Software Kopierschutz

illuminator

Bei uns stellte sich vor kurzem auch gerade so eine Frage.

Da wir dann aber doch eine sehr spezielle Software haben und einen sehr speziellen Kundenkreis der ohne Consulting Unterstüzung eh kaum was damit Anfangen könnte, muss man sich wenig Gedanken darum machen machen das sich die Software unkontrolliert verbreitet.
Wir haben ein einfach Lizenzkey gebunden an den Lizenznamen-Verfahren gewählt ohne großartigen Cracker-Schutz oder dergleichen.

Wenn die Software Druck-Ausgaben macht steht dann irgendwo neben dem Datum der Erstellung der Lizenzname. Ebenso in den Titeln der Applikation wird diese Name angezeigt.

Passen Lizenz-Key und -Name nicht zusammen starten die Anwendungen nicht.

Wir selber haben Probleme mit gekaufter Software die an die CPU-ID gefesselt ist.
Versucht mal, bei einem IT-Audit dem Prüfer mitzuteilen, dass es für das eine System kein Backup gibt, da wenn dort die CPU durchbrennt oder dergleichen diese Software erstmal nirgendwo läuft.
Für eine zusätzliche Reserver-Lizenz verlangt der Lieferant nochmal den vollen Lizenzpreis(1xx.xxx Euro). Im Katastrophen-Fall würde man uns einen neuen Key erzeugen, aber das dauert länger gut ist (CPU-ID ermitteln, denen geben, die schickens zu den Entwicklern in die USA die dann irgendwann wenn sie Lust haben den Key schicken.

Tja, wenn wir könnten würden wie diese Software eher früher als später ablösen ...

Dravere

Simon2 schrieb:

Also "ladet" finde ich in meinem Duden auch nicht.:D

Ups, lädt? Das kommt daher, dass ich normalerweise Schweizerdeutsch rede. Da gibt es manchmal gewisse Komplikationen
Aber ein wenig selber mitdenken schadet ja auch nichts, oder? ^^

Simon2 schrieb:

Und ich weiß halt ebensowenig, wer "er" ist ...

Ja, also mitdenken schadet nicht. Wer hat vor dir einen Post verfasst. Schon mal was von einem ertertret gelesen? Also das geht meiner Meinung nach ganz klar hervor, aber naja ...
1. Erwarte ich wohl oft zuviel und
2. Sind wir inzwischen ziemlich im Off Topic.

Grüssli

Bierversilberer

@Angestellter:
Sehr schwer zu fälschen ist auch die Seriennummer des BIOS.
BTW: Darf man fragen, was genau das für eine Software ist?

golden_jubilee

http://www.cdw.de.vu/

wenn ich da so an leute wie cdw denke, hast du sowieso keine chance

Simon2

Dravere schrieb:

...selber mitdenken schadet ja auch nichts, oder?...

Es schadet auch nichts, Anderen eine Basius zum Mitdenken zu geben.
Ich habe verstanden, dass
- Du mit "er" Angestellter meinst oder mich und
- unter "nicht merken" verstehst: Angestellter merkt nicht, wenn jemand seine Software crackt.
Dann lies Dir unter der Prämisse mal Dein Post durch und sag' mir, wie weit Du da mit "selbst mitdenken" kommst.
OK, Du meintest wohl ertertret und dann verstehe ich es auch, was Du sagen wolltest ...

Letztlich kannst Du nicht davon ausgehen, dass wir hier automatisch Deine Einstellung zum Thema "Lizenkosten" kennen und deswegen automatisch verstehen, dass Dir klar ist, dass solche Lizenzkosten normal sind ...
Das ist das Problem mit Ironie im Forum: Selten hat man genug Informationen über den Schreiber, um sie erkennen zu können (Du weißt z.B. auch nicht, ob ich vielleicht einfach ein zynisches A-Loch bin, der das hier auch nru ironisch meint ).

Gruß,

Simon2.

Marc++us

Warum ist eine Dongle-Lösung eigentlich zu teuer? Ein USB-Dongle kostet ja kaum noch was.

rüdiger

Marc++us schrieb:

Warum ist eine Dongle-Lösung eigentlich zu teuer? Ein USB-Dongle kostet ja kaum noch was.

Einen USB-Stick kann man dafür ja kaum nehmen, da der ja leichter kopiert ist, als einem Lieb ist. Schwieriger wird es vielleicht, wenn man irgend eine ID des Chips über den USB-Bus auswertet. Aber im Grunde dürfte es kinderleicht sein für einen Cracker die Abfrage des USB-Dongles zu entfernen (oder ein Emulations-Layer zu schreiben), sogar leichter als alles andere, da er ja nur nach Lese/Screib-Aktionen auf dem USB-Device gucken muss.

Das einzige was funktionieren würde, wäre die Auslagerung von Programmfunktionalität auf eine Smart-Card. Dann müsste der Cracker die Funktionalität neu schreiben. Dann sind wir aber sicher in keinem Bereich mehr der billig ist.

Angestellter

@Bierversilberer: Das das Bios eine Seriennummer hat wußte ich noch nicht. Werd mal schauen ob ich das verwenden kann. Vielen Dank

@hustbaer: Aladdin haben wir übersehen. Ein zentraler Dongle Server wäre auch interessant. Weißt Du zufällig wieviel so ein Dongle+Server-SW kostet? Das es von der Stückzahl abhängen würde weiß ich. Einfach ein paar Zahlen zum orientieren...

@Bierversilberer: Es ist eine Planungssoftware für bestimmte Infrastrukturen die fast nur in Ballungsräumen eingesetzt wird. Falls Ihr keine Millardäre/Großunternehmer seid könnt Ihr wirklich nichts damit anfangen. *g*

@Marc++us: Bei den Firmen die für uns in Frage kommen würde ein Dongle 30-100 Euro kosten; je nach Abnahmemenge. Bei 300 aktuellen Lizenzen + die die hoffentlich durch unsere neue Lizenzpolitik hinzukommen würden *g* wären mit einem Schlag mehrere 1000 Euro weg. Wir sind mehr so die 10 Mann Firma... da müssten wir so eine Investition erstmal wieder rausholen. Außerdem wäre das für unsere Kunden eine große Umstellung. Da fangen wir am besten erstmal klein an. Mit einer Lizenz und etwas Kopierschutz. Am Ende werden wir aber vermutlich auch einen Dongle einsetzen. Die meisten Kunden sind hoffentlich ehrlich und die wollen wir nicht vergraulen...

@Rüdiger: So einfach ist das auch nicht. Wir haben uns einen Probedongle zuschicken lassen.
Es läuft etwa so: Dort ist ein Chip drauf der RSA/AES kann + einen WriteOnly Speicher + einen ReadWrite Speicher. Der Key wird bei uns in der Firma auf den Dongle in den WriteOnly Speicher draufgeschrieben und in unsere Datenbank gespeichert. Der Dongle stellt keine Funktion bereit um den Key wieder auszulesen. Angeblich soll der Dongle auch Flex sicher sein. Man kann ihn also nicht öffnen und das EEPROM irgendwo anders anschließen. (Steht jedenfalls im Prospekt.)
Man könnte nun in den Lizenzcode die HD Serial, die MAC und ev die Bios Serial schreiben und diesen dann mit dem Key in der Datenbank verschlüsseln und dem Kunden zuschicken. Unsere SW würde dann mit Dongle die Lizenz wieder entschlüsseln und nachschauen ob die Serials in der Lizenz mit den auf dem aktuellem Computer übereinstimmten. Nun wirst Du sagen: Man kann die Dongle Aufrufe aus der SW entfernen.
Das könnten wir durch unsere ständigen Updates und unsere InputDaten für das Programm verhindern. Wenn wir diese auch mit dem Key auf dem Dongle verschlüsseln, müsste der Hacker ständig hinterher hacken. Jedes Update jeden Datensatz von uns müsste er bearbeiten. Momemtan geht unsere Überlegungen aber dahin den Verschlüsselungsalgo anstatt auf dem Dongle erstmal in unsere App einzukompilieren.

rüdiger

Angestellter schrieb:

Das könnten wir durch unsere ständigen Updates und unsere InputDaten für das Programm verhindern. Wenn wir diese auch mit dem Key auf dem Dongle verschlüsseln, müsste der Hacker ständig hinterher hacken. Jedes Update jeden Datensatz von uns müsste er bearbeiten. Momemtan geht unsere Überlegungen aber dahin den Verschlüsselungsalgo anstatt auf dem Dongle erstmal in unsere App einzukompilieren.

Das ist ja kein Problem. Dann liest der Cracker einfach die Sachen die das Dongle zurück liefert aus (das ist ja keine große Schwierigkeit, die Daten mitzusniffen oder mit einem Debugger aus dem Speicher zu extrahieren). Wenn ihr den Algo in die App einbaut habt ihr eh verloren, weil man dann einfach den Schlüssel auslesen kann.

rapso

rüdiger schrieb:

Angestellter schrieb:

Das könnten wir durch unsere ständigen Updates und unsere InputDaten für das Programm verhindern. Wenn wir diese auch mit dem Key auf dem Dongle verschlüsseln, müsste der Hacker ständig hinterher hacken. Jedes Update jeden Datensatz von uns müsste er bearbeiten. Momemtan geht unsere Überlegungen aber dahin den Verschlüsselungsalgo anstatt auf dem Dongle erstmal in unsere App einzukompilieren.

Das ist ja kein Problem. Dann liest der Cracker einfach die Sachen die das Dongle zurück liefert aus (das ist ja keine große Schwierigkeit, die Daten mitzusniffen oder mit einem Debugger aus dem Speicher zu extrahieren). Wenn ihr den Algo in die App einbaut habt ihr eh verloren, weil man dann einfach den Schlüssel auslesen kann.

und was wenn jedesmal andere daten ausgelesen werden die mittels der software verifiziert werden?

rüdiger

rapso schrieb:

und was wenn jedesmal andere daten ausgelesen werden die mittels der software verifiziert werden?

Meinst du so etwas? Man schickt Zufallsdaten rein, lässt die SmartCard die Daten signieren, dann verifiziert man die Signatur.

Das Problem ist nur, ein Cracker kann die Daten beeinflussen die du reinsteckst. Also patcht er einfach die Zufallsdaten-Funktion und schicken Daten, die er schon in einer signierten Form hat und liefert dann die Signatur zurück.

rapso

rüdiger schrieb:

Das Problem ist nur, ein Cracker kann die Daten beeinflussen die du reinsteckst. Also patcht er einfach die Zufallsdaten-Funktion und schicken Daten, die er schon in einer signierten Form hat und liefert dann die Signatur zurück.

was wenn es keine zufallszahlen sind, sondern nutzdaten, die kann er nicht veraendern ohne dass das programm misst als antwort bekommt.

rüdiger

rapso schrieb:

rüdiger schrieb:

Das Problem ist nur, ein Cracker kann die Daten beeinflussen die du reinsteckst. Also patcht er einfach die Zufallsdaten-Funktion und schicken Daten, die er schon in einer signierten Form hat und liefert dann die Signatur zurück.

was wenn es keine zufallszahlen sind, sondern nutzdaten, die kann er nicht veraendern ohne dass das programm misst als antwort bekommt.

Man kann ja immer noch die Überprüfung der Signatur entfernen.

Nach meiner Ansicht gibt es keine absolut keine Möglichkeit einen sinnvollen Kopierschutz umzusetzen, außer man lagert Funktionen des Programmes so aus, dass der Nutzer sie nicht erreichen/beeinflussen kann.

rapso

rüdiger schrieb:

rapso schrieb:

rüdiger schrieb:

Das Problem ist nur, ein Cracker kann die Daten beeinflussen die du reinsteckst. Also patcht er einfach die Zufallsdaten-Funktion und schicken Daten, die er schon in einer signierten Form hat und liefert dann die Signatur zurück.

was wenn es keine zufallszahlen sind, sondern nutzdaten, die kann er nicht veraendern ohne dass das programm misst als antwort bekommt.

Man kann ja immer noch die Überprüfung der Signatur entfernen.

kann man, nur bekommt man dadurch noch lange nicht die gewuenschten nutzdaten wieder

Angestellter

Jede Sw ist crackbar. Aber durch die Updates muß der Cracker jedes mal neu ran. Den Verschlüsselungskey kriegt er nicht raus. Wir könnten zB. Teile unseres Programmcodes verschlüsselt verschicken. (Als String.) Oder einen zwerwürfler der ihn zwingt jedes mal einen neuen Crack zu erstellen.

Wenn wir es so schwer machen werden 99,9% der Anwender unsere SW nicht cracken können. Und der der es kann/macht müsste schon Zeit reinstecken. Und wenn dieser jemand es crackt würden uns nur ein paar Lizenzen verloren gehen. Die Crackerfirma geht auf der anderen Seite noch das Risko ein von uns verklagt zu werden wenn es rauskommt. Außerdem würden wir ihnen niemals mehr Lizenzen verkaufen.

Würde der Cracker die SW in P2P anbieten oder ähnliches, würden wir einfach in jede ausgelieferte SW eine kleine ID pro Kunden einbauen und dann schauen wo das Leck ist. Ich habe schon des öffteren in eMule und AltavistaBox nach unserer SW gesucht aber nichts gefunden. Für uns kleine Firmen ist SW Schutz auf diese Weise recht effektiv machbar.

andere idee

habt ihr nen server der von außen zugreifbar ist? Haben die Rechner auf denen die SW normal läuft internet verbindung? dann könnt ihr für jeden kunden ne lizenznummer generieren. mit der registriert sich die software beim start immer am server und beim beenden meldet sie sich wieder ab. wenn sich dann für eine Lizenznummer zuviele anmelden, dann wisst ihr, dass sie zuviele kopien einsetzen.

hustbaer

Leute, man lässt sich einfach Nutzdaten vom Dongle entschlüsseln. Weder signieren noch sonstwas, aber wenn der Dongle die Daten entschlüsseln muss, dann kann der Hacker garnix machen, solange er nicht an den Key drankommt bzw. an die Daten.
Wenn die Daten aber "aktuell" sind und nur verschlüsselt kommen, und der Key nicht auslesbar ist...

@OP: nein, ich weiss leider keine Preise. Ich kenne die Firma nur, und weiss dass die auch so Server-Lösungen anbieten.

der finder

Simon2 schrieb:

Also "ladet" finde ich in meinem Duden auch nicht.:D

google sagt

Ladet alles auf euren eigenen Server hoch. ...

Kauft euch alles was ihr brauacht, ladet alles auf zig Karren und werdet reich ...

Da rief Paschasius Hurenknechte und sprach zu ihnen "Gehet hin, und ladet alles Volk zu ihrem Leib, sie sollen ihn genießen, bis man sie tot finde". ...

Shinja

OT: Ja, ladet als Wort gibt es, aber nicht so, wie er es benutzt hat.

micha197

Ein Dongle-Schutz nur dazu zu verwenden, um ein Lizenzfile zu entschlüsseln und anschliessend den Inhalt zu vergleichen, hierzu ist ein Dongle ein wenig überdimensioniert. Hier würde auch eine reine Softwarelösung vollkommen ausreichen. Ein Dongle-System hat seine Stärke wenn es darum geht:

1. Verknüpfung der Software mit einer Hardware und dennoch portabel zu sein.
2. Aktivieren mehrerer Features in der Software und Verknüpfung mit bestimmten Lizenzbedingungen.
3. Auslagern von Codeteilen und/oder Daten in den Dongle-Speicher.

Eine recht günstige Softwarelösung wäre z.B. Enigma Protector. Wenn es um bestmöglichen Schutz geht wären ExeCryptor oder Themida zu empfehlen.

Als Dongle-System wäre Wibu zu empfehlen. Mit ihrem CodeMeter-Dongle bieten Wibu die Möglichkeit, in einem Dongle mehrere Lizenzen von verschiedenen Softwareherstellern verwalten zu können. Für den Anwender hat dies den Vorteil, dass er nur noch einen Dongle hat. Vorteil für den Softwarehersteller ist, dass sollte der Kunde über einen CodeMeter-Dongle verfügen, er nur noch seine Lizenz in den Dongle eintragen muss und sich somit die Kosten für den Dongle spart. Wenn es um Hacker-Schutz geht bietet Wibu die Möglichkeit, den Dongle sperren zu können wenn ein Hackerangriff erfolgt. Dies bietet zusätzlich einen Schutz, wenn es um das Hacken mit vorhandenem Dongle geht.