al vele jaren “Hacker Contests” om de sterkte van de CodeMeter® beveiliging te bewijzen. Deze werden gehouden in West-Europa, Rusland en China (in China en Rusland gelden de hoogste percentages piraterij in de wereld) om aan te tonen dat we het hoogste niveau van veilige licentiëring en bescherming van intellectueel eigendom kunnen bieden. Geen deelnemer is er ooit in geslaagd om de voorbeeld toepassing beschermd door CodeMeter® te kraken.
6e Hacker Contest 2011 in Rusland
De meest recente hackers contest werd van 23 november tot 8 december 2011 in Rusland gehouden. De hackers werden getriggerd door de hoofdprijs van 20.000 euro voor iedereen die de met CodeMeter beschermde applicatie kon kraken. Toegang tot de toepassing moest worden verkregen zonder gebruik te maken van een debugger. Direct na detectie van een debugger blokkeert de CmStick de licentie voor de software en kan deze niet verder worden geopend. CodeMeter ® heeft tijdens deze wedstrijd nog eens bewezen dat het een goede bescherming van software biedt. Niet een van de 144 deelnemers was in staat om de CodeMeter ® beschermde voorbeeld applicatie te kraken. Onze distributiepartner in Rusland - Rainbow Security - was heel enthousiast over de resultaten met name gelet op het aantal encryptie (en decryptie!) experts die in dat land wonen.
De bottom line: CodeMeter ® opnieuw niet gekraakt. Ook geen deeloplossingen.
5e Hacker Contest 2010 in Shanghai
Alle deelnemers van de Chinese versie van de Contest in 2010 hadden een kans op het winnen van de prijs van 100.000 RMB. De wedstrijd begon op 20 oktober 2010 en eindigde op 19 november 2010. De opdracht was om de beschermde toepassing te kraken, zodat deze werkt zonder de CmStick. Om iedereen een eerlijke kans te geven werd er aan elke geregistreerde deelnemer een CmStick verstrekt.
De bottom line: CodeMeter ® was opnieuw succesvol. CodeMeter ® werd niet gekraakt. Zelfs geen gedeeltelijke hacks.
4e Hacker Contest in West-Europa
In onze Hackers Contest 2007, gingen we een stap verder en ontvingen de deelnemers niet alleen de beveiligde toepassing maar ook een CmDongle met de bijbehorende licentie. Meer dan duizend deelnemers hadden zich ingeschreven voor de wedstrijd met een prijzengeld ter waarde van 32.768 euro.
Opdracht
Om de wedstrijd te winnen moest software beschermd door CodeMeter® zodanig gemanipuleerd worden dat deze draaide zonder de CmDongle.
Het programma
- Enkel uitvoerbaar met CmDongle
- Functie 1: Feature bit geset in de CmDongle -> run
- Functie 2: Feature bit niet geset in de CmDongle
- Beide functies geven een wachtwoord weer
Opdracht
- Ontdek de twee wachtwoorden.
- Programma moet volledig uitvoerbaar zijn zonder de CmDongle.
- Stuur de oplossing en het gekraakte programma via e-mail naar Wibu-Systems.
Deelnemers
1092 deelnemers uit 27 landen deden mee met de wedstrijd en hadden tot zes weken de tijd om de kopieerbeveiliging te verwijderen en het aantrekkelijke prijzengeld van 32.768 euro op te eisen. De meeste deelnemers kwamen uit Duitsland, China, de VS, Nederland, Polen, Hongarije, Frankrijk, Groot-Brittannië, en de Oekraïne.
Resultaat
Hoewel het theoretisch oplosbaar was, kon geen van de deelnemers de beveiliging volledig verwijderen van het programma. Het merendeel van de deelnemers viel in de val bij een poging om de detectie van indringers te by-passen en zagen de licentie in de CmDongle benodigd voor verdere ontsleuteling van de software direct geblokkeerd worden. De enige resterende optie is dan om met een brute force attack op zoek te gaan naar de juiste sleutel voor het decoderen van de code. De kans op het breken van de 128-bits AES-encryptie is praktisch nul.
Niemand slaagde volledig
- Geen van de vele aanvallen tegen de versleuteling
- Geen van de vele aanvallen op de hardware of manipulatie van de Feature Map
Andere deelnemers struikelden over andere hindernissen. Er waren wel enkele gedeeltelijke oplossingen, deze deelnemers hebben we beloond met prijzen tussen 500 en 2000 euro. Hackers of crackers pakken de zaken immers anders aan dan ontwikkelaars, de details over deze gedeeltelijke oplossingen waren belangrijk voor ons. Men had een aantal zwakke plekken in ons systeem ontdekt die we zelf niet eerder hadden gezien. De ontdekking van van deze zwakke punten maakte dat we de totale veiligheid hebben kunnen versterken.
Deeloplossingen
- Gedeeltelijke memory dump
- Klein succes met record/playback techniek
- De deeloplossingen werden beloond met prijzen ter waarde van 16.000 euro
Conclusie
We zien inderdaad dat geen enkel beveiligingssysteem 100% veilig is maar ook dat een zeer hoog niveau kan worden bereikt met:
- Veilige hardware: de CmDongle biedt veilige sleutel-opslag en sterke encryptie in een smart-card chip. Het CodeMeter® systeem bevat hacker detectie mechanismen die de licentiesleutel vergrendelen wanneer nodig.
- Veilige integratie: de code en de recources van de beveiligde toepassing zijn nooit volledig ontcijferd in het geheugen van de PC. Door variabele encryptie, anti-debugging en obfuscation technieken samen met de tools voor maatwerk op dit vlak in de broncode bereiken we een zeer hoog niveau van beveiliging.