Ich bin vor die Aufgabe gestellt worden, mehrere Quell-Programme, die mit der ifm-Software "EcoLog" (eine abgespeckte bzw. Vorläufer-Version von CoDeSys) verfaßt wurden, nach CoDeSys zu portieren und zu überarbeiten.
Leider sind die Quellcodes per Paßwort vor unberechtigtem Bearbeiten geschützt worden und die Paßwort-Sammlung auf einem Laptop wurde durch eine "Reinigungs-Aktion" (per HD-Image von der IL-Abteilung überschrieben) ausradiert.
Wo und wie werden bei CoDeSys die Paßwörter in den *.pro-Dateien abgelegt? Kriegt man die irgendwie weg?
Alternativ: Kann man (z.B. per Hex-Editor) einer nicht-Vollzugriff-Ebene Vollzugriffs-Rechte verpassen?
Danke im Voraus.
Gruß
Martin
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Das mit dem Programmierer fragen haben wir schon durch - die Software wurde ohne Paßwort angeliefert und vom Hardware-System-Hersteller, der ifm-Steuerungen einsetzt, nachträglich mit dem PW versehen.
Leider sind die Leute, die die PW's eingerichtet haben, auch nicht mehr für den Hersteller tätig und deren "Merkzettel"-Datei wie oben beschrieben perdü.
Aber irgendwo muß der Paßwortschutz doch abgelegt sein ... wenn nicht in der *.PRO-Datei, wo dann? Andere Dateien sind doch für das Editieren des Quellcodes nicht nötig.
Gruß
Martin
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Zitat:
Aber irgendwo muß der Paßwortschutz doch abgelegt sein ... wenn nicht in der .PRO-Datei, wo dann? Andere Dateien sind doch für das Editieren des Quellcodes nicht nötig.
Dort (.PRO) ist das Passwort hinterlegt/verschlüsselt.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Was für ein Codierungsverfahren wird denn eingesetzt? RSA? Schlüsselgröße? Das wären mal interessante Parameter, die eine konkrete Einshcätzung der Sicherheitsstufe erlauben würden.
Nur weil etwas chiffriertes 'gut verschlüsselt aussieht', ist es noch lange kein unknackbarer Code - Es sei denn, wir sprechen hier von Schlüsseln jenseits von 256Bit....
Gruß
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Zitat:
Was für ein Codierungsverfahren wird denn eingesetzt? RSA? Schlüsselgröße? Das wären mal interessante Parameter, die eine konkrete Einshcätzung der Sicherheitsstufe erlauben würden.
Nur weil etwas chiffriertes 'gut verschlüsselt aussieht', ist es noch lange kein unknackbarer Code - Es sei denn, wir sprechen hier von Schlüsseln jenseits von 256Bit....
Mein Ersatz-Haustürschlüssel liegt NICHT unter der Fussmatte.
UPS, habe ich jetzt etwa verraten, dass es einen Ersatz-Haustürschlüssel gibt, der irgenwo liegt, erreichbar, ausser unter der Fussmatte.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Ich tippe mal auf Blumentopf, oder? Aber passt dein Haustürschlüssel auch bei Dateien? Dann brauche ich mal ne Kopie davon das währe ja fast wie die Lotozahlen vom kommenden Samstag schon zu wissen!
Gruß Ralph
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Ja, habe aber 3 vor der Haustüre um es schwieriger zu machen
Zitat:
Aber passt dein Haustürschlüssel auch bei Dateien?
Dann brauche ich mal ne Kopie davon das währe ja fast wie die Lotozahlen vom kommenden Samstag schon zu wissen!
Ist das Ironisch gemeint ?
Ich hoffe ja.
Möglicherweise wurde ich FALSCH verstanden, wie bei meiner Frau halt auch.
Ich wollte zum Ausdruck bringen, dass es ungeschickt ist, AUCH bei einer momentan unknackbaren Verschlüsselung Informationen rüberzubringen.
Hintergrund:Bis von kurzen galten auch "Schlüssel" kürzer als 256 bit als nahezu unknackbar.
Ich verraute ja auch nicht, dass mein Safe hinter der Bar einbaut ist
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Ja genau du hast mich verstanden! Vielleicht kapiert es jetzt auch der rest. ein Schlüssel kann so schlecht sein wie er will solange ihn keiner knackt. Hinweise wie es ist der und der Algorithmus würden einem Helfen und allen anderen Schaden.
Verräts du uns auch nicht deinen Code zum Save von dem wir nicht wissen, dass er hinter der Bar ist.
Sehr sicher ist es übrigens auch den Schlüssel einfach stecken zu lassen, da sucht ihn keiner.
Gruß Ralph
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Ein System sollte sich niemals allein auf security through obscurity verlassen, aber es kann sinnvoll sein, dadurch die Schwelle für potentielle Angreifer anzuheben.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
chefe hats verstanden - alle anderen scheibar nicht. Was meine dezent geäußerte Vermutung nach der Existenz einer Hintertür durchaus bestätigt.
Deshalb muss man an dieser Stelle ein zweischneidiges Fazit ziehen:
Ich werde wirklich sicher zu verwahrenden code weiterhin mit TrueCrypt verschlüsseln - da weiß ich was passiert.
@Threadersteller: Wende dich doch mal an 3S mit, mit einer entsprechenden Erklärung, dass ihr 'gesetzlicher Eigentümer' seid und poste das Ergebnis hier - vielleicht lassen sie dich ja hinten rein.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Anonymous
-
2008-06-16
Originally created by: Bernhard Werner
Hallo,
im Namen von 3S: Wir knacken keine Projekte! Und wir können das auch nicht. Details zu der Verschlüsselung verraten wir selbstverständlich nicht.
Und selbst wenn wir könnten, wir dürfen nicht. Wie sollten wir denn sicherstellen, dass der Besitzer auch der Eigentümer ist? Einmal tief in die Augen schauen?
Es tut mir leid, wir können da auch nur betroffen gucken und Mitleid heucheln.
Grüße,
Bernhard Werner
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
schade, ich hatte schon auf eine (relativ einfache) Lösung gehofft.
Natürlich macht es Sinn, daß man nicht an paßwortgeschützen Code rankommen darf. Ist halt nur blöd für den Projektverantwortlichen (der ich zum Glück nicht bin ), daß eine bestehende Software, die nur Feintuning bedarf, nun neu erstellt werden muß ...
Trotzdem danke für die Antworten und die Mühe, drüber nachzudenken.
Gruß
Martin
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Salü.
Ich bin vor die Aufgabe gestellt worden, mehrere Quell-Programme, die mit der ifm-Software "EcoLog" (eine abgespeckte bzw. Vorläufer-Version von CoDeSys) verfaßt wurden, nach CoDeSys zu portieren und zu überarbeiten.
Leider sind die Quellcodes per Paßwort vor unberechtigtem Bearbeiten geschützt worden und die Paßwort-Sammlung auf einem Laptop wurde durch eine "Reinigungs-Aktion" (per HD-Image von der IL-Abteilung überschrieben) ausradiert.
Wo und wie werden bei CoDeSys die Paßwörter in den *.pro-Dateien abgelegt? Kriegt man die irgendwie weg?
Alternativ: Kann man (z.B. per Hex-Editor) einer nicht-Vollzugriff-Ebene Vollzugriffs-Rechte verpassen?
Danke im Voraus.
Gruß
Martin
Beileid.
Du hast ein "heickles Problem"
Leider (oder glücklicherweise) ist es NICHT möglich,
diese Daten / Password zurückzusetzen oder zu finden.
Ich hatte mal einen Auftrag, das Problem zu lösen.
Der Kunde versicherte mir schriftlich,
Gesetzlicher Eigentümer
(nicht Besitzer, da ist ein grosser rechtl. Unterschied)
des Codes zu sein.
Leider habe ich dies NICHT geschaft.
Lob an die CoDeSys Programmierer.
Der Know-How-Schutz funktioniert (War sogar noch 2.x Version)
Mach doch mal einen Test.
Lege dir ein Projekt mit 1 ST-Befehl an.
--> Abspeichern z.b. OP.PRO
Nimm das gleiche Projekt, setze ein Password drauf
--> Abspeichern z.b. MP.PRO
Sodann schau dir beide Dateien mit dem HEX-Editor an.
Und du siehst das Problem.
Keine Change.
Einzige Möglichkeit: Probiere alle Passwörter durch
P.S:
Wie soll man eigentlich beweisen können, dass jemand der Eigentümer ist.
P.P.S:
Frag den Programmierer, er hat die Codes sicher noch.
B.z.w. er hat die Quellcode noch OHNE Passwort oder einen Ausdruck davon.
Das mit dem Programmierer fragen haben wir schon durch - die Software wurde ohne Paßwort angeliefert und vom Hardware-System-Hersteller, der ifm-Steuerungen einsetzt, nachträglich mit dem PW versehen.
Leider sind die Leute, die die PW's eingerichtet haben, auch nicht mehr für den Hersteller tätig und deren "Merkzettel"-Datei wie oben beschrieben perdü.
Aber irgendwo muß der Paßwortschutz doch abgelegt sein ... wenn nicht in der *.PRO-Datei, wo dann? Andere Dateien sind doch für das Editieren des Quellcodes nicht nötig.
Gruß
Martin
Hi
Thema ausgrab, hat sich leider noch nicht erledigt .
Wo und wie? Weißt Du Genaueres?
Gruß
Martin
Hi
Speichere doch mal einen 1 Zeiligen ST-Code ab.
Sezte das Passwort auf "111".
Abspeichern unter 111.pro
Setzte das Passwort auf "222"
Abspeichern unter z.b. 222.pro.
Hex-Editor starten und 111 + 222 vergleichen.
Nach dem Vergleich beider Dateien wirst du deine Erfolgsschance einschätzen können.
Nur aus Interesse: (@3S)
Was für ein Codierungsverfahren wird denn eingesetzt? RSA? Schlüsselgröße? Das wären mal interessante Parameter, die eine konkrete Einshcätzung der Sicherheitsstufe erlauben würden.
Nur weil etwas chiffriertes 'gut verschlüsselt aussieht', ist es noch lange kein unknackbarer Code - Es sei denn, wir sprechen hier von Schlüsseln jenseits von 256Bit....
Gruß
Mein Ersatz-Haustürschlüssel liegt NICHT unter der Fussmatte.
UPS, habe ich jetzt etwa verraten, dass es einen Ersatz-Haustürschlüssel gibt, der irgenwo liegt, erreichbar, ausser unter der Fussmatte.
Ich tippe mal auf Blumentopf, oder? Aber passt dein Haustürschlüssel auch bei Dateien? Dann brauche ich mal ne Kopie davon das währe ja fast wie die Lotozahlen vom kommenden Samstag schon zu wissen!
Gruß Ralph
Hi
Ja, habe aber 3 vor der Haustüre um es schwieriger zu machen
Ist das Ironisch gemeint ?
Ich hoffe ja.
Möglicherweise wurde ich FALSCH verstanden, wie bei meiner Frau halt auch.
Ich wollte zum Ausdruck bringen, dass es ungeschickt ist, AUCH bei einer momentan unknackbaren Verschlüsselung Informationen rüberzubringen.
Hintergrund:Bis von kurzen galten auch "Schlüssel" kürzer als 256 bit als nahezu unknackbar.
Ich verraute ja auch nicht, dass mein Safe hinter der Bar einbaut ist
Ja genau du hast mich verstanden! Vielleicht kapiert es jetzt auch der rest. ein Schlüssel kann so schlecht sein wie er will solange ihn keiner knackt. Hinweise wie es ist der und der Algorithmus würden einem Helfen und allen anderen Schaden.
Verräts du uns auch nicht deinen Code zum Save von dem wir nicht wissen, dass er hinter der Bar ist.
Sehr sicher ist es übrigens auch den Schlüssel einfach stecken zu lassen, da sucht ihn keiner.
Gruß Ralph
100 % ACK
"security by obscurity" wird in der Fachwelt meistens nicht so toll angesehen.
Hi
Ein System sollte sich niemals allein auf security through obscurity verlassen, aber es kann sinnvoll sein, dadurch die Schwelle für potentielle Angreifer anzuheben.
chefe hats verstanden - alle anderen scheibar nicht. Was meine dezent geäußerte Vermutung nach der Existenz einer Hintertür durchaus bestätigt.
Deshalb muss man an dieser Stelle ein zweischneidiges Fazit ziehen:
Ich werde wirklich sicher zu verwahrenden code weiterhin mit TrueCrypt verschlüsseln - da weiß ich was passiert.
@Threadersteller: Wende dich doch mal an 3S mit, mit einer entsprechenden Erklärung, dass ihr 'gesetzlicher Eigentümer' seid und poste das Ergebnis hier - vielleicht lassen sie dich ja hinten rein.
Originally created by: Bernhard Werner
Hallo,
im Namen von 3S: Wir knacken keine Projekte! Und wir können das auch nicht. Details zu der Verschlüsselung verraten wir selbstverständlich nicht.
Und selbst wenn wir könnten, wir dürfen nicht. Wie sollten wir denn sicherstellen, dass der Besitzer auch der Eigentümer ist? Einmal tief in die Augen schauen?
Es tut mir leid, wir können da auch nur betroffen gucken und Mitleid heucheln.
Grüße,
Bernhard Werner
Hallo,
schade, ich hatte schon auf eine (relativ einfache) Lösung gehofft.
Natürlich macht es Sinn, daß man nicht an paßwortgeschützen Code rankommen darf. Ist halt nur blöd für den Projektverantwortlichen (der ich zum Glück nicht bin ), daß eine bestehende Software, die nur Feintuning bedarf, nun neu erstellt werden muß ...
Trotzdem danke für die Antworten und die Mühe, drüber nachzudenken.
Gruß
Martin