Protección contra la piratería mediante una solución de hardware basada en USB

Question

Quiero proteger mi producto Java utilizando alguna solución de administración de contraseñas y autenticación basada en USB, como puede comprar aquí: aladdin Esto significa que debe conectar una memoria USB con un software especial para poder iniciar su aplicación.

Me gustaría presentar aquí alguna experiencia de usuarios que han usado hardware como este.

• ¿Es esto tan seguro como parece?
• General: cuánto dinero gastarías en proteger un software que vendería ¿100 veces?

Ofuscaré mi código Java y guardaré algunas configuraciones específicas del sistema operativo del usuario en un archivo cifrado que se encuentra en algún lugar del disco duro. No quiero obligar al usuario a registrarse en línea, porque Internet no es necesario para la aplicación.

Gracias

Comentario: La empresa para la que estoy trabajando utiliza Wibu desde hace más de 5 años.

Answer 1

Por favor, no lo hagas. Venda su software a un precio que represente su valor, con un esquema clave básico si debe mantener a la gente honesta honesta , y dejarlo así. Los piratas siempre lo robarán, y un dongle de hardware solo causará dolor a sus clientes honestos.

Además, cualquier esquema que construyas será derrotado por ingeniería inversa; Si le resulta difícil usar su software, motivará a las personas honestas a derrotarlo o buscar una grieta en Internet. Simplemente haga que la protección sea menos dolorosa que buscar una grieta.

Answer 2

Aunque mi punto de vista sobre el tema es no usar tales esquemas de protección contra la piratería, puedo darle algunos consejos, ya que hemos usado tal solución en el pasado. En particular, también utilizamos tokens Aladdin.

Esta solución en términos de seguridad es bastante robusta, ya que es algo que tienes en el sistema o no. No es algo que pueda anular fácilmente, siempre que su código también sea seguro.

En el lado negativo, nos encontramos con un problema que nos hizo abandonar la solución de token de hardware. Nuestra aplicación es una aplicación web de intranet (es decir, una aplicación web que se ejecuta en la intranet local del cliente, no una solución alojada) y, a menudo, los clientes querían implementar nuestra aplicación en servidores blade o incluso servidores virtuales, donde no tenían Puertos USB!

Entonces, antes de elegir una solución de este tipo, tenga en cuenta dichos factores.

Answer 3

Si bien estoy de acuerdo con la mayoría de las otras respuestas, hay un caso en el que funcionan los dongles de hardware y eso es para software de bajo volumen y alto valor. El software popular de alto volumen siempre estará descifrado, por lo que no tiene sentido molestar a sus clientes con un costoso sistema de hardware.

Sin embargo, es poco probable que alguien se moleste en intentar descifrar software especializado de bajo volumen. Sin embargo, si es fácil instalarlo en otra máquina, muchos clientes pueden 'olvidarse' de comprar otra licencia y perder un ingreso valioso. Aquí la protección de dongle funciona, ya que necesitan volver a usted por otro dongle si desean ejecutar dos copias simultáneamente.

He usado los dongles de Aladdin, pero tenga en cuenta que hay emuladores de software disponibles para ellos, por lo que también debe programar la memoria en el dongle con algo que un emulador no puede saber.

Answer 4

Solo para agregar evidencia a lo que dice SoftDeveloper. En el área de software de bajo valor, la protección es contraproducente. Del mismo modo para grandes volúmenes.

Sin embargo, nuestro proveedor de dinero es un producto que se vende por £ 10-25K por licencia de usuario. La gran mayoría de nuestra base de consumidores es muy cuidadosa de cumplir, las grandes corporaciones, y para algunos de ellos hemos vendido productos ilimitados sin protección.

Sin embargo, hemos tenido evidencia en el pasado de que, cuando son utilizadas por compañías más pequeñas para el uso a corto plazo, se han hecho intentos para romper la protección. Cuando pueda perder £ 100K + por incidente, al menos debe desalentar eso.

En el pasado hemos usado SuperPro pero ese producto es débil y obsoleto ahora.

Para nuestro último producto todavía estamos evaluando, pero Sentinel / Aladdin ( http: //www.safenet -inc.com/sentinelhasp/ ), SecuTech Unikey ( http://www.esecutech.com/Software-Protection/UniKey-Family/UniKey-Drive/UniKey-Drive-Overview.html ) y KeyLok Fortress ( http://www.keylok.com ) se encuentran entre el subconjunto seleccionado.

Una cosa que estamos haciendo es permitir una flexibilidad extrema en el modelo. De esa manera, cuando el marketing presente la próxima idea brillante, estaremos listos. Además, también es vital garantizar un control de licencia extremadamente robusto e informativo. La protección no debería significar una mala experiencia del cliente (¡aunque a menudo puede hacerlo!).

Answer 5

He usado estos productos y son un fastidio. Yo personalmente no gastaría ningún dinero en un esquema de hardware o un esquema de protección de terceros.

No se deje tentar por un esquema de protección basado en hardware.

Las únicas cosas que son ciertas:

• Cualquier esquema de protección estará descifrado.
• Molestarás a clientes legítimos
• Perderá tiempo para resolver problemas relacionados con la protección
• Habrá problemas cuando un cliente legítimo no pueda usar su producto debido a la protección.
• Es una mejor inversión utilizar el tiempo y los fondos que hubiera gastado en protección para mejorar el producto o encontrar más clientes.

La regla de oro de protección es hacer que sea indoloro para sus clientes. Los esquemas de protección de hardware hacen que la vida sea inconveniente para sus clientes y más fácil para aquellos que lo han estafado, lo que claramente no es correcto.

Answer 6

Así como otra opinión ligeramente diferente:

Hay una situación en la que con mucho gusto aceptaría el " dongle " enfoque. MATLAB tiene una estructura de precios donde si instala algo en una sola máquina fija, cuesta $ X. Si desea instalarlo como una licencia concurrente (servidor de licencias en la red) para que una persona lo use a la vez, cuesta $ 4X. Eso no tiene ningún sentido para el software poco utilizado.

El modelo de negocio para comprar una llave dinamométrica súper precisa no debería importar cuántas personas quieran usarlo, y si la persona A quiere usarlo pero la persona B ya lo está usando, entonces la persona B tiene que terminar de usarlo antes de que la persona A pueda usarlo. No tengo ningún problema con el software que sigue este modelo mediante el uso de tokens físicos, si se usa en sitios donde lo comparten varios usuarios. Es un modelo comercial mucho más justo que aumentar el precio de una licencia concurrente. El enfoque de token físico puede ser menos atractivo para los clientes individuales, pero si tiene un producto que determina el precio, ¿por qué no?

Si no tiene un producto que está en demanda en ese grado, no me molestaría.

Y será mejor que tengas un mecanismo para lidiar con las fichas perdidas. (por desgracia no tengo ni idea)

Answer 7

Los dongles modernos, usados ??correctamente, pueden proporcionar niveles muy fuertes de protección contra la copia ilegal. CodeMeter de Wibu-Systems ha sobrevivido a varios concursos públicos de craqueo (¡más recientemente en China!) Sin ganadores.

La razón es un cifrado seguro: el ejecutable se cifra completamente con un cifrado AES de 128 bits, y la generación de claves para el descifrado se produce solo en el dongle. Dado que la vida media de las claves es corta, incluso descubrir una clave (que requeriría un esfuerzo enorme) no proporciona una grieta universal.

Los crackers son personas muy inteligentes y no trabajarán más de lo necesario para descifrar software. Es fácil dejar vulnerabilidades en el software si la protección del software no es el foco principal de sus esfuerzos de investigación y desarrollo. Obtener un buen dongle y seguir cuidadosamente las sugerencias del fabricante para proteger es el mejor seguro contra la copia ilegal.

Algunas preguntas útiles al evaluar un sistema para protección: 1. ¿Es compatible con las versiones del sistema operativo que desea orientar con su ejecutable? 2. ¿Cifra las comunicaciones entre el dongle y el sistema operativo? 3. ¿Puede detectar depuradores y bloquear la licencia si se está ejecutando un depurador? 4. ¿Utiliza un chip de tarjeta inteligente (más difícil de rastrear con herramientas de hardware)? 5. ¿Utiliza una sola tecla o varias teclas? 6. ¿Es compatible con los modelos de licencia (pago por uso, pago por tiempo, etc.) que desea? 7. ¿Hay un amplio conjunto de herramientas disponibles para facilitar su uso? 8. ¿Puede proteger otros tipos de archivos además de los archivos .exe? 9. ¿Qué tan bueno es su soporte para desarrolladores? ¿Se ha subcontratado a otro país? 10. ¿Cuántos clientes de referencia pueden proporcionar?

El costo puede ser de $ 50 a $ 100 por copia (o menos o más; depende de varios factores). La mayoría de los proveedores acreditados le proporcionarán información sobre precios con una simple llamada telefónica.

Espero que esto ayude.

Answer 8

Primero, asegúrese de que no sea contraproducente. Tiene un costo no despreciable en desarrollo, prueba, mantenimiento y atención al cliente. Los casos en que dicha protección es la más adecuada es cuando su software es EL software, casi con una máquina dedicada a él.

Sé que los últimos productos de wibu tienen una robustez bastante buena y, en la práctica, son a prueba de piratas informáticos. (Probablemente también existan otros productos similares). Básicamente, partes de su código se pueden cifrar en la clave misma, con una clave de cifrado que cambia todo el tiempo. Organizaron concursos de piratas informáticos en todo el mundo en los que nadie podía usar versiones no autorizadas de un software protegido.

Answer 9

Para la protección contra la piratería, uso OM-p Ellos proveen: - consultoría gratuita sobre piratería - monitoreo gratuito contra la piratería - y derribos pagados por piratería