[ALG] Dongles

Ik heb geen ervaring met dongles, maar ik heb wel een andere ervaring. Elke beveiliging is te kraken. De een vergt wat meer tijd dan de ander, maar niets is echt veilig, helemaal als je voor Windows programmeert (niet vanwege Windows, maar omdat de meeste mensen Windows draaien en er dus relatief meer mensen zijn die je programma willen kraken).

NMe84 schreef op 05 maart 2004 @ 00:06:
Ik heb geen ervaring met dongles, maar ik heb wel een andere ervaring. Elke beveiliging is te kraken. De een vergt wat meer tijd dan de ander, maar niets is echt veilig, helemaal als je voor Windows programmeert (niet vanwege Windows, maar omdat de meeste mensen Windows draaien en er dus relatief meer mensen zijn die je programma willen kraken).

Maar dan nog wil je de best mogelijke beveiliging.
Ligt ook aan je applicatie. Dongles zijn ook een dure vorm van beveiligen. En wordt niet voor grootschalige applicaties gebruik. Meestal voor specialistische applicatis met een vaste klantenkring. Daar merk je eventuele fraude veel sneller.

Ik zit zelf nu in een projectgroep en mijn taak is onder andere om me met deze beveiliging bezig te houden. Heb dit redelijk uitgebreid onderzocht, vandaag met de opdrachtgever besproken toevallig en ben al redelijk gevorderd met de implementatie.

Ik heb echter geen ervaring met de door jou genoemde dongles. Het zoeken van geschikte dongles is door andere mensen gedaan, maar ze zijn allemaal wel ongeveer vergelijkbaar.
Wij gebruiken een Rockey dongle, de Rockey4 USB. Meer info op www.ftsafe.com en www.rockey.nl
De reden dat wij deze dongle gebruiken is simpel: Het was de goedkoopste.

Ik kan je niet alle details gaan vertellen hierover aangezien ik een contract heb ondertekend waarin stond dat ik niks naar buiten mocht brengen. Ik weet niet meer hoe gespecificeerd dat contract was, maar echt veel stelde het niet voor. SDK is geloof ik te downloaden van de website dus zal wel allemaal meevallen.

Het voorddel van een dongle is dat het idd een goede beveiliging is. Het komt erop neer dat je een dongle nodig hebt wil je de applicatie kunnen gebruiken. Dongles zijn beveiligd met wachtwoorden. Die wachtwoorden zijn uniek voor elke dongle, heb je een andere dongle heb je pech. Je kan als bedrijf wel donlges bestellen met dezelfde wachtwoorden. Hierdoor kan je dus al jou dongles gebruiken voor dezelfde applicatie.
In principe zou alleen dit al een goede beveiliging zijn.

Maar daarnaast kan je in de dongle een aantal dingen opslaan, waardes die je alleen kan schrijven met extra wachtwoorden (wachtwoorden die nooit bij de klant mogen komen, in je aplicatie hoef je alleen te lezen en evt vrije veldjes te schrijven en tellertjes verlagen).
Je schrijft dus in jou kantoor een dongle. De geschreven waardes kan je alleen met algoritmes uitlezen.

Nadeel hiervan is dus dat je elke dongle individueel moet instellen, maar dit is niet al te veel werk.
Dongles moeten dus ook lokaal worden aangepast, je moet dus altijd dongles wissel of opsturen etc met als geval dat dek lant een tijd niet kan werken tenzij je eerst een nieuwe dongle stuurt en daarna dek lant de oude laat terugsturen.

Ik kan je nog veel meer details vertellen, maar weet niet wat relevant is dus ik laat het hierbij, als je vragen hebt zie ik wel

Ik zie trouwen net dat de WizzKey 'On the Rocks' (USB) gewoon de Rockey dongle is onder een (als je het zo ziet) iets andere naam, zover ik kan zien dan, precies dezelfde foto iig

Ook de dinkey dongle ziet exact hetzelfde uit

Alleen die laatste is anders.

Allemaal goede keuzes dan denk ik. De Rockey dongle is een Chinees product, staat heel mooi op de doos "First dongle produced in China!" oid, nou dat is boeiend zullen we maar zeggen
Het was dus de goedkoopste, maar nu ik dit zie ook een veelgebruikte.

Het is een heel goede beveiliging, degelijke dongles en goede support, maar let niet op de spelfouten in de SDK
Kromme Englese zinnen, taalfouten en tot overmaat van ramp is (iig de Visual C++ header en DLL) er een vrij grove fout in een functienaam, gewoon een spelfout in de implementatie. In de tekst staat het goed, maar in de voorbeeldcode ook met splefouten natuurlijk omdat anders de functienaam niet klopt. Laat je hier niet te veel door afleiden, het is goed bedoeld

Support is dus prima, heel duidelijke voorbeelden,in stappen die zelfs beginnen met hoe je "Hello World" schrijft in alle programmeertalen en van daaruit stap voor stap verder
Windows 95 t/m XP support, enkele Linux versies en geloof ook MacOS. En voor veel programmeertalen voorbeeldcode, oa. C++, Delphi, Java, C++ .NET, C# etc.

[ Voor 4% gewijzigd door Klippy op 05-03-2004 00:35 ]

http://www.rainbow.com/

sentinel dongles

http://www.ealaddin.com/hasp/default.asp

hasp dongles

dit zijn volgens mij de meest gebruikte

Hasp is idd de meeste gebruikte ja.
Zoveel dat dongles regelmatig HASP's worden genoemd. Had hier ook al wat ervaring mee, maar die warn iets te uitgebreid en iets te duur voor ons.
Denk overigens dat het niet echt veel uitmaakt welke je nou kiest. Is belangrijker dat je hem ook goed gebruikt.

[ Voor 10% gewijzigd door Klippy op 05-03-2004 00:55 ]

wat kost zo'n dongle ongeveer? (zeg pak 'm beet per 500 of 1000).
'k ben totaal geen programmeur, maar op m'n werk hebben we heel veel programmatuur dat met een dongle werkt (en die programma's zijn ook altijd 5000 euro+) (zal toch niet alleen aan de dongle liggen )

Vaak hebben fabrikanten ook wel testpakketten waar je wat mee kunt experimenteren voordat je iets serieus gaat gebruiken.
Bedenk wel dat de meeste dongles uiteindelijk toch gewoon een dure vorm van serials zijn. Hardware is niet zo maar te kopieren als software maar het blijft data, als je eenmaal de data hebt (hardware:dongle, software:serial) blijft er weinig van je beveiling over. Vaak werken dongles zo dat je in ieder geval de dongle of de data erin nodig hebt om de boel te kraken, maar dat kan met serials ook als je bijvoorbeeld stukjes serial gebruikt om code te decrypten.

Ook moet je je goed verdiepen in de API en er ook echt gebruik van maken om een goede beveiliging te krijgen, in plaats van alleen de vaak bijgeleverde tools te gebruiken die een kant en klaar beveiligde executable opleveren. In tegenstelling tot wat de fabrikanten beweren is dat vaak geen hoogstaande beveiliging.

mr_petit schreef op 05 maart 2004 @ 00:58:
wat kost zo'n dongle ongeveer? (zeg pak 'm beet per 500 of 1000).
'k ben totaal geen programmeur, maar op m'n werk hebben we heel veel programmatuur dat met een dongle werkt (en die programma's zijn ook altijd 5000 euro+) (zal toch niet alleen aan de dongle liggen )

Die Rockey kost afhankelijk van bestelde aantal tussen de 12 en 20 euro ongeveer.

Dongles zijn de meest gruwelijke vorm van beveiliging voor de gebruikers.

Voor het PCB pakket dat we hebben( en ook een aantal compilers voor embedded procs ) moeten we ook dongles gebruiken, en er zijn er inmiddels al drie overleden.

Hoe dat komt is me een raadsel ( zo'n toren op je poort lijkt me zowieso niet echt gunstig ), maar je moet vervolgens wel het ding opsturen. Dat betekent dus dat je een aantal dagen niet het pakket kunt gebruiken, plus dat er telkens weer kosten aan verbonden zijn.
Wij verdienen ons geld o.a. met dat pakket, dus wanneer we het een aantal dagen niet kunnen gebruiken is dat best wel [piep].

Voor mij is dit een reden om mensen ( dus ook klanten ) die pakketten willen gaan draaien die een donglebeveiliging hebben aan te raden naar een andere oplossing te zoeken.

Ikzelf zal in ieder geval niet snel meer een dergelijk pakket aanschaffen.

wij maken bij www.hetbedrijfwaarikwerk.nl gebruik van dongles, en daar is niet omheen te komen... wizzkeys zijn t geloof ik en ze zijn vrij prijzig... 40 a 50 euro per stuk

edit: trouwens, redelijk vaak storingsdienst moeten bellen ivm kapotte dongles, ik weet geen percentage's

modbreak: bedrijfslink niet echt relevant he

[ Voor 48% gewijzigd door curry684 op 05-03-2004 11:37 ]

Wij gebruiken die Sentinel dongles van Rainbow. Voor zover ik kan nagaan doen ze goed hun werk. We passen deze dongles toe, zoals iemand al opmerkte, op applicaties die in een vaste kring gebruikt worden zodat het kopieren en verspreiden een stuk lastiger, zoniet onmogelijk wordt. Rainbow dongles komen met een redelijk goed pakket software waarmee je in een eenvoudige wizard zelf instellingen kan toekennen, zoals beperkte tijdslimiet en maximaal aantal malen starten. Tevens komt er een dik pak documentatie van de API bij, waardoor je zelf direct de dongle kan uitlezen in je eigen code.

Van deze Sentinel (Super Pro) dongles is een demonstratie-pakket aan te vragen, wat ik je ten zeerste kan aanraden omdat je dan een goede indruk krijgt van de mogelijkheden en de beveiliging. De dongles zelf komen in parallelle en USB uitvoering en tot op heden zijn er bij ons nog geen gesneuveld.

Niet waterdicht, maar wellicht een stuk goedkoper: een variant op de XP-activatie. Geef de klant een code voor het pakket en laat de software die iedere keer bij het opstarten online controleren op jouw server. De software stuurt tevens een (redelijk) unieke code mee: een BIOS-serial, een IP (indien fixed bij de klant), whatever.
Nadelen:
* klant moet een internetverbinding hebben
* jij moet een permanent bereikbare server hebben
* ook dit is wel te kraken, maar met wat encryptie, challenge-respond codes tussen client en server en evt. hashcodes van de bestanden (om wijzigingen tegen te gaan) is het wel lastig te maken.

Losse hardware is inderdaad lastig na te maken, maar hardware kan ook kwijt raken, defect gaan, niet op bepaalde PC's werken, etc.

ik ken dongles nog uit een ver verleden, toen je ze nog op de parallelle poort stak... Het waren hasp dongles, en het werkte lang niet op alle pc's. Met als gevolg dat er ook onbeveiligde versies van het programma in omloop waren, omdat anders de klant gewoon niet geholpen kon worden.

Het zal vast een stuk beter geworden zijn, maar in die tijd werd je er niet vrolijjk van! (rond 1995)

naar mijn mening de beste methode om je programma te beschermen is om er een internet activitie in te bouwen die naast op het begin te controleren of het een origineel product is ook de size / checksum van de exe controleert om de zoveel tijd om er zeker van te zijn dat er geen gemodificeerde versie van is.

Groot nadeel bij deze methode is echter wel dat de klant over internet moet beschikken en jij over een server die altijd up is!

D4V3 schreef op 06 maart 2004 @ 01:14:
naar mijn mening de beste methode om je programma te beschermen is om er een internet activitie in te bouwen die naast op het begin te controleren of het een origineel product is ook de size / checksum van de exe controleert om de zoveel tijd om er zeker van te zijn dat er geen gemodificeerde versie van is.

Groot nadeel bij deze methode is echter wel dat de klant over internet moet beschikken en jij over een server die altijd up is!

Je zegt echt precies hetzelfde als ik hierboven en de TS geeft al - terecht - aan waarom 'ie dat niet wil... druk een punt

D4V3 schreef op 06 maart 2004 @ 01:14:
naar mijn mening de beste methode om je programma te beschermen is om er een internet activitie in te bouwen die naast op het begin te controleren of het een origineel product is ook de size / checksum van de exe controleert om de zoveel tijd om er zeker van te zijn dat er geen gemodificeerde versie van is.

Groot nadeel bij deze methode is echter wel dat de klant over internet moet beschikken en jij over een server die altijd up is!

Naar mijn mening is dat een van de slechtste methodes. Tegenwoordig hebben zoveel mensen een personal firewall (die straks ook nog standaard in windows zal zitten). Wanneer een applicatie hier "vraagt" of hij het internet op mag druk ik vaak op "deny all".

Ik heb niet het idee dat de 'moeilijkheidsgraad' van de beveiliging bepaalt of een applicatie wel of niet illegaal gebruikt gaat worden. Het lijkt me meer afhankelijk van de bereidheid tot het illegaal gebruiken van de applicaties door de gebruiker. Wat dat betreft kom je met eMule en 'dongle' al een heel eind en maakt het niet zoveel uit welke beveiliging je gebruikt. Zeker als het hier gaat om zulke specifieke software, waar ik gemakshalve even vanuit ga.

Zelf werk ik met verschillende pakketten die een dongle nodig hebben en ik mag wel zeggen dat dit uiterst onplezierige dingen zijn. Naast het feit dat je met drie donlges en een printer een baal tabak nodig hebt om dit geheel een kleinigheid te ondersteunen, zodat alle schroeven netjes aan de pc bevestigd blijven, gaan ze geregeld kapot. Een vervangende dongle heeft een vrij lange levertijd en zonder tijdelijke oplossing is het vaak niet mogelijk om deze applicaties (volledig) te benutten.

Even iets waar je wel iets aan zou kunnen hebben, de rainbow sentinel en de hasp dongles zijn degene die ik het meest tegen kom en waar de minste problemen mee zijn.

Toch blijf ik het je afraden. Al blijf ik de goede alternatieven verschuldigd.

Let er wel op dat USB dongles een stuk handiger in gebruik zijn. Ze zijn ook een heel stuk kleiner en sneller.
Daarnaast zijn ze veel moeilijker te emuleren. Parallelle communicatie is veel makkelijker op te vangen.

Bor_de_Wollef schreef op 06 maart 2004 @ 22:02:
[...]


Naar mijn mening is dat een van de slechtste methodes. Tegenwoordig hebben zoveel mensen een personal firewall (die straks ook nog standaard in windows zal zitten). Wanneer een applicatie hier "vraagt" of hij het internet op mag druk ik vaak op "deny all".

Naar mijn mening ook
Het is zelfs vrij nutteloos (in deze situatie). De versleuteling die je gebruikt om iets te sturen en te ontvangen is makkelijk te kraken. Je kan alle netwerkverkeer simpel onderscheppen en zelf iets anders terugsturen.
En dan heb ik het niet eens over het feit dat zoals gezegd niet iedere PC een internetverbinding heeft, jij altijd een server moet opzetten etc.

Zoals ik al eerder vermeld had worden dongle-oplossingen meestal alleen gekozen voor echt dure applicaties. Het gevolg daarvan is dat er maar weinig mensen zijn die het gebruiken. Vaak zijn dit heel specifieke applicaties voor één specifiek doel.
Waarschinlijk is dit aantal mensen het niet eens waard om een server voor online te houden.
Bij dit soort applicaties is de prijs natuurlijk vrij hoog, maar dit houdt ook in dat je applicatie echt niet zo snel gekraakt gaat worden. Ten eerste simpelweg omdat bijna niemand er wat aan heeft, wat moeten wij met een applicatie voor een apothekersadministratie bijvoorbeeld om maar eens wat te noemen.
Op de tweede plaats is in een beperkt afzettingsgebied fraude heel snel opgemerkt. Stel een van je klanten heeft je applicatie gekraakt, dan gaat die zijn licentie zeker opzeggen, dan moet hij toch met een verdomd goede reden komen. Ook als opeens bijvoorbeeld alle patiënten een rekening krijgen van iemand die een gekraakte versie gebruikt dan zal het niet lang opgemerkt blijven dat je die klant helemaal niet kent.

Hou er altijd rekening mee dat ALLES te kraken is als je echt wil. Je moet je alleen afvragen hoe groot de kans is dat iemand dat ook echt gaat doen. Als je een applicatie schrijft om iets te doen bij één specifiek bedrijf, hoef je het amper te beveiligen omdat het voor andere bedrijven compleet nutteloos is, ook al kost de applicatie 10 miljoen, schrijf je een applicatie die iedereen wil hebben is dat een ander verhaal.
Zo zal Microsoft wel gek zijn om een goede beveiliging op e nieuwste Windows te zetten, als illegaal gebruik niet meer mogelijk is zal het aantal Linux gebruikers toch wel erg snel toenemen.
Kijk dus gewoon naar je eigen product en gebruik je gezonde verstand een beveiligingsmethode te kiezen. Geen beveiliging is ook niks, maar ga je ook niet te veel richten op die beveiliging, zonder liever dat je goede applicatie maakt.

Het bedijf waar ik werk maakt gebruik van TimeHASP 4. Gene idee hoe nieuw of oud dat is maar we hebben nog 2 dozen vol dus die gaan eerst op voordat we eventueel overstappen op usb of zo.

Probleem is dan wel dat ze compatible moeten zijn, want 1 bestand 2x beschermen, 1x voor de TimeHASP 4 (Waarvan alleen v3 functies gebruikt worden omdat er ook nog TimeHASPs 3 rondzwerven) en 1x usb, dat zie ik nog niet gebeuren.

Wel is dat Hasp Envelope een ^%&# programma. Totaal niet bedacht op mensen die 30 programma's achter elkaar willen envelopen. FolderDialogs die hun locatie niet onthouden, 2 popups met info als hij klaar is waarvan er 1 niet valt door te enteren... We moeten nog een keer de API implementeren zodat we dat envelope niet meer nodig hebben, maar buiten dat het altijd minder goed is dan een achteraf compleet versleutelde EXE, heeft het ook een lage prioriteit.

Ik heb er nog geen pc gezien die er niet mee overweg kon, dus dat is dan veranderd sinds 1995 en zo heel vaak hoeven we niet ALLES te beschermen, alleen dat wat veranderd is

De reden dat we het gebruiken is omdat de klanten de software huren, en dat het na een jaar dus niet meer moet werken. En het betreft hier inderdaad vrij specialistische software Een paar maatwerk dingen, wat generieker relatiebeheer, een pakket voor de beveiliginsbranche (surveillanten tracken etc) en nog een paar dingetjes.

Wanneer je een dongle gebruikt, ga dan aub die dongle niet te vaak aanspreken, zoals de software op mijn werk dus wel doet... [rml][ dongle] kopieer beveiliging vertraagt software aanzienlijk[/rml]

Ik kan je alvast wel wat technieken vertellen hoe je die dongle beveiligingen er meestal uit kunt halen, om het te kopieren... dan heb je er wat aan bij het implementeren.

• roep de dongle-library op zoveel verschillend mogelijke manieren aan. Vaak biedt de fabrikant de mogelijkheid om heel kort dingen in de dongle op te slaan en die via een andere call weer uit te lezen.

• roep de dongle niet te vaak aan, want dat is makkelijk terug te vinden in de code en vertraagd het programma.
• roep de dongle niet op vaste punten aan. Gebruik bijvoorbeeld een random counter om een random routine aan te roepen bij bijv het opslaan van data en voer die check niet altijd uit bij die actie. Laat dit van een random counter afhangen.
• Doe na een check op een dongle altijd een jump in je code. Dus wanneer je wel of niet een dongle gezien hebt, sla die kennis ergens op en jump dan naar een stukje code waar je pas actie onderneemt. Sla die kennis ook op in meerdere variabelen, op een andere manier. Wanneer er dan een verschil is in betekenis op al die plekken weet je dat er aan de code is geklooid.
• Gebruik geen logische namen voor procedures en variabelen.

Er zijn nog wel meer dingen waar je rekening mee moet houden en lees vooral mijn topic eens door over hoe het dus niet moet.

TD-er schreef op 07 maart 2004 @ 12:07:
Wanneer je een dongle gebruikt, ga dan aub die dongle niet te vaak aanspreken, zoals de software op mijn werk dus wel doet... [rml][ dongle] kopieer beveiliging vertraagt software aanzienlijk[/rml]

Ik kan je alvast wel wat technieken vertellen hoe je die dongle beveiligingen er meestal uit kunt halen, om het te kopieren... dan heb je er wat aan bij het implementeren.

• roep de dongle-library op zoveel verschillend mogelijke manieren aan. Vaak biedt de fabrikant de mogelijkheid om heel kort dingen in de dongle op te slaan en die via een andere call weer uit te lezen.

• roep de dongle niet te vaak aan, want dat is makkelijk terug te vinden in de code en vertraagd het programma.
• roep de dongle niet op vaste punten aan. Gebruik bijvoorbeeld een random counter om een random routine aan te roepen bij bijv het opslaan van data en voer die check niet altijd uit bij die actie. Laat dit van een random counter afhangen.
• Doe na een check op een dongle altijd een jump in je code. Dus wanneer je wel of niet een dongle gezien hebt, sla die kennis ergens op en jump dan naar een stukje code waar je pas actie onderneemt. Sla die kennis ook op in meerdere variabelen, op een andere manier. Wanneer er dan een verschil is in betekenis op al die plekken weet je dat er aan de code is geklooid.
• Gebruik geen logische namen voor procedures en variabelen.

Er zijn nog wel meer dingen waar je rekening mee moet houden en lees vooral mijn topic eens door over hoe het dus niet moet.

Bedankt voor de tip, dit had ik net nodig
USB dongles kan je trouwens iets vaker aanspreken, die dingen zijn aanzienlijk sneller.

[ Voor 3% gewijzigd door Klippy op 07-03-2004 17:53 ]