Für die Teilnehmer des Hacker-Wettbewerbs erwies sich der Softwareschutz durch die Blurry Box als undurchdringliche Mauer.

Bild: Pixabay

Softwareschutz nicht zu knacken Ein Wettbewerb ohne Sieger - ein Gewinn für die Sicherheit

26.06.2017

Beim Hacker-Wettbewerb von Wibu haben sich die Teilnehmer vergeblich an der Blurry Box die Zähne ausgebissen. So gesehen geht der Hersteller des Softwareschutzes als Sieger hervor.

Hunderte Teilnehmer aus allen Teilen der Welt haben beim Hacker-Wettbewerb von Wibu mitgemacht. Die Aufgabe: Den Blurry Box Softwareschutz eines Computerspiels zu knacken, damit es auch ohne Lizenz korrekt funktioniert.

Preisgeld konnte nicht ausgezahlt werden

Drei Wochen lang arbeiteten die Teilnehmer intensiv an der Aufgabe. Zwei von ihnen schickten ihre Ergebnisse an die unabhängige Jury, bestehend aus Wissenschaftlern der IT-Sicherheit des Horst Görtz Instituts (HGI) und des Instituts für Internet-Sicherheit if(is). Aber: Keiner der Hacks konnte den Softwareschutz brechen.

Die Jury entschied, das Preisgeld von 50.000 Euro nicht auszuzahlen, aber jeder der beiden Einsendungen als Anerkennung 1000 Euro zuzusprechen. Das verbliebene Geld wird weitere Forschungs- und Entwicklungsaktivitäten stärken.

Was ist die Blurry Box?

Einige komplexe und sensible Softwareprodukte brauchen besonderen Schutz. Blurry Box wurde vom Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) des Karlsruher Institut für Technologie (KIT), dem Forschungszentrum Informatik (FZI) und Wibu-Systems entwickelt und 2014 mit dem ersten Platz beim Deutschen IT-Sicherheitspreis ausgezeichnet.

Die Blurry Box wurde in CodeMeter integriert und im Hacker-Wettbewerb öffentlich erprobt. Das Verfahren dupliziert, modifiziert und verschlüsselt einzelne Funktionen, bestimmt zur Laufzeit die passende Variante und berücksichtigt den Programmfluss.

Wird eine Funktion benötigt, wird nur diese entschlüsselt, während die anderen Funktionen weiterhin verschlüsselt im Speicher bleiben. Werden nicht benötigte Varianten entschlüsselt, erlischt die Lizenz im Dongle. Brute-Force-Angriffe werden so verhindert. Der Aufwand für einen Angreifer, den Softwareschutz zu entfernen, ist höher als für eine Neuentwicklung.

Stimmen zum Hacker-Wettbewerb

Oliver Winzenried, Vorstand und Gründer von Wibu-Systems, erklärt: „Heutzutage ist das Internet eine Art digitales Schlachtfeld. Industrie 4.0 und das Internet der Dinge erfordern die besten Schutzmechanismen. Ich sehe unsere Aufgabe darin, die wichtigsten Werte in Unternehmen und im privaten Bereich zu sichern.“

Prof. Dr. (TU NN) Norbert Pohlmann, einer der Juroren des Wettbewerbs und Direktor des Instituts für Internet-Sicherheit if(is), fügt hinzu: „Ich finde es eine sehr gute Idee, dass Hersteller ihre Produkte in einem öffentlichen Wettbewerb hacken lassen, um damit ein Maß an Transparenz für Sicherheit und Vertrauen aufzubauen. Auch für die Hacker ist dieser Wettbewerb eine sehr gute Möglichkeit, etwas über IT-Sicherheit zu lernen.“

Prof. Dr. Jörn Müller-Quade, Leiter des Instituts für Kryptographie und Sicherheit am Karlsruher Institut für Technologie (KIT) und einer der Partner, der den Wettbewerb organisiert hat, sagt: „Ich freue mich über das Ergebnis des Hackers Contests, denn egal wie gut die Analyse im Vorfeld ist, die wirkliche Sicherheit hängt ja auch davon ab, ob die theoretischen Modelle überhaupt nahe genug an der Realität sind. Dies kann man nur durch Beobachtung und Experiment feststellen. Daher benötigt auch die Theorie einen Hacker-Wettbewerb.“

Verwandte Artikel