Het Duitse ict-beveiligingsbedrijf Wibu-Systems organiseert een internationale hackerswedstrijd. Doel is een computerspel, waarin zogeheten Blurry Box-encryptie is ingebouwd, zo te modificeren dat het zonder internetverbinding en daarmee samenhangende beveiligingscomponent net zo functioneert als het origineel. Voor de winnaar ligt vijftigduizend euro klaar. Dit maakt Wibu bekend op de industriebeurs Hannover Messe.
Het draait om een computerspel waarbij een speler met een bepaald budget een reis door Duitsland kan maken – per auto, trein of fiets of te voet – in combinatie met een tiental meerkeuze-kennisvragen. Hoe meer vragen goed, hoe hoger het budget. Maar het budget wordt ook beïnvloed door de keuze van vervoer.
Volgens Oliver Winzenried, algemeen directeur en oprichter van Wibu-Systems, gaat het niet om een ‘fancy vormgeven spel maar is de spelopzet zo gekozen dat er velerlei variaties zijn. De wedstrijd is eigenlijk een extra praktijktest. Ik ben benieuwd of er zwakheden zijn die ontwikkelaars over het hoofd hebben gezien.’
Inzenden
Hackers kunnen zich online registreren op www.blurrybox.com. Ze hebben drie weken de tijd om de code te kraken en kans te maken op het winnen van vijftigduizend euro. Directeur Winzenried kan zich voorstellen dat er bijvoorbeeld op universiteiten studenten de krachten bundelen om de wedstrijd te winnen en zo aardig bij te verdienen.
De inbraken worden direct doorgegeven aan een externe jury van Duitse wetenschappers in it-beveiliging, verbonden aan respectievelijk het Horst Goertz Instituut (HGI) en het Instituut voor Internetbeveiliging (Institut für Internet-Sicherheit). De juryleden zijn de professoren Thorsten Holz, Christof Paar en Norbert Pohlmann.
Wibu-Systems organiseert vaker hackerswedstrijden. Volgens Winzenried is het een interessante manier om nieuwe beveiligingsmethodieken te laten valideren door de internationale gemeenschap. ‘Blurry Box willen we nog aan deze testen onderwerpen alvorens we deze encryptiemethode integreren in onze vlaggenschip-technologie CodeMeter en beschikbaar stellen aan de klanten.’
Blurry Box
Wibu-Systems levert beveiliging en licentiëring van intellectueel eigendom, software en data voor software-uitgevers, bouwers van slimme apparaten en industriële it-oplossingen. In 2014 presenteerde het bedrijf voor het eerst de encryptiemethode Blurry Box, in samenwerking met het Karlsruhe Instituut voor Technologie (KIT) en het onderzoekscentrum FZI, partijen die ook bij de ontwikkeling betrokken waren. In datzelfde jaar kende de Stichting Horst Goertz de eerste prijs toe aan Blurry Box bij de German IT Security Awards en noemde het concept ‘de meest effectieve benadering van beveiliging van software volgens het principe van Kerckhoffs tegen sabotage, piraterij en reverse engineering.’
De Blurry Box-technologie is gebaseerd op de Wet van Kerckhoffs. Auguste Kerckhoffs, een negentiende-eeuwse Nederlandse linguïst en cryptograaf, werkzaam in Parijs, zette onder de titel La Cryptographie Militaire een reeks aanbevelingen op papier voor het beveiligen van de toenmalige cryptografische systemen. De belangrijkste van zijn stellingen is dat het geheim niet in het versleutelingsysteem, maar in de sleutel zit.
De Blurry Box-technologie voldoet aan het principe van Kerckhoffs. De gebruiker van Blurry Box gaat er dus vanuit dat potentiële hackers bekend zijn met de methode en tevens inzicht hebben in de te beschermen software. Die kunnen ze gebruiken en de regels code bekijken in tekstvorm. Blurry Box maakt het evenwel onmogelijk statische code te analyseren, terwijl door het toevoegen van extra beschermlagen analyse van dynamische code wordt voorkomen, aldus het bedrijf.
