Хакерский чемпионат
Wibu-Systems has been organizing hackers' contests for many years to prove the strength of its protection and security technologies. By involving hackers early on in the process and letting the door open even to countries like Russia and China known to have the highest piracy rates in the world, we prove that our products represent the pinnacle of secure licensing and intellectual property protection.
And the result is: No contestant has ever succeeded in cracking the sample application protected by CodeMeter. Customers can stay reassured that Wibu-Systems does not just enforce high quality standards of its own, but is also taking the necessary steps to have hackers, crackers, and pirates test its technology first hand before it is commercialized.
Global Hackers' Contest 2017
To test the validity and strength of the newly patented encryption method Blurry Box, integrated with the anti-debug and obfuscation methods of CodeMeter Protection Suite, we launched a new contest, open to all hackers around the globe. The underlying principle of Blurry Box is the exact opposite of “security through obscurity”; based on Kerckhoffs’ Principle, Blurry Box cryptography uses published methods that greatly increase the complexity and time required for an attack to be successful.
The contenders were delivered a game application protected with Blurry Box cryptography that came with its license stored in a CmDongle. Between May 15th and June 2nd, they were requested to hack the protected game and prove they could run it without the provided dongle and without any Internet connection to a jury consisting of IT security scientists and independent from the challenge partners (Wibu-Systems, Karlsruhe Institute of Technology, and FZI ResearchCenter for Information Technology).
None of the 315 international contendants managed to send in a full crack of the encryption scheme. The only two exploits that were received were found to be incomplete: They simulated a record playback attack that did not lead to any valid result or playable game. The two participants who submitted their partial solution received a volunteer award of €1,000 each. The remaining €48,000 of the original prize at stake will go towards further research and development.
На протяжении многих лет Wibu-Systems организует хакерские чемпионаты (“Hacker Contests”), чтобы доказать стойкость системы защиты CodeMeter®. Чемпионаты были проведены в Германии, России и Китае (при том, что Россия и Китай имеют самый высокий процент пиратства во всем мире), доказывающие, что мы предлагаем высокий уровень защиты интеллектуальной собственности и лицензирования. Ни один из участников за все это время не преуспел во взломе приложений, защищенных CodeMeter®.
Хакерский чемпионат 2011 в России
Последний хакерский чемпионат, который мы проводили, состоялся в России в период с 23 ноября по 8 декабря 2011 года. Вознаграждение в денежном размере 20,000 евро предназначалось тому, кто взломает защиту CodeMeter. Доступ к приложению необходимо было получить без использования отладчика. В противном случае, аппаратный ключ CmStick блокировал лицензию для доступа к ПО. CodeMeter® многократно доказывал свою комплексную безопасность в процессе защиты ПО. Ни один из 144 участников не смог взломать приложение, защищенное CodeMeter®. Наш российский партнер – Rainbow Security – был удивлен таким результатам особенно, ознакомившись с количеством экспертов в области шифрования, проживающих в стране.
Вывод: CodeMeter® так и не был взломан и даже промежуточные решения не были найдены.
Хакерский чемпионат 2010 в Шанхае
Все зарегистрированные участники хакерского чемпионата 2010 имели шанс выиграть денежный приз в размере 100,000 юаней. Чемпионат начался 20 октября 2010 и закончился 19 ноября 2010. Необходимо было взломать защищенное приложение, специально реализованное для чемпионата, без аппаратного ключа защиты CmStick. Каждый из участников получил по ключу CmStick.
Вывод: CodeMeter® не был снова взломан.
CodeMeter® устоял к атакам и даже частичное решение не было найдено.
Хакерский чемпионат 2007
Чемпионат Wibu-Systems: победа 4 раза
Ни одна система защиты не может быть безопасна на 100%. Но мы предпринимаем все необходимые меры. Ранее мы организовывали чемпионаты, чтобы проверить уровень безопасности наших продуктов. На этих соревнованиях публично предоставлялось защищенное ПО, в результате которых защита так и не была взломана, следовательно, оно не было запущенного без необходимой лицензии, находящейся в аппаратном ключе WibuBox. Такой практический тест был необходимым для разработчиков программного обеспечения, которые хотели бы публиковать свое ПО для свободного скачивания с сайта.
На соревнованиях 2007 года мы не только обеспечили участников защищенным ПО, но и предоставили им аппаратный ключ CmDongle с соответствующей лицензией. Более чем 1000 участников приняли участие за вознаграждение в 32768 евро (или $ 40000).
Задача
Для победы необходимо было произвести ряд манипуляций с кодом ПО, защищенным CodeMeter®, чтобы оно запустилось без CmDongle.
- Реализация 2 функций:
- Программа запускалась только с CmDongle
- Обе функции отображают пароль
- Задача:
- Подобрать 2 пароля
- Программа должна полностью запускаться без ключа CmDongle
- Отправить решение и взломанную программу по электронной почте в Wibu-Systems
Участники
1092 участника из 27 стран приняли участие в соревнованиях и в течение 6 недель должны были удалить защиту и получить приз размером 32768 евро (или US $ 40000). Большая часть участников прибыли из Германии, Китая, США, Нидерландов, Польше, Венгрии, Франции, Великобритании и Украины.
Результат
Хотя теоретически задача была решаема, но ни один из участников так и не смог снять защиту полностью. Большинство участников, пытаясь обойти защиту, попадали в «ловушку», таким образом, заблокировав аппаратный ключ CmStick. Оставалось только одно – использовать атаку методом "грубой силы" для дешифрования кода. Шансы взломать 128-битный ключ AES практически были нулевыми.
- Никто так и не достиг успехов
- Никаких атак на систему шифрования
- Никаких атак на аппаратный ключ и манипуляций и параметра Feature Map
Другие участники столкнулись с другими препятствиями. Но мы получили несколько хороших частичных решений и наградили участников от 500 до 2000 евро. Подход хакеров является отличным от подхода разработчиков, поэтому получение частичных решений для нас было хорошими входными данными для усиления нашей системы защиты в комплексе.
- Частичные решения
- Реализация частичного дампа памяти
- Реализация частичного метода атаки «запись-воспроизведение»
- Частичные решения обеспечивались наградой в размере 16000 евро
Нижняя планка
Мы согласны с тем, что нет системы защиты, которая позволяет обеспечить 100% уровнем безопасности, однако, достижение высокого уровня безопасности возможно за счет:
- Безопасность аппаратного ключа: CmDongle обеспечивает безопасным ключевым хранилищем и шифрованием на борту чипа смарт-карты. Система CodeMeter® также обеспечивает функциями детекции атак, которые позволяют заблокировать доступ к лицензии.
- Безопасная технология интеграции: исходный код и ресурсы защищенного приложения никогда полностью не расшифровываются в памяти ПК. Технологии обнаружения отладчиков, динамического шифрования и обфускации кода, а также механизмы интеграции системы в исходный код используются для увеличения уровня безопасности приложения.