AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Delphi Passwortabfrage und Hacker-Tools?
Thema durchsuchen
Ansicht
Themen-Optionen

Passwortabfrage und Hacker-Tools?

Ein Thema von WilderMike · begonnen am 19. Nov 2024 · letzter Beitrag vom 21. Nov 2024
Antwort Antwort
Seite 1 von 2  1 2      
WilderMike

Registriert seit: 18. Nov 2024
13 Beiträge
 
#1

Passwortabfrage und Hacker-Tools?

  Alt 19. Nov 2024, 20:39
Hallo,
abgesehen von der Passwortverschlüsselung und Ort frage ich mich seit kurzem wie eine weitere Sicherheit umzusetzen ist. Ich habe mit Hacker-Tools zwar noch nichts mit zu tun gehabt aber wenn man vereinfacht mit
Code:
if pw='daspasswort' then...
sein Abfrage macht, kann ich mir schon gut vorstellen, dass solche Hacker den entsprechenden Code-Abschnitt mit diversen Tools erst mal erkennen können und das Ganze (in Assembler entsprechend) evtl. mit
Code:
if pw<>'daspasswort' then...
abändern könnten. Dann würde das ja gar nichts bringen.
Das was mir dazu nur einfällt, wäre zum einen ein Passwort in Teile zu zerlegen und mehrere IF/THEN zu nutzen sowie auch EXTRA ein Teil des Passwort so umzugestalten, dass ein ELSE hier nötig ist. Jedoch ist mir nicht bekannt, wie der Code beim erzeugen kompiliert wird (ggf. wird das wieder vereinfacht erzeugt). Und dann könnte man ggf. die eigentliche EXE-Datei noch prüfen, ob was verändert wurde. Ich glaube, während die EXE ausgeführt wird, kann man die noch selbst lesen und auswerten.

Gruß WilderMike
  Mit Zitat antworten Zitat
Benutzerbild von stOrM
stOrM

Registriert seit: 7. Jun 2003
Ort: Mülheim an der Ruhr
436 Beiträge
 
Delphi 10.3 Rio
 
#2

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 00:35
Ganz ehrlich? An deiner Stelle würde ich darüber erst gar nicht nachdenken. Wenn dein Programm, welches du schreibst, so wertvoll (schützenswert ist), dann gibt es geeignete Tools (CRYPKEY oder ähnliches die Auswahl ist groß), um dein Programm auch für kurze Zeit zu schützen. Wenn jemand tatsächlich Interesse daran hat, deinen Passwortschutz zu umgehen, wird er dies so oder so bewerkstelligen. Spricht jemand Assembler, liegt sowieso jedes Programm mehr oder weniger im Quellcode vor. Einen Tipp kann ich dir aber geben, wenn du schon dein Passwort im Klartext im Programm speicherst und es dann wieder zusammensetzen willst, wie du schreibst, ist es eh schon der falsche Ansatz. Such mal im Internet nach Hash-Verfahren, das ist sinnvoller.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#3

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 03:49
Eine Möglichkeit ist z.B. nach dem Kompilieren Funktionen und/oder wichtige Teile in der EXE zu verschlüsseln.
Nur mit dem richtigen Passwort werden sie richtig entschlüsselt und können auch nur dann ausgeführt werden.

Alternativ den "wichtigen" Code eben garnicht erst in der EXE zu haben.
* in "deiner" Cloud (WebServer)
* oder z.B. in einem HardwareKey (sicherer USB-Stick)
$2B or not $2B
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.116 Beiträge
 
Delphi 12 Athens
 
#4

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 07:33
Das ist eigentlich sehr einfach zu hacken, nicht nur wenn man das Passwort "lesen" kann:

Code:
...
if pw<> TotalSuperSicherePasswortVerschlüsselung_GarantiertUnknackbar then
    begin
        MacheDeineKritischenSachen.
    end;
hacken zu

Code:
...

goto JumpHereToHackIt; //Einfach einen Sprung einfügen

if pw<> TotalSuperSicherePasswortVerschlüsselung_GarantiertUnknackbar then
    begin
      :JumpHereToHackIt;
        MacheDeineKritischenSachen.
    end;
  Mit Zitat antworten Zitat
WilderMike

Registriert seit: 18. Nov 2024
13 Beiträge
 
#5

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 10:11
Danke für eure Antworten
Also mein Passwort für mein Programm ist ziemlich sicher so mal ganz ohne Plan gesagt

Ich muss mich da wirklich einlesen, klaro.

Natürlich speichere ich mein Passwort nicht als Klartext ab aber ich wollte einfach allg. mal wissen ob mit Hacker-Tools eine IF Anweisung einfach umgepolt werden kann. Also aus „=“ ein „<>“ zu machen, denn dann wäre vereinfacht gesagt, jedes falsche Passwort wieder richtig und der IF-Block wird ausgeführt

Bei meinem jetzigen Passwort-Thema (das 1. Thema überhaupt) ist es eher einfach. Also es wird zum Server weitergeleitet und vorher aus verschiedenen festen Hardware-Daten (z.B. Serien Nummer der Festplatte) in meinem PC zusammengebastelt und dann weitergeschickt. Bei anderen PCs kann dann ja nur immer ein falsches Passwort zum Server ankommen. Ich frage in meinem Fall dann auch nicht ab, ob die Serverantwort eine Meldung/ID für „Passwort richtig“ mir schickt. Sollte man das aber benötigen, wäre eine Abfrage nötig. Deswegen die Frage wegen der IF-Anweisung und den Hackern. User "Rollo62" hat es verdeutlicht. Danke

Gruß WilderMike

Geändert von WilderMike (20. Nov 2024 um 10:14 Uhr)
  Mit Zitat antworten Zitat
Frickler

Registriert seit: 6. Mär 2007
Ort: Osnabrück
599 Beiträge
 
Delphi XE6 Enterprise
 
#6

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 10:23
Alternativ den "wichtigen" Code eben garnicht erst in der EXE zu haben.
* in "deiner" Cloud (WebServer)
* oder z.B. in einem HardwareKey (sicherer USB-Stick)
Wenns wirklich wichtig ist, wird halt "Deine Cloud" gehackt. Oder die Kommunikation zwischen EXE und Cloud ausgeforscht. Der Hardwaredongle ist vermutlich die sicherste Bank.
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.116 Beiträge
 
Delphi 12 Athens
 
#7

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 12:57
Der Hardwaredongle ist vermutlich die sicherste Bank.
Da bin ich auch nicht mehr ganz so sicher, ich denke das stimmt nur, wenn der Dongle Teile des Codes geschützt verarbeitet.
Denn ansonsten:

Delphi-Quellcode:
...

goto JumpHereToHackIt; //Einfach einen Sprung einfügen

if PrüfeDenTotalSuperSicherenDongle
              MitZertifikatUndPasswortUndVerschlüsselung_
              GarantiertUnknackbarUndNSASicher
then
    begin
      :JumpHereToHackIt;
        MacheDeineKritischenSachen.
    end;

Geändert von TBx (21. Nov 2024 um 10:04 Uhr) Grund: Layout gerade gerückt
  Mit Zitat antworten Zitat
johndoe049

Registriert seit: 22. Okt 2006
170 Beiträge
 
#8

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 13:30
Man sollte erst einmal feststellen, was zu schützen ist. Sind das Daten oder ist es das Programm an sich oder Teile davon. Danach kann man sich die Gefahr eines Hackers und entsprechende Gegenmaßnahmen überlegen.

Warum ist einfach zu erklären:
Wenn es Daten sind, dann kann man dass noch über Hash Prüfung über einen Datenbankserver prüfen. Ein Hacker würde dann eher versuchen, sich einen Zugang zur Datenbank zu schaffen oder sonst irgendwie an die Datenbank zu kommen oder diese zu kopieren. Was man dann im Programm als Hackerschutz und ausgeknobelelte Passwortsicherheit einfallen lässt ist dann trivial, da die Daten bzw. Datenbank das Angriffsziel ist. Außnahme wäre dann nur, wenn man die Daten mit ausgeknügelter Verschlüsselung speichert, dann wäre aber hier keine Frage, da man sowieso diese Thema berücksichtigt hat.

Anders, wenn da Programm, oder Teile davon, das wichtige ist. Beispielsweise ein Algorithmus, der Messungenauigkeiten oder Bildrauschen durch mehrfachte Interpolation mit Außreiser Reduktion verringert. Dann wäre die Programmausführung Passwortgeschützt. Die vorherigen Beispiele über Assembler Sprung nach der Passwortprüfung wäre für einen Hacker dann Standart. Da braucht man dann keine hochkomplizierte, super duper sichere Passwortabfrage. Ein Hacker umgeht den ganzen Kram per Sprunganweisung. Signatur des Programmes würde er löschen und nach "Anpassung" neu erstellen. Würde Windows wegen gültiger Signatur nicht mal Merken. Die Idee, den Programmhash per Resource einzubinden und zu prüfen bringt auch nix. Dass kann man auch per Sprung übergehen.
Was kann man dagegen machen: Genau drei "Hilfsansätze"
1. Den wichtigen Programmteil auf einen USB Dongle mit eigener Logik verlagern. D.h. Programmausführung und Kommunikation über eine HSM geschütze Hardware mit Ausleseschutz.
2. Programmdatei verschüsseln und nur in den Arbeitsspeicher mit dynamischer Speicherzuordnung entpacken. Dann reicht auch ein einfacher Hash Test für das Passwort. Ein richtiger Hacker, der den Programmcode haben will, friert den Rechner ein, ließt den Arbeitsspeicher aus und kann im Arbeitsspeicher ändern.
3. Wer so ein Programm auf einem PC mit Internetanschluss entwickelt braucht 1 und 2 nicht zu beachten. Ein Hacker versucht Zugriff auf den PC zu bekommen und holt sich direkt den Original Sourcecode. Ist weniger Arbeit für den Hacker und dürfte bei "Auftragsarbeit" auf kulerativer sein, da er direkt das komplette Entwicklungsprojekt hat.

Stellt sich daher erst einmal die Frage, was ist das wichtige. Programm oder Daten und könnte ein Hacker sich direkt den Sourcecode klauen, sofern diese so wichtig ist, dass die Ausführung Passwortgeschütz sein muss?
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.116 Beiträge
 
Delphi 12 Athens
 
#9

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 14:14
Ein Hacker umgeht den ganzen Kram per Sprunganweisung.
Ich habe mal in einem Projekt den Aufruf des kritischen Programmteils möglichst verschleiert.
Also Security by Obfuscation.

Zum Beispiel den Aufruf Random zeitversetzt, Aufrufe Random an mehrere Stellen verteilt, durch Berechnung erzeugtes Sprungziel, dynamische Sprungziele in Memory halten, App-Crash an mehreren Stellen verteilt, niemals detektierten Hack direkt reagieren,
immer zeitversetzt und/oder erst beim nächsten Start crashen usw., usw., usw.

Das alles zusammen macht es dem Angreifer nicht ganz so leicht, und es sieht für denUser wie ein "schlechtes",
crashendes Programm aus, wenn einer v ersucht das zu hacken.

Damit hält man die Hobbyhacker schonmal ganz gut davon ab weiterzumachen, aber am Ende für die Profis auch kein Problem,
nur mehr Aufwand.
  Mit Zitat antworten Zitat
Benutzerbild von stOrM
stOrM

Registriert seit: 7. Jun 2003
Ort: Mülheim an der Ruhr
436 Beiträge
 
Delphi 10.3 Rio
 
#10

AW: Passwortabfrage und Hacker-Tools?

  Alt 20. Nov 2024, 14:59
Danke für eure Antworten
Also mein Passwort für mein Programm ist ziemlich sicher so mal ganz ohne Plan gesagt

Ich muss mich da wirklich einlesen, klaro.

Natürlich speichere ich mein Passwort nicht als Klartext ab aber ich wollte einfach allg. mal wissen ob mit Hacker-Tools eine IF Anweisung einfach umgepolt werden kann. Also aus „=“ ein „<>“ zu machen, denn dann wäre vereinfacht gesagt, jedes falsche Passwort wieder richtig und der IF-Block wird ausgeführt

Gruß WilderMike
Ja kann man mittels Reverse Engineering wird z.B. in Assembler dafür gesorgt das deine Passwordafrage selbst bei jeder falschen Eingabe immer True ergibt, oder sie wird einfach komplett abgeschaltet, gibt da einige Möglichkeiten. Bei einem Paßwortserver der als Validierung des Paßwortes dient, kann ich mir vorstellen das man hingeht einen lokalen Server installiert deine Abfrage an den richtigen Server auf lokal umbiegt usw. usw. Wie gesagt jeglicher Schutz ist immer nur zeitlich begrenzt, bis jemand denkt dein Programm ist es Wert umsonst verteilt zu werden.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:49 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz