AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Softwareentwicklung im Allgemeinen Projektplanung und -Management Software gegen API-Zugriffe von aussen schützen?
Thema durchsuchen
Ansicht
Themen-Optionen

Software gegen API-Zugriffe von aussen schützen?

Ein Thema von nuclearping · begonnen am 20. Jan 2014 · letzter Beitrag vom 25. Jan 2014
Antwort Antwort
Seite 1 von 2  1 2      
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.557 Beiträge
 
Delphi 12 Athens
 
#1

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 20. Jan 2014, 11:44
Aber die ganze Oberfläche des Software-Systems dafür neu zu erstellen wäre ein zu großer Aufwand, nicht nur von den Kosten, sondern vorallem auch von der Zeit her.
Einfach ein TEdit erstellen, welches intern nichts dauf das EDIT vom Windows zurück geht, aber im Delphi mit der selben/kompatiblen Schnittstelle in der Klasse arbeitet.
Und dann einfach die Unit überall als Letztes in die Form-Units einbinden, so ala http://www.delphipraxis.net/141895-t...phi-other.html .

Oder via Refactoring, oder so, die Komponenten in den Forms austauschen, bzw. nur die Komponenten, wo es nötig ist.

Ja, an sowas hatte ich auch gedacht. Jedoch habe ich keine Erfahrungen damit, ob das dafür der optimale Weg wäre und wollte eure Meinungen dazu hören.
Ich weiß allerdings auch nicht, ob man an den zugänglichen Stellen überhaupt rausbekommt, von wem die Nachticht ist.

Dann startet der Bösewicht halt sein Programm auch als Admin?
Entweder ihr verwaltet dieses Konto und notfalls kann man da auch nachsehen, ob und welche Programme im selben Kontext laufen, bzw. welche die nötigen Rechte hätten.
Ein Therapeut entspricht 1024 Gigapeut.
  Mit Zitat antworten Zitat
nuclearping

Registriert seit: 7. Jun 2008
708 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#2

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 21. Jan 2014, 11:56
Einfach ein TEdit erstellen, welches intern nichts dauf das EDIT vom Windows zurück geht, aber im Delphi mit der selben/kompatiblen Schnittstelle in der Klasse arbeitet.
Hauptsächlich geht es hier um einen TVirtualStringTree, indem die Daten abgebildet werden. Aber das Prinzip müsste ja das gleiche sein.

Ich weiß allerdings auch nicht, ob man an den zugänglichen Stellen überhaupt rausbekommt, von wem die Nachticht ist.
Ja, das denke ich auch.

Wir werden mal ein bisschen rumspielen und wenn es was zu berichten gibt, melde ich mich.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.557 Beiträge
 
Delphi 12 Athens
 
#3

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 21. Jan 2014, 12:04
Beim VirtualTreeView sind doch die Daten nicht in der GUI?
Also grade da sollte es doch nicht möglich sein, die Daten von extern abzufragen.
Ein Therapeut entspricht 1024 Gigapeut.
  Mit Zitat antworten Zitat
Benutzerbild von cookie22
cookie22

Registriert seit: 28. Jun 2006
Ort: Düsseldorf
936 Beiträge
 
Delphi XE2 Professional
 
#4

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 21. Jan 2014, 15:25
Beim VirtualTreeView sind doch die Daten nicht in der GUI?
Also grade da sollte es doch nicht möglich sein, die Daten von extern abzufragen.
Es nicht möglich, da brauchst gar net grübeln.

Vor allem fragt sich wie sinnvoll das Ganze ist, denn wenn man die Daten stehlen will, kann man ja auch mit Screenshots arbeiten. Oder direkt im Speicher drauf zugreifen.
Gruß
Cookie

Geändert von cookie22 (21. Jan 2014 um 15:42 Uhr)
  Mit Zitat antworten Zitat
nuclearping

Registriert seit: 7. Jun 2008
708 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#5

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 21. Jan 2014, 17:30
Beim VirtualTreeView sind doch die Daten nicht in der GUI?
Also grade da sollte es doch nicht möglich sein, die Daten von extern abzufragen.
Ich weiß, dass es zB über SnagIt möglich ist, den Inhalt eines TVirtualStringTree komplett zu auszulesen und als Bild, PDF oder sonstwas zu speichern oder zu drucken.

Vor allem fragt sich wie sinnvoll das Ganze ist, denn wenn man die Daten stehlen will, kann man ja auch mit Screenshots arbeiten. Oder direkt im Speicher drauf zugreifen.
Ich weiß ehrlich gesagt nicht, was dein Problem ist? Wenn du es sinnlos findest, gut. Aber darum gehts hier doch garnicht? Wenn du was sinnvolles zu meiner Fragestellung beitragen kannst, gern. Andernfalls würde ich dich bitten, damit aufzuhören, hier in dem Thread über Sinn oder Unsinn von Softwareschutz diskutieren zu wollen.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.557 Beiträge
 
Delphi 12 Athens
 
#6

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 21. Jan 2014, 17:56
Ich weiß, dass es zB über SnagIt möglich ist, den Inhalt eines TVirtualStringTree komplett zu auszulesen und als Bild, PDF oder sonstwas zu speichern oder zu drucken.
ScreenShot machen und darin nach Texten suchen, wirst du praktisch nie vollständig unterbinden können.
Ein Therapeut entspricht 1024 Gigapeut.
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#7

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 21. Jan 2014, 18:03
Nicht möglich!
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#8

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 21. Jan 2014, 18:18
Das ist mehr oder weniger die Wahl zwischen Strick und Pistole:
  1. unübliche GUI-Verhalten, um Tools zu täuschen: nicht benutzerfreundlich, teuer und kann wie ein Fehler aussehen
  2. Verhaltensanalyse: fehleranfällig und teuer
Die Verhaltensanalyse könnte man entweder auf der Ebene der Windows-Message oder auf Ebene von Events machen. Du könntest zum Bespiel das Verhalten der normalen Nutzer und das der Tools analysieren. Wenn das Verhalten zu stark von dem eines menschlichem Nutzer abweicht oder zu Nahe am Profil eines der bekannten Tools ist, dann kannst du Maßnahmen ergreifen.
Das Ding wäre mehr oder weniger ein Forschungsprojekt mit ungewissen Ausgang
  Mit Zitat antworten Zitat
Benutzerbild von cookie22
cookie22

Registriert seit: 28. Jun 2006
Ort: Düsseldorf
936 Beiträge
 
Delphi XE2 Professional
 
#9

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 22. Jan 2014, 03:44
Ich weiß ehrlich gesagt nicht, was dein Problem ist? Wenn du es sinnlos findest, gut. Aber darum gehts hier doch garnicht? Wenn du was sinnvolles zu meiner Fragestellung beitragen kannst, gern. Andernfalls würde ich dich bitten, damit aufzuhören, hier in dem Thread über Sinn oder Unsinn von Softwareschutz diskutieren zu wollen.
Ich hab dir hier zu sagen versucht, dass das auslesen via Windows Messages im VST nicht möglich ist.

Snagit ist eine Screenshot Software. Alles was du auf den Screen bringst, kann auch gescreenshottet werden, nichts anderes macht Snagit oder jedes andere beliebeige Screenshot-Programm.

Die Frage die du dir stellen solltest ist, was du erreichen willst.

Du willst Datendiebstahl verhindern. Gut. Aber wer sollte denn die Daten stehlen?
Eine Schadsoftware? Du gehst doch nicht ernsthaft davon aus, dass deine Software auf kompromittierten Systemen läuft, oder?

Wer könnte noch die Daten stehlen? Derjenige der an dem Arbeitsplatz arbeitet? Der kann aber auch sein Handy benutzen und den Screen abfotografieren.

Die Frage ist, wie weit du gehen willst?

Du willst Screenshots per Printscreen verhindern. Das geht noch relativ einfach.

http://labnol.blogspot.de/2004/08/disable-print-screen-key-in-windows.html

Aber selbst mit dem Windows-Snipping Tool kann man das schon wieder umgehen.

Um das Ganze halbwegs dicht zu machen, müßtest du auch sämtliche Screencaptue und Screencam Programme blocken. Dabei wünsche ich viel Gluck und Spass.

Darum die Frage nach Sinn und Unsinn. Bitte nicht falsch verstehen. Aber Sicherheit und Windows passen einfach nicht zusammen, besonders nicht auf dem Level, das du anstrebst.
Gruß
Cookie

Geändert von cookie22 (22. Jan 2014 um 06:13 Uhr)
  Mit Zitat antworten Zitat
nuclearping

Registriert seit: 7. Jun 2008
708 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#10

AW: Software gegen API-Zugriffe von aussen schützen?

  Alt 22. Jan 2014, 12:42
Du willst Datendiebstahl verhindern. Gut. Aber wer sollte denn die Daten stehlen?
Eine Schadsoftware? Du gehst doch nicht ernsthaft davon aus, dass deine Software auf kompromittierten Systemen läuft, oder?

Wer könnte noch die Daten stehlen? Derjenige der an dem Arbeitsplatz arbeitet? Der kann aber auch sein Handy benutzen und den Screen abfotografieren.
Die Frage ist, wie weit du gehen willst?
Darum die Frage nach Sinn und Unsinn. Bitte nicht falsch verstehen. Aber Sicherheit und Windows passen einfach nicht zusammen, besonders nicht auf dem Level, das du anstrebst.
Es geht hier im speziellen um den chinesischen Markt und das System kostet mehrere tausend Euro. Weiterhin enthält es Daten, die wir über viele Jahre durch Forschungen, Recherchen oder Zusammenarbeit mit anderen Instituten zusammengetragen haben.

Also es geht hier nicht darum, dass ein Otto-Normal-Anwender sich mal was ausdruckt oder sowas, sondern um professionelle Piraterie, mit der Absicht die Daten aus dem System zu extrahieren, die Hardware auseinander zu nehmen und zu kopieren, um eine billige Kopie zu erschaffen. Das wollen wir so gut wie möglich erschweren oder gar verhindern. Und unser Problem besteht nebenbei nicht nur auf Software- sondern auch auf Hardware-Ebene, da unser System mit einem eigenen Set an USB-Geräten ausgeliefert wird.

Die Frage ist nicht, wie weit ich gehen will, sondern was im vernünftigen Rahmen möglich ist. Wie schon gesagt: Mir ist völlig bewusst, dass man keinen 100%igen Schutz bieten kann und ein Angreifer einfach eine Screen-Capturing-Software laufen lässt, die Texte per OCR extrahiert und die Bilder (die es zB zu den Texten geben kann) ausschneidet. Wo ein Wille ist, ist mindestens auch ein Weg.

Andererseits können wir auch nicht einfach sagen, dass wir garnichts machen. Ich hoffe du verstehst mein Problem.

Das ist mehr oder weniger die Wahl zwischen Strick und Pistole:
  1. unübliche GUI-Verhalten, um Tools zu täuschen: nicht benutzerfreundlich, teuer und kann wie ein Fehler aussehen
  2. Verhaltensanalyse: fehleranfällig und teuer
Die Verhaltensanalyse könnte man entweder auf der Ebene der Windows-Message oder auf Ebene von Events machen. Du könntest zum Bespiel das Verhalten der normalen Nutzer und das der Tools analysieren. Wenn das Verhalten zu stark von dem eines menschlichem Nutzer abweicht oder zu Nahe am Profil eines der bekannten Tools ist, dann kannst du Maßnahmen ergreifen.
Das Ding wäre mehr oder weniger ein Forschungsprojekt mit ungewissen Ausgang
Danke für die Tipps. Ich denke das wäre durchaus ein alternativer Ansatz.

Statt zu verhindern, dass man Controls ausliest, kann man "einfach" untypisches Verhalten blockieren. Zum Beispiel:

- Wie oft ändert ein Benutzer die Datenbank-Kategorie, um sich was anderes anzuschauen? Sicher nicht mehr als 1x in 5 Sekunden. Und wenn er das doch öfters als X Mal macht, stimmt was nicht.
- Wie oft führt ein Benutzer eine Analyse über die Hardware (mit geänderten Anfrageparametern) durch? Sicherlich auch nicht öfters X Mal pro Minute bzw. X Mal sofort immer wieder hintereinander. Wenn doch, stimmt was nicht.
- Usw...

Ich denke in die Richtung könnte man wirklich was machen.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:36 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz