Wettbewerb zum Hacken von Blurry Box Software-Schutztechnik Blurry Box widersteht Hackern

Oliver Winzenried, Vorstand und Gründer von Wibu-Systems: »Industrie 4.0 und das IoT erfordern die besten Schutzmechanismen.«
Oliver Winzenried, Vorstand und Gründer von Wibu-Systems: »Industrie 4.0 und das IoT erfordern die besten Schutzmechanismen.«

Mehrere hundert Teilnehmer aus allen Teilen der Welt haben am Blurry-Box-Hacker-Wettbewerb teilgenommen – und keiner davon konnte Blurry Box überlisten. Die Aufgabe war, den Blurry-Box-Software-Schutz eines Computerspiels zu knacken, so dass es auch ohne Lizenz im Dongle korrekt funktioniert.

Blurry Box ist ein neuartiges Schutzverfahren, dessen Mechanismen öffentlich sind und das kürzlich von Wibu-Systems implementiert wurde. Drei Wochen lang arbeiteten die Teilnehmer an der Aufgabe. Zwei von ihnen haben ihre Ergebnisse an die unabhängige Jury, bestehend aus IT-Sicherheits-Experten des Horst-Görtz-Instituts (HGI) und des Instituts für Internet-Sicherheit if(is), eingesandt. Weil keiner der Hacks den Software-Schutz brechen konnte, entschied die Jury, das Preisgeld von 50.000 Euro nicht auszuzahlen, aber jeder der beiden Einsendungen als Anerkennung 1000 Euro zuzusprechen. Das verbliebene Geld soll weiteren Forschungs- und Entwicklungsaktivitäten zugutekommen.

Die Know-how-Schutztechnik CodeMeter von Wibu-Systems bietet Herstellern von Software und intelligenten Geräten Schutz vor Produktpiraterie, Produktfälschung, Reverse Engineering und Software-Manipulation. Zu den Schutzmechanismen von CodeMeter zählt Verschlüsselung. Mit dem AxProtector werden ausführbare Programme ohne Quellcode-Änderung verschlüsselt. Der IxProtector verschlüsselt einzelne Funktionen individuell und bietet so einen höheren Schutz vor typischen Hacker-Angriffen.

Weil aber einige komplexe und sensible Software-Produkte laut Wibu-Systems noch stärkeren Schutz erfordern, haben das Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) des Karlsruher Institut für Technologie (KIT), das Forschungszentrum Informatik (FZI) und Wibu-Systems Blurry Box entwickelt. 2014 wurde Blurry Box mit dem ersten Platz beim Deutschen IT-Sicherheitspreis ausgezeichnet. Wibu-Systems hat Blurry Box in CodeMeter integriert, und jetzt wurde das Verfahren in dem Wettbewerb öffentlich erprobt. Das Verfahren dupliziert, modifiziert und verschlüsselt einzelne Funktionen, bestimmt zur Laufzeit die passende Variante und berücksichtigt den Programmfluss. Wird eine Funktion benötigt, wird nur diese entschlüsselt, während die anderen Funktionen weiterhin verschlüsselt im Speicher bleiben. Werden nicht benötigte Varianten entschlüsselt, erlischt die Lizenz im Dongle. All dies verhindert Brute-Force-Angriffe. Der Aufwand für einen Angreifer, den Software-Schutz zu entfernen, ist somit laut Wibu-Systems größer als für eine Neuentwicklung.