Eenmalig data executie.

Er zijn diverse leveranciers op de markt die copy protection software leveren. Welke heb je allemaal al bekeken ?

Dan moet je al aan dongles gaan denken, wil je dat bewerkstelligen.

Ik denk eerder aan een online activering, zoals Microsoft bijvoorbeeld gebruikt.
Overigens is iedere beveiliging die wordt gemaakt uiteindelijk wel te kraken.

Henk007 schreef op woensdag 08 augustus 2007 @ 01:33:
Ik denk eerder aan een online activering, zoals Microsoft bijvoorbeeld gebruikt.
Overigens is iedere beveiliging die wordt gemaakt uiteindelijk wel te kraken.

Maar met een goede dongle is dat toch een heel stuk moeilijker (tegen het onmogelijke aan grenzend)

Een leverancier waar ik wel eens mee gewerkt heb voor zulke software beveiliging is Marx.

http://www.marx.com/en/

Deze leveren dongles en ook uitgebreide documentatie, voorbeelden en bibliotheken om de boel te implementeren en aan te sturen.

Een oplossing voor zoiets 100% in software is altijd relatief eenvoudig te kraken, een oplossing met dergelijke hardware ertussen maakt dit een stuk moeilijker omdat er altijd interactie met de hardware nodig is om de software te kunnen starten en te werken.

Waarom het niet installeerbaar mag zijn na een format oid snap ik niet helemaal, maar met een dongle kun je wel erg gemakkelijk afdwingen dat er maar 1 kopie van het stuk software tegelijkertijd draait bij een klant. (Maar je kunt er nog veeeeeeeel meer mee)

Er zijn overigens nog veel meer leveranciers van dit soort spul, maar dit is een waarmee ik gewerkt heb (en deze is gekozen na een vrij uitgebreid onderzoek gedaan door een ander bij het bedrijf waar ik toen werkte, ik ga er vanuit dat hij zijn werk goed gedaan heeft, maar of jouw eisen aansluit op onze eisen toendertijd weet ik natuurlijk niet)

[ Voor 14% gewijzigd door Verwijderd op 08-08-2007 01:43 ]

Je kan het idd via een activatie doen. Kijk of je een 'analyse' kan maken van de computer, met mac addressen bijvoorbeeld en productkeys, alles doe je verwerke 'n mooie grote hash waar geen info uit valt te halen, en die laat je via een algemene activatieservertje checken of die niet is geweest al, natuurlijk wel via ssl ofzo. En ja, iets wijzigen aan de hardware configuratie kan dan genoeg zijn om't weer te laten werken enzo, en er zijn 1000 andere manieren. Maar die zullen er altijd wel zijn.

Verwijderd schreef op woensdag 08 augustus 2007 @ 01:41:
Oline activering is een optie.. maar nu ik zo zit te denken is een cd protection een makelijker manier.
Daarmee zou je volgens mij wel ervoor kunnen zorgen dat het maar eenmalig en maar op een enkel systeem installeerbaar is.. de vraag is of dat ook lukt na een format of hd vervanging..

100% software oplossingen zijn altijd met gemak te kraken, je kunt namelijk relatief eenvoudig de software aanpassen.

Waarom denk je dat software piracy zoveel voorkomt? Gameproducenten stoppen miljoenen euro's in dat soort beveiligingsspullen en nog zijn games vaak binnen enkele uren na het lekken van het spel al gekraakt.

Online activering kan werken, maar ook bijvoorbeeld de Windows activatie was in no time gekraakt.

AFAIK is een dongle de enige manier om zoiets echt goed te regelen.

Misschien is dit ookwel een idee:
Een installer die de benodigde files (versleuteld bin ofzo) van internet download (evt via encrypted verbinding) en dmv een gebruikersnaam/wachtwoord/ip/mac kan dan de software eenmalig geinstaleerd worden.
Maar ik betwijfel of zoiets al bestaat.

Verwijderd schreef op woensdag 08 augustus 2007 @ 01:50:
@TRRoads

Bedankt voor je reactie.


[...]


Wat ik bedoel is dat de installatie maar eenmalig moet zijn en dat je het daarna niet meer kan uitvoeren.

Dat is op zich prima te doen met een dongle, je kunt daar namelijk (behoorlijk veel zelfs) informatie in opslaan.

Wanneer je programma dan start kan in de dongle worden weggeschreven dat het programma inderdaad gestart is en de dongle zal dan ervoor zorgen dat de software nooit meer gestart kan worden met die dongle.

Iets waar je wel rekening mee moet houden is dat zo'n dongle je geld kost. De hardware is op zich niet duur (maar moet je wel bij ieder product meeleveren), maar de implementatie aan jouw kant kost je natuurlijk ook geld.

Dat is de reden waarom bijvoorbeeld gameproducten deze dongles nog niet gebruiken, ze zijn simpelweg te duur. Het zou in grote oplages ongeveer 10 euro per spel extra kosten, aangezien spellen in de winkel liggen voor 50 euro (en daarna vaak afzwakken naar 40, 30 euro en uiteindelijk in de aanbiedingsbak voor 20 euro en minder terecht komen) zou dat enorm inhakken op de marge voor de producent.

Echter zodra het verlies door piracy groter wordt dan de kosten voor dergelijke dongles zullen we deze vanzelf meer gaan zien.

Vooral in de wat duurdere (op maat gemaakte) software zie je de dongles heel erg veel, daar is de prijs van de dongle relatief weinig op de prijs van het product en is het dus goed te doen. Ook licenties zijn vaak iets complexer bij dergelijke software en dat is via de dongles makkelijk af te dwingen.

(Laatst nog bij American Hotrod op Discovery waren ze een dongle kwijt van een engine management diagnostic software ding, toen moesten ze een nieuwe bestellen om het aan de praat te krijgen)

De dongles zijn dusdanig gemaakt dat het vrijwel onmogelijk is deze te hacken, er zijn wel mogelijkheden, maar met de encryptie die gebruikt wordt zul je toch van goede huize moeten komen wil je dit soort spul kunnen hacken.

Verwijderd schreef op woensdag 08 augustus 2007 @ 01:46:
AFAIK is een dongle de enige manier om zoiets echt goed te regelen.

Uhm, hoe is een dongle anders dan activatie via internet? In beide gevallen kan de applicatie, die op de PC van de client draait, aangepast worden zodat hij geen activatie meer behoeft. Een dongle gaat je dus echt niet meer helpen dan elke andere methode.

En daarom zou ik gewoon kiezen voor activatie via internet - dat is simpelweg het goedkoopsts om te implementeren.

.oisyn schreef op woensdag 08 augustus 2007 @ 02:53:
[...]


Uhm, hoe is een dongle anders dan activatie via internet? In beide gevallen kan de applicatie, die op de PC van de client draait, aangepast worden zodat hij geen activatie meer behoeft. Een dongle gaat je dus echt niet meer helpen dan elke andere methode.

En daarom zou ik gewoon kiezen voor activatie via internet - dat is simpelweg het goedkoopsts om te implementeren.

Hoewel een dongle te kraken valt kun je in de dongle zelf een belangrijk deel van het systeem process schrijven waardoor je alleen MET de dongle de software kan gebruiken.

Alles valt te kraken, de dongle valt uit te lezen maar door communicatie te encrypten tussen de dongle en de software en de software af te schermen van het besturingsysteem ben je al zeer dicht bij een 'water' dichte oplossing.

het gaat er om, hoe lang wil je het product veilig hebben..hoe zwaarder de beveiliging hoe meer moeite het kost te kraken en hoe minder snel de gebruiker het zal proberen te kraken.

Je kan in een dongle zelf een stukje code uitvoeren, wat nodig is voor je applicatie

Een call als

is natuurlijk zo te kraken.

even een hersenspinsel: kan je niet een smartcard gebruiken voor het zelfde doel? er zit een microcontrollertje in geloof ik, en ze zijn cheaper...

* Xiphalon gaat ff vogelen

Zolang als je bij dongle beveiligingssystemen maar niet de standaard algoritmes en/of voorbeeld gebruikt. Gewoon een expert inhuren die het implementeert voor je. Als je kijkt maar de Macrovision oplossingen, die zijn nagenoeg binnen luttele minuten te kraken en heb je meteen keygenerator. Ik zou de moeite niet nemen, of je moet echt een programma hebben die meer richting de duizenden euro's gaat (10-15 of zelfs meer). Anders is het gewoon zonde van het geld, dat geld kan je beter besteden in het verbeteren.

progje laten downloaden via een website, en de installer als laatste commando


geven, verder website is gewoon standaard te beveiligen met wachtwoord/username

Natuurlijk zou een slim iemand de installer even kopieren, dus eigenlijk zou de installeren moeten zoeken naar een hash van de zelfde installer (naam kan veranderd zijn).

Oh en als het laat lijken dat het programma nog gewoon bestandjes aan het verslepen is tijdens het zoeken en verwijderen dan is de kans redelijk dat het onopgemerkt gaat, gewoon alle bestanden die voldoen aan de hash indexeren, en dan het programma laten verdwijnen en tegelijkertijd al die bestanden verwijderen. (als je 1 voor 1 je kopietjes ziet verwijderen cltr_alt_delete je.)

Maargoed, niet onfijlbaar ofc.!

.oisyn schreef op woensdag 08 augustus 2007 @ 02:53:
[...]
Uhm, hoe is een dongle anders dan activatie via internet? In beide gevallen kan de applicatie, die op de PC van de client draait, aangepast worden zodat hij geen activatie meer behoeft. Een dongle gaat je dus echt niet meer helpen dan elke andere methode.

En daarom zou ik gewoon kiezen voor activatie via internet - dat is simpelweg het goedkoopsts om te implementeren.

Het verschil is dus inderdaad dat je de client continu aan het praten is met de dongle, niet alleen bij de activatie. Hierdoor wordt het draaien van de software zonder de dongle onmogelijk.

De communicatie met de dongle heeft een encryptie, maar ook de data in de dongle zelf heeft een encryptie, de sleutel waarmee die data uit te lezen valt is in de dongle hardware gezet door de fabrikant (uniek per dongle, geloof dat 1024bit RSA de norm is) en het is vrijwel onmogelijk deze uit de hardware te halen (het geld wat je kwijt bent om dat voor elkaar te krijgen had je waarschijnlijk al een bulk licentie kunnen kopen).

De dongle zelf is ook meer dan alleen een beetje data met encryptie eroverheen, de controller die erop zit is best wel krachtig en kan zelf dus vanalles uitvoeren.

Het gaat een beetje offtopic om hier uitgebreid over dongles te praten, maar niets let je om een proefpakket aan te vragen bij een van de fabrikanten en eens in de manual door te lezen hoe het nu precies werkt en waarom het vrijwel onmogelijk is om het te kraken.

Een zwak punt is wel (zoals genoemd) de implementatie in de software, je krijgt van de fabrikant een hele stapel documentatie (denk een groot boek van een 1000 bladzijdes), allerlei libraries, API's en voorbeeldapplicaties etc. Maar een fout in de implementatie kan ervoor zorgen de je beveiliging alsnog zwak is.

Daarom werd ook gezegd dat de implementatie je geld gaat kosten, je moet daar eenmaal iemand voor inhuren die er redelijk wat verstand van heeft en geen fouten maakt.

Het is natuurlijk niet realistisch te zeggen dat het onmogelijk is om te kraken, maar dat hoeft het ook niet te zijn, als het maar dusdanig moeilijk is dat het de 'kraker' teveel geld/moeite kost om het de moeite waard te maken voor hem.

[ Voor 3% gewijzigd door Verwijderd op 08-08-2007 14:48 ]

Je zou iets kunnen doen als: De installer bevat een code van x bytes die ook op de internet server bekend is. In elke installer ontbreekt een deel, elke keer anders. Dat ontbrekende deel staat op de server gekoppeld aan de code en kan 1x opgevraagd worden tijdens de installatie.

Dan is de enige keer dat de installer compleet is (tijdens de installatie) een risicopunt. Om te hacken zou je dan de code uit de installer moeten halen, het deel op moeten halen (waarvoor je maar 1 poging hebt!) en vervolgens dit correct samenvoegen zoals de installer dit doet. Dan heb je eindelijk een complete installer waarmee je het pakket kan installeren.

InstallShield heeft een oplossing voor Software Activation voor derden, waarbij ze bv. registratie van jouw software bijhouden, trialware voor een beperkte tijd mogelijk maken, patches verspreiden enz. Het nadeel is dat je bij hun een abonnement moet afnemen, maar het is in ieder geval interessant om te zien hoe zij omgaan met de issues (ze maken er reclame voor, dus je moet wat documentatie kunnen vinden).

Ik begrijp de aversie tegen dongles niet zo goed. Als je een goedkoop programma maakt dat je via internet verspreidt, OK. Maar als je al een cd naar de klanten stuurt, dan is het niet zo prijzig om een USB-dongle mee te pakken, toch? Die paar euro neem je gewoon mee in de prijsstelling.

NB Dongles zijn ook niet handig als je software maakt voor bedrijven waar het op honderden werkplekken geinstalleerd moet worden. Maar in dat geval zitten systeembeheerders niet te wachten of software waarbij iedere werkplek handmatig geinstalleerd / geregistreerd moeten worden, en al helemaal niet op cd's die slechts eenmalig gebruikt kunnen worden.

Tja, dongles en online activatie is alleen nuttig indien het inderdaad kritische data bevat en niet alleen ergens een bitje omzet. Klinkt logisch, maar in 99% van de gevallen is het toch slecht geimplementeerd ... Een goede kopieerbeveiliging kost nu eenmaal veel tijd & geld (en support) om goed op te zetten. Ben je niet bereid dat te doen, dan kun je beter naar exe-protectors als Themida/Execrypt (een van de beste momenteel, beter dan b.v. Armadillo/ASProtect) kijken.

Verwijderd schreef op donderdag 09 augustus 2007 @ 17:56:
Het moet ook op pc`s zonder inet geinstalleerd kunnen worden..

Uiteindelyk gaan we de applicatie verkopen, dus dan zyn dongle`s weer te duur.

Dit gaat niet lukken met alleen een CD. Een CD is niet wijzigbaar en zonder verbinding met de buitenwereld is er geen manier om door te geven dat het ding al eens geinstalleerd is.

Maar: waarom is het zo belangrijk dat het maar 1x uitgevoerd mag worden? Kun je iets toelichten van het bedrijfsproces waar het in zit?

Sowieso gaat dit niet lukken met alleen data. Als 10010100101001010101010... de bitten zijn van een installer, dan zie je meteen wat het probleem is. De data verandert niet door de installatie, op z'n best kan de installer 1 kopie van de data veranderen - en zoals DaCoTa terecht opmerkt kun je de bitten 0 keer veranderen als die bitten op CD staan. Als je de bitten op twee PCs zet, die niet met elkaar verbonden zijn, dan zijn beide kopieen installeerbaar.

Bij gebrek aan een trusted computing platform is alles breekbaar natuurlijk, maar dat zegt niet dat er voor Intellected's doel wel een acceptabele oplossing is. Zelfs iets goeds ontwikkelen kost heel veel werk; waarschijnlijk ben je beter af met een off-the-shelf DRM-product waarmee je een programma elke keer dat je het uitvoert laat activeren (via internet of per telefoon).

Ja: zulke software is te omzeilen. Maar dat geldt waarschijnlijk voor elk denkbaar systeem.

Als je slechts een zeer beperkt aantal klanten hebt kun je er ook voor kiezen om de installatie alleen zelf uit te voeren, dan ben jij de enige die de installer heeft. Het enige dat ze daarna kunnen doen is de geinstalleerde bestanden kopiëren (wat lang niet altijd voldoende is, vooral niet als je tijdens de installatie wat bestanden versleuteld afhankelijk van hardware-id's), de installatie loggen of de installatie cd tijdens de installatie kopiëren (dit moet je zelf bijhouden terwijl je er mee bezig bent).

[ Voor 50% gewijzigd door pietje63 op 11-08-2007 18:17 ]

In navolging wat hierboven al is verteld, als je echt zeker wilt zijn dat je intellectual property niet gekopieerd wordt, dan moet je eerder denken aan een soort van client/server oplossing, waarbij je algoritmes draaien in op een computer in bijvoorbeeld een data center waar je zelf alleen toegang tot hebt.

SKiLLa schreef op donderdag 09 augustus 2007 @ 20:24:
Tja, dongles en online activatie is alleen nuttig indien het inderdaad kritische data bevat en niet alleen ergens een bitje omzet. Klinkt logisch, maar in 99% van de gevallen is het toch slecht geimplementeerd ... Een goede kopieerbeveiliging kost nu eenmaal veel tijd & geld (en support) om goed op te zetten. Ben je niet bereid dat te doen, dan kun je beter naar exe-protectors als Themida/Execrypt (een van de beste momenteel, beter dan b.v. Armadillo/ASProtect) kijken.

Online activatie lijkt me inderdaad een goede optie, al is het zeker niet waterdicht. Zodra ik weet dat er sprake is van 'missende' data die online verkregen wordt dan start ik Wireshark + de install, en de volgende keren kan ik no-problem je activatieserver simuleren.

Verder sluit ik me wat betreft packers met bovenstaande poster aan, voor Armadillo/ASprotect zijn er 100% programma's die je .exe zo unpacken, voor bv. Themida/Excrypt is dat waarschijnlijk lastiger (maar een geoefende cracker...).

ASProtect heeft dacht ik wel een implementatie van het 'missende data' concept; Een deel van de data (dacht een DLL) is versleuteld, waarbij de benodigde decryption key bestaat uit een hardware profile van de PC. Met slechts de binaries kan iemand dus niets, maar met toegang tot de PC waarop de software wel draait kan het alsnog gecracked worden.

Je kunt het hoogstens moeilijk maken, maar nooit onmogelijk.

Thralas schreef op zaterdag 11 augustus 2007 @ 23:41:
Online activatie lijkt me inderdaad een goede optie, al is het zeker niet waterdicht. Zodra ik weet dat er sprake is van 'missende' data die online verkregen wordt dan start ik Wireshark + de install, en de volgende keren kan ik no-problem je activatieserver simuleren.

Een beetje activatieschema werkt niet zo simpel en is niet zomaar met een replay attack te breken. Op z'n minst zal de installer proberen elke installatie een unieke code mee te geven waarop de activatie gebaseerd is en genereert de activatieserver gegevens op basis van een geheime sleutel. Je kunt dan de activatieserver niet simuleren omdat je de geheime sleutel mist, en de installatiecoden niet fixen (wat op zichzelf al een stap verder is dan jij beschrijft) omdat een installatie niet twee keer geactiveerd kan worden.

Verder sluit ik me wat betreft packers met bovenstaande poster aan, voor Armadillo/ASprotect zijn er 100% programma's die je .exe zo unpacken, voor bv. Themida/Excrypt is dat waarschijnlijk lastiger (maar een geoefende cracker...).

Er zijn van Armadillo DRM een heleboel verschillende versies en die zijn lang niet allemaal gekraakt. Het is bovendien helemaal niet triviaal om aan die tools te komen. Ik denk dat als je je product voor een korte tijd wil beschermen je met een recente versie daarvan een heel eind komt. Het werkt natuurlijk niet tot in het oneindige, zeker niet als je product populair is bij hackers.

Ach Armadillo en ASProtect altijd leuk. Codesplices van Arma ASProtect VM crap; er is een unpacker voor ASPR2.2.

[ Voor 92% gewijzigd door alienfruit op 12-08-2007 05:28 ]