KEYnote 35 Deutsch - Frühjahrsausgabe 2018 - Page 10

PROTECTION

Wieviel Sicherheit benötigt meine Anwendung ?

„ Alles was die CPU ausführt , kann ein Angreifer auch beobachten . Er kann damit entsprechende Sicherheitsmechanismen verstehen und auch entfernen .“ Diese Aussage ist prinzipiell korrekt , doch wie können Sie als Softwarehersteller auf diese Erkenntnis reagieren ?
Hier haben Sie drei Strategien :
■■
Sie sagen sich „ Es bringt ja sowieso alles nichts “ und verwenden keinen Kopierschutz und keine Lizenzierung .
■■
Der Angreifer kann zwar alles verstehen , aber Sie verwenden CodeMeter in einer Art und Weise , dass der Aufwand für den Angreifer nahezu so hoch wäre , als würde er Ihre Software komplett neu schreiben .
■■
Sie lagern essentielle Codes in den Cm- Dongle aus und führen diesen Code im CmDongle aus . Damit ist er für den Angreifer nicht mehr beobachtbar .
Kein Kopierschutz Die erste und mit Sicherheit schlechteste Alternative ist es , auf den Kopierschutz und die Lizenzierung ganz zu verzichten . Auch der Mythos „ Microsoft ist durch Raubkopien groß geworden “ ist kein Freibrief für den Verzicht . Einer der wesentlichen Punkte für den Erfolg von Microsoft liegt in der Bündelung des Betriebssystems mit neu ausgelieferten Computern ( IBM ). Auch die Marktsituation mag dabei eine Rolle gespielt haben . Hatten doch zu diesem Zeitpunkt alle anderen Betriebssysteme den Ruf , schwer verständlich und umständlich bedienbar zu sein . So kamen zuerst die Verbreitung und Beliebtheit , und dann die Raubkopien . Über die Jahre haben sich die Sicherheitsmechanismen permanent verbessert . Online-Aktivierung mit Echtheits-Check und Speichern der Seriennummer im BIOS sind nur ein paar Beispiele dafür .
Gerade für kleine und mittlere Unternehmen kann die „ Ich mache gar nichts “ -Strategie sogar existenzbedrohend werden . Umfragen und Studien zeigen , dass die größten Verluste durch Raubkopien vor allem durch Unkenntnis der Lizenzbedingungen und unbeabsichtigtem Lizenzmissbrauch entstehen . Dies trifft vor allem auf Business-Software in Zentraleuropa und Nordamerika zu , die gewerblich genutzt wird . Bei der Vielfalt an Lizenzmodellen ist es auch kaum verwunderlich , dass Administratoren den Überblick verlieren und glauben , noch hinreichend Lizenzen zu besitzen , während diese alle bereits in Benutzung sind . In diesen Fällen würden einfache technische Maßnahmen bereits ausreichen , um diese eingesetzte Software zu monetarisieren .
Die Hacker-Pyramide Betrachtet man die Hacker-Szene , kann man die Mitglieder in vier Gruppen einteilen : Skript-Kiddies , Hobby-Hacker , Profi-Hacker und Top-Hacker . Während Skript-Kiddies vor allem in der Lage sind , Google zu bedienen und damit Anleitungen zum Hacken und fertige Hacks herunterzuladen , verdienen Profi-Hacker und Top-Hacker mit der Bereitstellung von Cracks ihr Geld . Gerade diese Mitglieder denken profitorientiert . Welchen Crack kann ich am häufigsten so teuer wie möglich verkaufen und wo habe ich den geringsten Aufwand ? Dies ist so wie die Geschichte mit den beiden Freunden und dem Bären . Beide werden von einem Bären überrascht und fliehen barfuß . Einer der beiden Freunde bleibt stehen und holt die Turnschuhe aus dem Rucksack . Da meint der andere : „ Auch mit den Turnschuhen bist Du nicht schneller als der Bär .“ Darauf entgegnet der Mann mit den Turnschuhen : „ Das muss ich auch nicht . Ich muss nur schneller sein als Du .“
Genauso ist es mit dem Softwareschutz . Er muss nicht perfekt sein , er muss dem Wert und der Begehrtheit der Software angemessen sein und etwas über dem Standard liegen . Er sollte so gut sein , dass es nur schwer möglich ist , Anleitungen und fertige Baukästen für Skript-Kiddies zu erstellen . Mit CodeMeter ist dies bereits durch den Einsatz von AxProtector erfüllt .
Viel hilft ( wirklich ) viel Die zweite Strategie ist es , die Hürde für den Hacker so hoch wie möglich zu legen . Hacks sollten nicht automatisierbar sein und aus
10
P R OT E C T I O N Wieviel Sicherheit benötigt meine Anwendung? „Alles was die CPU ausführt, kann ein Angreifer auch beobachten. Er kann damit entsprechende Sicherheitsmechanismen verstehen und auch entfernen.“ Diese Aussage ist prinzipiell korrekt, doch wie können Sie als Softwarehersteller auf diese Erkenntnis reagieren? Hier haben Sie drei Strategien: ■ ■ Sie sagen sich „Es bringt ja sowieso alles nichts“ und verwenden keinen Kopier- schutz und keine Lizenzierung. ■ ■ Der Angreifer kann zwar alles verstehen, aber Sie verwenden CodeMeter in einer Art und Weise, dass der Aufwand für den Angreifer nahezu so hoch wäre, als würde er Ihre Software komplett neu schreiben. ■ ■ Sie lagern essentielle Codes in den Cm- Dongle aus und führen diesen Code im CmDongle aus. Damit ist er für den An- greifer nicht mehr beobachtbar. Kein Kopierschutz Die erste und mit Sicherheit schlechteste Al- ternative ist es, auf den Kopierschutz und die Lizenzierung ganz zu verzichten. Auch der Mythos „Microsoft ist durch Raubkopien groß geworden“ ist kein Freibrief für den Verzicht. Einer der wesentlichen Punkte für den Erfolg von Microsoft liegt in der Bündelung des Be- triebssystems mit neu ausgelieferten Com- putern (IBM). Auch die Marktsituation mag dabei eine Rolle gespielt haben. Hatten doch zu diesem Zeitpunkt alle anderen Betriebssys- teme den Ruf, schwer verständlich und um- ständlich bedienbar zu sein. So kamen zuerst die Verbreitung und Beliebtheit, und dann die Raubkopien. Über die Jahre haben sich die Si- 10 cherheitsmechanismen permanent verbessert. Online-Aktivierung mit Echtheits-Check und Speichern der Seriennummer im BIOS sind nur ein paar Beispiele dafür. Gerade für kleine und mittlere Unternehmen kann die „Ich mache gar nichts“-Strategie sogar existenzbedrohend werden. Umfragen und Studien zeigen, dass die größten Verluste durch Raubkopien vor allem durch Unkenntnis der Lizenzbedingungen und unbeabsichtigtem Lizenzmissbrauch entstehen. Dies trifft vor allem auf Business-Software in Zentraleuropa und Nordamerika zu, die gewerblich genutzt wird. Bei der Vielfalt an Lizenzmodellen ist es auch kaum verwunderlich, dass Administrato- ren den Überblick verlieren und glauben, noch hinreichend Lizenzen zu besitzen, während diese alle bereits in Benutzung sind. In diesen Fällen würden einfache technische Maßnah- men bereits ausreichen, um diese eingesetzte Software zu monetarisieren. Die Hacker-Pyramide Betrachtet man die Hacker-Szene, kann man die Mitglieder in vier Gruppen einteilen: Skript-Kiddies, Hobby-Hacker, Profi-Hacker und Top-Hacker. Während Skript-Kiddies vor allem in der Lage sind, Google zu bedie- nen und damit Anleitungen zum Hacken und fertige Hacks herunterzuladen, verdienen Pro- fi-Hacker und Top-Hacker mit der Bereitstel- lung von Cracks ihr Geld. Gerade diese Mit- glieder denken profitorientiert. Welchen Crack kann ich am häufigsten so teuer wie möglich verkaufen und wo habe ich den geringsten Aufwand? Dies ist so wie die Geschichte mit den beiden Freunden und dem Bären. Beide werden von einem Bären überrascht und fliehen barfuß. Einer der beiden Freunde bleibt stehen und holt die Turnschuhe aus dem Ruck- sack. Da meint der andere: „Auch mit den Turnschuhen bist Du nicht schneller als der Bär.“ Darauf entgegnet der Mann mit den Turnschuhen: „Das muss ich auch nicht. Ich muss nur schneller s ́Իp)ͼЁ́ЁM݅ɕ͍踁)́ЁəЁ͕ȁ́]Ёչ)ȁ ѡЁȁM݅ɔ͕͕)չ݅̃ȁMхɐȁͽє)ͼЁ͕́́ȁ͍ݕȁٝа)չչѥ կѕȁMɥе-)́ԁѕ5Ё 5ѕȁЁ́ɕ)ɍͅٽAɽѕѽȁɛи)YЀݥɭ٥)ݕєMɅѕЁ̰#ɑȁ)!ȁͼݥٝԁ!)ͽѕЁѽѥͥɉȁ͕չ