Schutz der Software

Schutz der Software (41 Beiträge, 872 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Wie schützt ihr euer Firmen Know-How welches in den Programmen verwendet wird?

Hintergrund: Ich suche eine bzw. eine Kombination von Software die 3 Themen erledigt:

-Schutz vor unerlaubter Verwendung der Software
-Schutz vor unerlaubtes Kopieren der Software wenn Sie auf einem Rechner installiert ist.
-Verschlüsselung des Quellcodes.

Danke,

What we're dealing with here is a total lack of respect for the law.
... *PIEP* 'em and their law ^^

...und solltest Du irgendwas erfinden das auch nur eines davon tatsächlich schafft bist Du reich...

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

hehe

mir geht es nicht darum den weltbesten hacker da auszusperren sondern firmen Ma. die auf weniger vertrauenswürdigen Standorten das know-how nehmen und sich bei anderen firmen damit bewerben wollen maximal zu behindern.

lokale Installationen sind vorerst nicht zu erwarten. eher in die richtung Win 2008 r2 server mit remote zugriff.

What we're dealing with here is a total lack of respect for the law.
... *PIEP* 'em and their law ^^

-Schutz vor unerlaubter Verwendung der Software

Software am Server laufen lassen... Nur 1x IP-Wechsel pro Zeiteinheit erlauben, wenn Anmeldung von neuer IP - alte IP sperren.

-Schutz vor unerlaubtes Kopieren der Software wenn Sie auf einem Rechner installiert ist.

Wenn die SW am Server läuft, hast das Problem nicht. Wenn sie aber am Client laufen muss... Du könntest deine Software als VM-Image mit unüblicherem OS (z.B.: QNX4) laufen lassen... Dann wird debuggen schwer. ODER du baust dein eigenes OS.

Verschlüsselung des Quellcodes.

Selbstmodifizierenden Code schreiben ist nicht sonderlich schwer in Asse. Ich würde trotzdem eher auf das VM-Image zurückgreifen... Wobei: Wieso lieferst Quellcode aus ????

Wenn das ganze mit der VM auch wegfällt... Wie wäre es, eine ungewöhnlichere Sprache zu verwenden wie zB Erlang ? Wenn der Aufwand des Einlesens für den Mitarbeiter höher ist als der Aufwand, selbst etwas neues zu schreiben - hast eh schon gewonnen.

19.07.2011, 17:04 Uhr - Editiert von kombipaket, alte Version: hier

Jo, nur ist Erlang auch nicht grad 'ne Weltsprache. Das Treffen der Erlang Entwickler Österreichs findet einmal jährlich in einer Telefonzelle statt...

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Erstens war ja genau die Idee, eine nicht so weit verbreitete Sprache zu wählen...
Zweitens ist Erlang eine coole und mächtige Sprache
Drittens: Nur weil DU scheinbar Erlang nicht benutzt - würde ich nicht darauf schließen, dass das keiner benutzt. Nur weil ich es mag, bedeutet es ja auch nicht, dass alle es benutzen

Bezweifelt niemand, dass Erlang viel kann. Es ist nur irre schwer jemand zu finden der sie auch wirklich effizient einsetzen kann.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Wenn Du mal mit anderen Funktionalen Sprachen herumgetan hast, ist Erlang eigentlich ziemlich verständlich... Oder habt ihr schon mal verzweifelt Erlang-Entwickler gesucht ? Warst Du auch in der Telephonzelle ?

*schnüff* Musst Du alte Wunden aufreißen?

Nee, ernsthaft. Ich bin in einer anderen Telefonzelle, in der wo sich die Microcontroller-Entwickler treffen.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Das ist doch eher eine Festhalle, oder ?

Meiner bisherigen Beobachtung nach vollgefüllt mit ahnungslosen Möchtegernfricklern - ich bin schwer überrascht, dass DU da dazugehörst...

Jeder hat 'n Hobby.

Eigentlich bin ich genau deswegen überhaupt erst auf die Idee gekommen, die Menge derjenigen, die gute Hardware bauen ist nämlich verflucht klein. Ich kenn grad mal 3 Leute. 2 davon einen Kontinent entfernt.

Aber solltest Du gute MC "Frickler" kennen, ich lern gern neue Leute kennen. Wär allerdings nett wenn diese Personen dabei mehr auf dem Kasten haben als zum Zusammenlöten von Bausätzen notwendig ist.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Hmmm.. Ich kannte nur einen bei der LinBit, der da gut war...

Die software läuft auf einem windows server der nur im Netzwerk/Domain erreichbar ist (nicht vom Internet)

-Verbindung über Windows Remote Desktop
-User muss Mitglied in der Berechtigungsgruppe sein

-Schutz vor unerlaubtes Kopieren der Software wenn Sie auf einem Rechner installiert ist.

sollte verhindern das die Software vom Server kopiert wird.

-Schutz vor unerlaubter Verwendung der Software

wenn es doch irgendjemand schaffen sollte das überwachte Verzeichnis vom Server auf einen anderen Rechner zu kopieren sollte damit niemand was anfangen können.

Verschlüsselung des Quellcodes.

ich liefere den Source nicht aus. es sollte jedoch mehr Aufwand sein am Programm Reverse Engineering / Decompilierung zu betreiben wenn das Programm doch kopiert werden kann als selbst die Forschung zu betreiben.

Programme / Programmiersprachen
Fortran, Vb, Vb.net, C#, c++

What we're dealing with here is a total lack of respect for the law.
... *PIEP* 'em and their law ^^

Dass die Anwendung auf dem Server rennt, ist ja eh eine gute Idee..
Wie wäre es, wenn du brav eine Multi-tier-Gschicht draus machst ? Wäre es so schwierig, wenn die GUI auf dem Client rennt und nur die Business Logic am Server ? Die GUI kann er dann kopieren, nur nutzt das niemand was

sollte verhindern das die Software vom Server kopiert wird.

Ich kenn jetzt die Windows-Infrastruktur zu wenig... Aber RDP ist doch so ähnlich wie VNC+Sound, oder ? Dann können eh keine Files übertragen werden, oder ? Wenn es schon Windows sein muss: Kann man den Server nicht konfigurieren, dass manche Benutzer im Kiosk-Mode oder so auf dem Server arbeiten, also nur die App nutzen können und sonst nichts haben ?

ich liefere den Source nicht aus. es sollte jedoch mehr Aufwand sein am Programm Reverse Engineering / Decompilierung zu betreiben wenn das Programm doch kopiert werden kann als selbst die Forschung zu betreiben.

Reverse Engineering/Decompilieren willst ausschließen ? Bei C-Sourcen ? Aus

mir geht es nicht darum den weltbesten hacker da auszusperren

las ich heraus, dass es eh nur um normale User geht, die du aussperren willst... Wohl falsch.

Nun denn, dann empfehle ich, den generierten Assembler-Code zu obfuscaten bzw. seeehr ungewöhnliche Konstrukte zu verwenden (zB illegal Ops mit Logik in Exception Handlern)... Oder eben deine Programmiersprachenliste zu erweitern oder andere OS zu verwenden.

Im Endeffekt bleibe ich dabei, dass alles aus der GUI am Server laufen muss - und letztere am Client.

Aber RDP ist doch so ähnlich wie VNC+Sound, oder ? Dann können eh keine Files
übertragen werden, oder ? Wenn es schon Windows sein muss: Kann man den Server
nicht konfigurieren, dass manche Benutzer im Kiosk-Mode oder so auf dem Server
arbeiten, also nur die App nutzen können und sonst nichts haben ?

naja. die user müssen schon ihre input/output files handeln und haben dazu ein nw laufwerk verbunden.

Reverse Engineering/Decompilieren willst ausschließen ? Bei C-Sourcen ? Aus

so einfach?!! hilft da kein bisschen eine hardware dongle verschlüsselung inkl. übergestülpter exe?

What we're dealing with here is a total lack of respect for the law.
... *PIEP* 'em and their law ^^

naja. die user müssen schon ihre input/output files handeln und haben dazu ein nw laufwerk verbunden.

Lass Dir doch nicht alles aus der Nase ziehen

.

Ok, es werden also auch Files hin- und hergeschickt...
Du könntest den Up- und Download ja via HTTPs machen. Dann brauchen sie keinen direkten Zugriff auf das Filesystem.

Was spricht noch immer gegen das Trennen von GUI und Business Logic ?

so einfach?!! hilft da kein bisschen eine hardware dongle verschlüsselung inkl. übergestülpter exe?

Wie soll das helfen ?
Du hast den Client nicht in der Hand. Ein User kann also deine App per Dongle starten, hat sie also entschlüsselt im Ram... Und den liest er per DMA und Firewire aus, ohne dass das OS da viel mitbekommt... Dann hat er deinen Klartext.

Ein User kann also deine App per Dongle starten, hat sie also entschlüsselt im Ram... Und den liest er per DMA und Firewire aus, ohne dass das OS da viel
mitbekommt... Dann hat er deinen Klartext.

Das geht wenn die Applikation mit Remotedesktop Login am Server benutzt wird?

What we're dealing with here is a total lack of respect for the law.
... *PIEP* 'em and their law ^^

Kannst denn das Dongle per RDP bereitstellen?

Und ich wüsste noch immer gerne, warum du die GUI nicht am Client laufen lässt...

20.07.2011, 20:32 Uhr - Editiert von kombipaket, alte Version: hier

der dongle steckt am server.

Und ich wüsste noch immer gerne, warum du die GUI nicht am Client laufen
lässt...

geld und zeit um eine sammlung von Programmen die in den letzten 40 jahren geschrieben wurden umzubauen.

What we're dealing with here is a total lack of respect for the law.
... *PIEP* 'em and their law ^^

geld und zeit um eine sammlung von Programmen die in den letzten 40 jahren geschrieben wurden umzubauen.

Also ich glaube mal nicht ungschaut, dass eure 40 Jahre alten Programme (also aus 1970) auch damals auf einem Windows-Server gelaufen sind.

Ihr habt sie also eh schon portiert... Wenn das sauber passierte, ist eine Trennung UI/Logik ja kein Aufwand. Wenn nicht - gehört der IT-Verantwortliche gefeuert

der dongle steckt am server.

Dann befürchte ich, dass der Dongle aber gar nichts bringt.

Also ich glaube mal nicht ungschaut, dass eure 40 Jahre alten Programme (also
aus 1970) auch damals auf einem Windows-Server gelaufen sind.

sauber in fortran programmiert gibts auch mit den neuesten compilern keine probleme...

Dann befürchte ich, dass der Dongle aber gar nichts bringt.

weil?

What we're dealing with here is a total lack of respect for the law.
... *PIEP* 'em and their law ^^

Typischerweise stellt ein Dongle sicher, dass die SW auf dem PC rennt, für den sie vorgesehen ist. In deiner Angreiferbeschreibung hatten wir schon reverse engineering, disassembeln, ... drin.

Was sollte einen Angreifer mit den Kenntnissen hindern, die Prüfroutine in deiner SW einfach zu deaktivieren ?

Nur wenn ein Teil des Codes im Dongle läuft und aus dem auch nicht ausgelesen werden kann. Da hatte Steinberg mal etwas wirklich Geniales gebastelt. Hat tatsächlich fast 'n Monat gedauert das zu knacken...

'n paar Wege Code so zu verpacken dass das Auspacken dauert und nur bedingt zielführend ist gibt's schon. Die Frage ist wieviel Aufwand es Dir wert ist. Ich kann Dir code schon so umbauen dass es nahezu unmöglich wird den sinnvoll zu dumpen und zu entwirren, nur geh davon aus dass die Herstellung LANGE dauert und das Ding dann auf einem i7 rennt als ob 'n 486 drin steckt. Und von 100% knacksicher sind wir dann immer noch Meilen entfernt. Ob's das wert ist?

Und bei VB: Vergiss es einfach.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Wie wärs mit einem Hardware Lock? Dongle z.b.?

der derzeitige plan sieht so aus das eine zusatzsoftware auf dem server installiert wird welches das verzeichnis überwacht + von einer anderen firma dongle bei dem die exe verschlüsselt wird.

da man in der it und sonst auch überall betriebsblind wird/ist würde ich gerne vorschläge von anderen aufschnappen.

What we're dealing with here is a total lack of respect for the law.
... *PIEP* 'em and their law ^^

Du hast 3 Ziele definiert:
- Kopieren verhindern
- Binary lesen verhindern
- unautorisierte Nutzung verhindern.

Dein Dongle-Ansatz hilft nur gegen die letzte der 3 Anforderungen.. und auch das nicht 100%ig. HW-Dongles bieten übrigens gutes Abschreckungspotential...

Kommt auf den Dongle an. Wenn da nur ein Wert rausgelesen wird ist das nicht mal 'n Grinser wert. Interessant wird's wenn ein Teil des Codes im Dongle laufen soll oder der Dongle sogar erst aus dem Programm ein ausführbares macht, weil er die Opcodes erst "übersetzen" muss damit die CPU damit was anfangen kann... aber sowas zu machen ist wirklich aufwendig und auch nicht grad dafür geeignet schnell zu laufen wenn praktisch das ganze Programm über USB geschickt werden muss. Wie weiter oben gesagt, da wird der i7 zum 486. Funktionieren tut's, zumindest in meiner kleinen Implementation hier, aber es ist wirklich nur geeignet wenn entweder kleine, kritische Codeteile so behandelt werden sollen oder die Ausführungsgeschwindigkeit absolut kein Kriterium ist.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Dongle sogar erst aus dem Programm ein ausführbares macht, weil er die Opcodes erst "übersetzen" muss damit die CPU damit was anfangen kann...

Also wenn die Logik auf dem Dongle rennen soll - da fehlt mir einfach das Tamper-Proof... Warum würde man das nicht - wie jeder andere - mit einer Java-Smartcard lösen ? Was spräche für den Dongle ?

No viel mehr Tamper-Proof als 'n Dongle mit nichtlesbarem Ram in dem der Key steht mit dem die Software erstens signiert sein muss und der zweitens notwendig ist um aus dem Code-Müll wieder ausführbaren Code zu machen wird's meiner Meinung nach nicht.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Dann brauchst aber noch viele falsche Leiterbahnen sowie 3d-Leiterbahnführung, Sensoren für Angriffe, vercryptete Kommunikation zwischen den Baugruppen, ... - Sachen, die die Smartcard halt mitbringt. Das macht der USB-Dongle auch ???

Mmhmmm... klingt ja toll. Vor allem nach viel Pseudosicherheit.

Erste Frage: Wer ist Dein Angreifer? Der berechtigte Benutzer der Hardware oder ein Eindringling? Falls zweiteres ist der Terz nicht notwendig, da ein Zugriff auf die Hardware ohnehin nicht verfügbar ist. Falls ersteres hast Du immer noch das Kernproblem: Irgendwo innerhalb des ganzen Systems kommt eine Schnittstelle zwischen Computer und Sicherheitsgerät. Und spätestens dort kann jemand der unbeschränkten Zugriff auf die Hardware hat das Signal abgreifen. Und standardisiert muss das Ganze auch noch sein weil die Hardware für den Rechner selbst willst ja hoffentlich nicht selbst bauen. Da kannst Du dann Fehlleitungen und Verschlüsselung innerhalb der secure hardware haben wie du lustig bist, es erhöht die Sicherheit des Gesamtsystems nicht. Was nützt mir die Stahltüre mit unknackbarem Sicherheitsschloß wenn die Wände aus Papier sind und ich sie einfach aus der Wand stemme?

Und dieses weakest Link wirst auch nicht los, außer Du baust das Ganze wirklich monolitisch zusammen und hast keine wie auch immer geartete Standardschnittstelle im System. No viel Spass.

Die Lösung dafür sehe ich darin, das Signal nutzlos zu machen ohne zugehörige "korrekte" Frage. Das ist im Endeffekt eine mathematische Lösung des Problems. Und diese Antwort "kennt" nur der SecEEProm auf dem Dongle. Den Key auszulesen erfordert den Chip zu zerlegen und per Elektronenmikroskop die gesetzten/gelöschten Leiterbahnen zu untersuchen. Viel Erfolg, wer das kann der möge es sich verdient haben das Ganze zu kopieren. Weil "einfach" das Signal zwischen EEProm und MC abzugreifen nützt ebenfalls nichts. Du kennst dann die Antwort auf eine Frage. Von 2^512 möglichen. Natürlich kann man jetzt mit viel Zeit, viel Geduld und viel Speicherplatz alle auslesen. Wer sich die Hack'n antut und es noch in diesem Jahrhundert schafft auch nur einen Bruchteil der möglichen Antworten zu erhalten, der möge es sich auch verdient haben.

Kleiner Edit noch, weil ich's grad gesehen hab das Wichtigste nicht gesagt zu haben: Der EEProm kann ein wenig mehr als "nur" Speicher zu sein, er kann im Endeffekt ver- und entschlüsseln, enthält also auch ein wenig Logik. Was das Ding tatsächlich tut ist, einen gegebenen Input gegen einen gespeicherten Key zu prüfen (Signaturprüfung) und gegen einen zweiten zu entschlüsseln. Passt die Sig nicht, kommt auf der anderen Seite Garbage raus. Und jede Antwort, egal welche, benötigt exakt die gleiche Anzahl an Taktzyklen.

Solltest Du nun trotzdem noch einen Weg kennen das zu knacken, bitte ich um Info. Schneier's Law gilt schließlich auch für mich.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

21.07.2011, 09:15 Uhr - Editiert von Fly, alte Version: hier

Die Lösung dafür sehe ich darin, das Signal nutzlos zu machen ohne zugehörige "korrekte" Frage. Das ist im Endeffekt eine mathematische Lösung des Problems. Und diese Antwort "kennt" nur der SecEEProm auf dem Dongle.

Also dasselbe, was Du mit einer Smartcard machen kannst... Nur dass eben ein Dongle nicht die physische Sicherheit bietet.

Wie hast Du das Problem der Laufzeitanalysierbarkeit gelöst? Ich dachte es ist in Java de facto unmöglich sicherzustellen dass alle Programmpfade die gleiche Ausführungszeit benötigen, da die Feinkontrolle über die CPU fehlt.

Bitte um Info.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Also wenn es Dir darauf ankommt - könntest Du
- die Laufzeit künstlich anheben - zB dadurch, dass die Antwort fix nach X ms kommt - unabhängig von der Rechendauer.
- oder du wartest immer eine Zufallszeit um die Ausgabe zu verschleiern

- oder du programmierst das Teil in ASSE oder C, wenn Du die volle Kontrolle willst.
- oder ...

Was wiederum die Frage nach der Laufzeit aufwirft und ob das schnell genug runtergeackert wird. Wie fix ist so 'ne Karte bei der Ausführung von Code?

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Je nach Karte und Coprozessoren gar nicht so schlecht...

Wie schützt ihr euer Firmen Know-How welches in den Programmen verwendet wird?

Das Know-How steckt in den Mitarbeitern, nicht in den Programmen.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung