computerwoche.de

Web

CeBIT: Hacker beißen sich an Codemeter von Wibu die Zähne aus

15.03.2007
Um seinen Softwareschutz Codemeter auf Herz und Nieren zu testen, hatte Wibu-Systems im Vorfeld der CeBIT einen sechswöchigen "Hacker's Contest" veranstaltet. Das Ergebnis, das die Karlsruher am Donnerstag verkünden konnten: Niemandem gelang es, den Schutz komplett auszuhebeln.

Für einen vollständigen Lösungsweg waren 40.000 Dollar Preisgeld ausgelobt worden. Teillösungen honorierte Wibu-Systems insgesamt noch mit der Hälfte dieser Summe. Neun Hacker reichten zumindest Ansätze ein und dürfen sich nun auf Gewinne zwischen umgerechnet 500 und 2000 Euro freuen. Insgesamt hatten sich 1092 Teilnehmer aus 27 Ländern an dem Wettbewerb beteiligt - die meisten von ihnen aus Deutschland, China und den USA. Nach Angaben von Wibu waren auch einige Profis darunter. Doch auch sie konnten Codemeter nicht entschlüsseln.

Der Codemeter-Schutz funktioniert über einen USB-Stick oder ein anderes externes Speichermedium, auf dem die Lizenzen für zu schützende Programme gespeichert sind. Ist der Stick nicht an den Rechner angeschlossen, lässt sich die Software nicht starten.

Um es besonders spannend zu machen, hatte Wibu beim mittlerweile vierten Wettbewerb neben einer geschützten Software allen Teilnehmern erstmals auch Teile der Lizenz via Stick dazugeliefert. Damit konnte das Wettbewerbsprogramm zwar gestartet werden, ein fehlendes Lizenzbit verhinderte aber die Verwendung einer bestimmten Funktion. Um den Contest zu gewinnen, musste genau dieses Programm-Feature ausgeführt werden, das einen Lösungssatz auf dem Bildschirm anzeigte. Der Satz ("To pi or not to pi, that is the question") sollte zusammen mit dem Lösungsweg per E-Mail an Wibu gesendet werden. Die Hacker hätten also entweder die Verschlüsselung der Software knacken oder das Lizenzbit manipulieren müssen. Vollständig gelungen ist dies keinem.

Viele Teilnehmer erzeugten ein Memory-Dump, ein Abbild des Arbeitsspeichers, um die Datenkommunikation zwischen Dongle und Software nachzuvollziehen und damit einen Dongle emulieren zu können. Damit lief die Software zwar ohne USB-Stick, der Verschlüsselungs-Algorithmus oder das fehlende Lizenzbit ließen sich auf diese Weise aber nicht ermitteln. Auch eine Aufzeichnung der übermittelten Daten des TCP-IP-Protokolls brachte keinen Erfolg.

Oliver Winzenried, Vorstand von Wibu-Systems, erklärte, dass nur eine Analyse der Hardware und ein Angriff auf die Feature-Map der Software, der Schnittstelle zwischen Programm und Eingabegeräten, zum Erfolg hätte führen können. Viele Teilnehmer hätten dies genauso gesehen, wegen der Verwendung dauernd wechselnder Algorithmen und der On-the-Fly-Verschlüsselung nicht benötigter Programmteile im laufenden Betrieb sei der Schutz aber so gut wie nicht zu knacken, so Winzenried.

Trotzdem könne keine Software 100-prozentige Sicherheit bieten, wies der Vorstandschef auch auf das Geschäftsrisiko hin, das Wibu mit dem "Hacker's Contest 2007" eingegangen war. Da Hacker bei Software-Tests aber oft vollkommen anders vorgehen als Software-Entwickler, bestand für die Karlsruher auch eine Chance in diesem Wettbewerb: Die finanziell belohnten Lösungsansätze will Wibu nutzen, um Codemeter noch weiter zu verbessern. (sh)