Das ist der Knackpunkt, gell? Ein Schutz muß immer abwägen zwischen dem mehr oder weniger berechtigten Schutzinteresse des Herstellers, dem Mißtrauen dem Kunden gegenüber und dem was man dem Kunden im Endeffekt aufbürdet (Fairneß seitens des Herstellers vs. Fairneß gegenüber dem Hersteller).

Da ich in der Vergangenheit (2005) einen Dongle von einer CAD-Software (MARX CBV) im Alleingang für ein Familienmitglied geknackt habe (LPT-Dongles waren schon immer mit am anfälligsten für's Durchbrennen) und sich das beim - gegenüber dem Softwarehersteller unangekündigten - schnellen Umzug auf einen Laptop (aufgrund Diebstahls des vorherigen Rechners) auszahlte, betrachte ich das eben auch von mehreren Seiten. Wenn der LPT-Dongle durchgebrannt wäre, wäre Pumpe gewesen. So war Pumpe aufgrund des geklauten Rechners. Aber der Dongle wurde eben nicht geklaut, weil der sicher im Safe lag, denn der CAD-Software wurde ja mit anderer Software vorgekaukelt der Dongle sei am Rechner. Nur hatte der Laptop keinen LPT-Port mehr. Also war eben trotzdem Pumpe. Die Arbeit konnte aber dennoch schon vor Eintreffen des - ebenso dilettantisch implementierten (es wundert nicht!) - USB-Dongles weitergehen.

Ich war auch anno 2002 am Knacken eines Dongles (Sentinel) für eine SCADA-Software beteiligt. Da der nicht so dilettantisch eingebunden war wie jener in der CAD-Software, mußte ein Treiber geschrieben werden der die Kommunikation mit dem Dongle abfängt und die entsprechenden Daten aufnimmt um sie später wieder (ohne Dongle) abspielen zu können.

Habe dann nochmal (2013) am Nachfolgeprogramm des ersten CAD-Programms gewerkelt. Aber der Schutz dort war human (also die Abwägung zwischen Fairneß gegenüber dem Nutzer und Fairneß gegenüber dem Hersteller war gelungen). Daher hab ich das aufgegeben. Sollte der Hersteller die Daumenschraube anziehen, guck ich mir das nochmal an und habe dann schon ein wenig mit meiner bisherigen Analyse vorgebaut.

(In keinem der Fälle sind die Resultate irgendwo öffentlich verfügbar.)

Wer von der Prämisse ausgeht daß alles knackbar ist, hat einen anderen Blick auf die Dinge. Ich geb dir mal ein Beispiel. Hexrays der Hersteller von IDA ist sich aufgrund der Natur der eigenen Software sehr bewußt was man alles mit RCE (Reverse Code Engineering) machen kann. Daher bemühen die sich nicht erst einen Kopierschutz an sich zu machen, sondern sind es anders angegangen. Es ist übrigens ausdrücklich erlaubt IDA selbst zu reversen.

1. Die Installationsdatei ist mit einem Paßwort geschützt. Das ist vermutlich vor allem dafür da jene abzuhalten, die diese Installationsdatei durch Zufall in die Hände bekommen. Bei meiner IDA 6.95 Installation waren es 12 Zeichen, wobei Groß- und Kleinbuchstaben sowie Ziffern zum Einsatz kamen. Also mit etwas Geduld durchaus auch automatisiert knackbar.
2. Jede Installation enthält "Wasserzeichen" die diese Installation rückverfolgbar machen.

Der letzte Punkt ist der wichtige. Wenn wir davon ausgehen daß es sich um einen Rechtsstaat handelt in dem man Geschäfte macht, sollte man davon ausgehen daß ein Lizenzvertrag etwas wert ist. Zumal das Internet trotz gegenteiliger Bekundungen diverser Politiker schon jetzt kein rechtsfreier Raum ist.

Wenn nun der Kunde die Software weitergibt (oder dies durch Fahrlässigkeit ermöglicht) läßt sich die Kopie zum Kunden zurückverfolgen, der dann mit Folgen rechnen muß. Die können auch schon im Lizenzvertrag als Vertragsstrafe festgelegt werden. Dort ließe sich dann auch abhandeln wie es im Falle von Fahrlässigkeit aussieht und wer welche Beweisschuld hat. Die Macher von IDA hatten da bspw. mal eine "Hall of Shame" auf ihrer Webseite. Die haben übrigens immer wieder nicht an Privatleute verkauft, weil sie Angst vor Cardern hatten (also Leuten die fremde Kreditkarten mißbrauchen). Daher bürgte für meine erste Lizenz Nico für mich (einige hier kennen ihn noch). Damals noch eine Studentenversion, mittlerweile natürlich seit Jahren die Vollversion.

Nachdem dann aber ein ehemaliger Mitarbeiter von ESET IDA kopiert hatte und weitergab, woraufhin diese geknackt und öffentlich verfügbar gemacht wurde (IDA 6.1 inklusive Decompiler), war auch der Schwachpunkt dieser Methode (Hall of Shame) klar. Es wäre komplett auf ESET zurückgefallen, obwohl ein gekündigter Mitarbeiter die Schuld trug (ob es da Zivilklagen gegen den namentlich bekannten Mitarbeiter gab, weiß ich nicht). Einerlei mir geht es darum daß es auch Alternativen gibt bei denen man nicht die Kunden quälen muß, und die dennoch eine hinreichende (rechtliche) Sicherheit für den Hersteller bieten.

Übrigens bieten diese ganzen Anbieter - gerade bei den Hardware-Dongles - immer einen Bausatz (SDK) und Dokumentation an. Aber scheinbar lesen sich das nicht alle Hersteller durch, denn ansonsten würden sie den Schutz nicht so dilettantisch implementieren. Im Fall der ersten CAD-Software war der Schutz durch einen DLL-Placement Angriff zu knacken. Im ersten Durchgang schrieb ich dazu eine alternative DLL welche statt im Systemverzeichnis im Programmverzeichnis landete. Diese schnitt dann die Kommunikation der eigentlichen DLL mit (die Funktionsaufrufe reichte ich einfach weiter). Da hier keine Logik oder Daten in den Dongle ausgelagert waren (wie beim Sentinel in 2002), konnte ich so auf einfachste Weise jene Werte ermitteln die das Programm gern sehen wollte. Im zweiten Schritt ließ ich dann meine DLL diese Werte vorgaukeln, was auch hervorragend klappte. Fazit: dilettantisch implementiert. Allein das Überprüfen der Signatur der geladenen DLL hätte hier geholfen. Und natürlich hätte man den DLL-Placement Angriff auch verhindern können. Das wären schon zwei weitere Steine in meinem Weg gewesen, wenn auch keine die nicht auszuräumen gewesen wären.

Naja, das ist ja irgendwie das Prinzip "was teuer ist, muß auch gut sein" übertragen auf Software "was aufwendig geschützt ist, muß auch gut sein". Es ist richtig, es gibt eine Menge Leute mit ausreichend Zeit um Software zu knacken. Manche tun es eh nur für den Ruhm, andere aus kommerziellem Interesse und einige vielleicht aus Langeweile oder anderen Gründen. Da kann jeder auf der "Abschußliste" landen.

Aber allein den Reiz an der Güte des Schutzes festzumachen halte ich für zu kurz gegriffen.

Ich nutze ein eigenes Lizenzsystem zusammen mit Themida.

Meine Erfahrungen:
- Aktuell ist mir kein Crack oder Seriennummer-Generator für meine Software bekannt.
- Theamida geschützte Programme werden leider von viele AV Programmen als schädlich aussortiert - dadurch habe ich erhöhten Support
- Einen Kunden die Heuristik von AV Programmen zu erklären ist nicht lustig.
- Lizenznummern sollten KEINE Leerzeichen enthalten - Kunden kopieren meist nicht die ganze Lizenznummer
- Unicode in der Lizenz führt (bei mir im Augenblick) zu Problemen

Lizenzen werden über ein PHP Skript erzeugt und dem Shop-System (DigitalRiver) zur Verfügung gestellt.
Lizenzen werden mit dem Delphi-Programm geprüft.

Und das zu Recht! Die meisten mit Themida "geschützten" Programme sind in der Tat bösartige Programme die sich verstecken wollen. Kurzum, deine Wahl ist äußerst bescheiden in diesem Fall.

Aber ist ja deine Sache

Ich würde jedoch empfehlen: Finger weg von Themida.

Das ist bei uns auch nicht einfacher. Als jemand der für eine AV-Firma arbeitet finde ich es aber 1.) gerechtfertigt bestimmten Packern etwas zu unterstellen, denn wir sammeln nicht nur bösartige Proben, sondern auch jede Menge gutartige; und wenn da ein Packer ala Themida hervorsticht ist das nunmal nicht so gut für dessen Benutzer ob zahlend (bspw. du) oder nicht (jede Menge Malwareautoren). Taggant ist der branchenübergreifende (AV und Packer) Versuch das Problem anzugehen. Sieht aber bisher wie eine Totgeburt aus. Und 2.) finde ich es viel schlimmer, daß du als ISV oder auch Hobbyanbieter von Programmen ein Problem hast wenn irgendein Hersteller was als bösartig einstuft, weil in vielen Fällen die anderen nachziehen (in der Schule würde man von Abschreiben sprechen). Dadurch wird es zu einem Kampf gegen Windmühlen eine Falscherkennung wieder aus den Produkten aller Hersteller herausnehmen zu lassen. Denn im Gegensatz zu bösartiger Software wo diese Dynamik gewünscht ist, fehlt für gutartige fälschlich erkannte Software ein Mechanismus allen Herstellern mitzuteilen, daß es sich um einen Fehlalarm handelt. Man darf sich also an alle einzeln wenden und das ist noch nicht einmal über eine vereinheitlichte Schnittstelle möglich. IEEE Clean File Metadata Exchange (CMX) ist da leider keine Hilfe, weil da nur die Giganten der Softwarebranche reingelassen werden. Und als ich nach einem Vortrag bei VB 2013 in Berlin einen der Organisatoren fragte wie das denn für mich als Open-Source-Autoren aussähe, bekam ich auch leider eine abschlägige Antwort. Nicht einmal kleinere Unternehmen werden dort berücksichtigt.