Passwortabfrage und Hacker-Tools?
 

Hallo,
abgesehen von der Passwortverschlüsselung und Ort frage ich mich seit kurzem wie eine weitere Sicherheit umzusetzen ist. Ich habe mit Hacker-Tools zwar noch nichts mit zu tun gehabt aber wenn man vereinfacht mit
sein Abfrage macht, kann ich mir schon gut vorstellen, dass solche Hacker den entsprechenden Code-Abschnitt mit diversen Tools erst mal erkennen können und das Ganze (in Assembler entsprechend) evtl. mit
abändern könnten. Dann würde das ja gar nichts bringen.
Das was mir dazu nur einfällt, wäre zum einen ein Passwort in Teile zu zerlegen und mehrere IF/THEN zu nutzen sowie auch EXTRA ein Teil des Passwort so umzugestalten, dass ein ELSE hier nötig ist. Jedoch ist mir nicht bekannt, wie der Code beim erzeugen kompiliert wird (ggf. wird das wieder vereinfacht erzeugt). Und dann könnte man ggf. die eigentliche EXE-Datei noch prüfen, ob was verändert wurde. Ich glaube, während die EXE ausgeführt wird, kann man die noch selbst lesen und auswerten.

Gruß WilderMike

AW: Passwortabfrage und Hacker-Tools?
 

Ganz ehrlich? An deiner Stelle würde ich darüber erst gar nicht nachdenken. Wenn dein Programm, welches du schreibst, so wertvoll (schützenswert ist), dann gibt es geeignete Tools (CRYPKEY oder ähnliches die Auswahl ist groß), um dein Programm auch für kurze Zeit zu schützen. Wenn jemand tatsächlich Interesse daran hat, deinen Passwortschutz zu umgehen, wird er dies so oder so bewerkstelligen. Spricht jemand Assembler, liegt sowieso jedes Programm mehr oder weniger im Quellcode vor. Einen Tipp kann ich dir aber geben, wenn du schon dein Passwort im Klartext im Programm speicherst und es dann wieder zusammensetzen willst, wie du schreibst, ist es eh schon der falsche Ansatz. Such mal im Internet nach Hash-Verfahren, das ist sinnvoller.

AW: Passwortabfrage und Hacker-Tools?
 

Eine Möglichkeit ist z.B. nach dem Kompilieren Funktionen und/oder wichtige Teile in der EXE zu verschlüsseln.
Nur mit dem richtigen Passwort werden sie richtig entschlüsselt und können auch nur dann ausgeführt werden.

Alternativ den "wichtigen" Code eben garnicht erst in der EXE zu haben.
* in "deiner" Cloud (WebServer)
* oder z.B. in einem HardwareKey (sicherer USB-Stick)

AW: Passwortabfrage und Hacker-Tools?
 

Das ist eigentlich sehr einfach zu hacken, nicht nur wenn man das Passwort "lesen" kann:

hacken zu

AW: Passwortabfrage und Hacker-Tools?
 

Danke für eure Antworten
Also mein Passwort für mein Programm ist ziemlich sicher ;-) so mal ganz ohne Plan gesagt ;-)

Ich muss mich da wirklich einlesen, klaro.

Natürlich speichere ich mein Passwort nicht als Klartext ab aber ich wollte einfach allg. mal wissen ob mit Hacker-Tools eine IF Anweisung einfach umgepolt werden kann. Also aus „=“ ein „<>“ zu machen, denn dann wäre vereinfacht gesagt, jedes falsche Passwort wieder richtig und der IF-Block wird ausgeführt

Bei meinem jetzigen Passwort-Thema (das 1. Thema überhaupt) ist es eher einfach. Also es wird zum Server weitergeleitet und vorher aus verschiedenen festen Hardware-Daten (z.B. Serien Nummer der Festplatte) in meinem PC zusammengebastelt und dann weitergeschickt. Bei anderen PCs kann dann ja nur immer ein falsches Passwort zum Server ankommen. Ich frage in meinem Fall dann auch nicht ab, ob die Serverantwort eine Meldung/ID für „Passwort richtig“ mir schickt. Sollte man das aber benötigen, wäre eine Abfrage nötig. Deswegen die Frage wegen der IF-Anweisung und den Hackern. User "Rollo62" hat es verdeutlicht. ;-) Danke

Gruß WilderMike

AW: Passwortabfrage und Hacker-Tools?
 

Wenns wirklich wichtig ist, wird halt "Deine Cloud" gehackt. Oder die Kommunikation zwischen EXE und Cloud ausgeforscht. Der Hardwaredongle ist vermutlich die sicherste Bank.

AW: Passwortabfrage und Hacker-Tools?
 

Da bin ich auch nicht mehr ganz so sicher, ich denke das stimmt nur, wenn der Dongle Teile des Codes geschützt verarbeitet.
Denn ansonsten:

:-D

AW: Passwortabfrage und Hacker-Tools?
 

Man sollte erst einmal feststellen, was zu schützen ist. Sind das Daten oder ist es das Programm an sich oder Teile davon. Danach kann man sich die Gefahr eines Hackers und entsprechende Gegenmaßnahmen überlegen.

Warum ist einfach zu erklären:
Wenn es Daten sind, dann kann man dass noch über Hash Prüfung über einen Datenbankserver prüfen. Ein Hacker würde dann eher versuchen, sich einen Zugang zur Datenbank zu schaffen oder sonst irgendwie an die Datenbank zu kommen oder diese zu kopieren. Was man dann im Programm als Hackerschutz und ausgeknobelelte Passwortsicherheit einfallen lässt ist dann trivial, da die Daten bzw. Datenbank das Angriffsziel ist. Außnahme wäre dann nur, wenn man die Daten mit ausgeknügelter Verschlüsselung speichert, dann wäre aber hier keine Frage, da man sowieso diese Thema berücksichtigt hat.

Anders, wenn da Programm, oder Teile davon, das wichtige ist. Beispielsweise ein Algorithmus, der Messungenauigkeiten oder Bildrauschen durch mehrfachte Interpolation mit Außreiser Reduktion verringert. Dann wäre die Programmausführung Passwortgeschützt. Die vorherigen Beispiele über Assembler Sprung nach der Passwortprüfung wäre für einen Hacker dann Standart. Da braucht man dann keine hochkomplizierte, super duper sichere Passwortabfrage. Ein Hacker umgeht den ganzen Kram per Sprunganweisung. Signatur des Programmes würde er löschen und nach "Anpassung" neu erstellen. Würde Windows wegen gültiger Signatur nicht mal Merken. Die Idee, den Programmhash per Resource einzubinden und zu prüfen bringt auch nix. Dass kann man auch per Sprung übergehen.
Was kann man dagegen machen: Genau drei "Hilfsansätze"
1. Den wichtigen Programmteil auf einen USB Dongle mit eigener Logik verlagern. D.h. Programmausführung und Kommunikation über eine HSM geschütze Hardware mit Ausleseschutz.
2. Programmdatei verschüsseln und nur in den Arbeitsspeicher mit dynamischer Speicherzuordnung entpacken. Dann reicht auch ein einfacher Hash Test für das Passwort. Ein richtiger Hacker, der den Programmcode haben will, friert den Rechner ein, ließt den Arbeitsspeicher aus und kann im Arbeitsspeicher ändern.
3. Wer so ein Programm auf einem PC mit Internetanschluss entwickelt braucht 1 und 2 nicht zu beachten. Ein Hacker versucht Zugriff auf den PC zu bekommen und holt sich direkt den Original Sourcecode. Ist weniger Arbeit für den Hacker und dürfte bei "Auftragsarbeit" auf kulerativer sein, da er direkt das komplette Entwicklungsprojekt hat.

Stellt sich daher erst einmal die Frage, was ist das wichtige. Programm oder Daten und könnte ein Hacker sich direkt den Sourcecode klauen, sofern diese so wichtig ist, dass die Ausführung Passwortgeschütz sein muss?

AW: Passwortabfrage und Hacker-Tools?
 

Ich habe mal in einem Projekt den Aufruf des kritischen Programmteils möglichst verschleiert.
Also Security by Obfuscation.

Zum Beispiel den Aufruf Random zeitversetzt, Aufrufe Random an mehrere Stellen verteilt, durch Berechnung erzeugtes Sprungziel, dynamische Sprungziele in Memory halten, App-Crash an mehreren Stellen verteilt, niemals detektierten Hack direkt reagieren,
immer zeitversetzt und/oder erst beim nächsten Start crashen usw., usw., usw.

Das alles zusammen macht es dem Angreifer nicht ganz so leicht, und es sieht für denUser wie ein "schlechtes",
crashendes Programm aus, wenn einer v ersucht das zu hacken.

Damit hält man die Hobbyhacker schonmal ganz gut davon ab weiterzumachen, aber am Ende für die Profis auch kein Problem,
nur mehr Aufwand.

AW: Passwortabfrage und Hacker-Tools?
 

Ja kann man mittels Reverse Engineering wird z.B. in Assembler dafür gesorgt das deine Passwordafrage selbst bei jeder falschen Eingabe immer True ergibt, oder sie wird einfach komplett abgeschaltet, gibt da einige Möglichkeiten. Bei einem Paßwortserver der als Validierung des Paßwortes dient, kann ich mir vorstellen das man hingeht einen lokalen Server installiert deine Abfrage an den richtigen Server auf lokal umbiegt usw. usw. Wie gesagt jeglicher Schutz ist immer nur zeitlich begrenzt, bis jemand denkt dein Programm ist es Wert umsonst verteilt zu werden.