Cd-key-Überprüfung In Ms Dl-center Ausgehebelt
#1
geschrieben 24. Mai 2005 - 11:30
Auch wer die Windows-Update-Seite mit einem Browser wie Firefox und nicht mit dem Internet Explorer besucht, kann dort auf Wunsch überprüfen lassen, ob der CD-Key des verwendeten Windows XP auf einer schwarzen Liste steht. Dazu muss man sich in solch einem Fall ein kleines Programm herunterladen und starten, das einen Schlüssel ausspuckt. Dieser wiederum ist in ein Eingabefeld auf der Update-Seite einzutragen. Anschließend läuft die Prüfung. Der "Trick" besteht nun darin, das Programm auf einem anderen Rechner unter einer Windows-XP-Version laufen zu lassen, deren CD-Key nicht auf der schwarzen Liste steht. Den dort ausgespuckten Schlüssel kann man dann unter dem geklauten XP auf der Update-Seite eingeben und anschließend den Download starten.
Fraglich ist, ob Microsoft es überhaupt für nötig halten wird, diesem "Trick" einen Riegel vorzuschieben. Da der Nutzer des XP mit dem geklauten Schlüssel zusätzlich ein Original-XP benötigt, um den Download anzustoßen, kann er in der Regel schließlich den Download auch gleich auf dem Original-XP durchführen (oder durchführen lassen).
Abgesehen davon kursieren im Internet diverse Key-Generatoren, die beliebig viele frisch erzeugte Schlüssel ausspucken, die natürlich ebenso illegal, aber eben nicht in der schwarzen Liste enthalten sind. Microsoft war sogar so freundlich und stellte ein Skript zur Verfügung, um einen Schlüssel bei Bedarf bequem gegen einen anderen auszutauschen.
Microsoft könnte zwar den Schlüssel beim Aktivieren des frisch installierten XP überprüfen, doch war auch dieser Schutzmechanismus schon kurz nach Erscheinen von XP ausgehebelt. Damit dürfte also jeder Raubkopierer, der ein wenig Mühe nicht scheut, auch weiterhin sein Windows auf dem aktuellen Stand halten können.
Sicherheitskritische Updates will Microsoft übrigens auch weiterhin ohne jede CD-Key-Prüfung bereitstellen. Bei allen anderen Updates soll sie hingegen irgendwann verpflichtend werden, der genaue Zeitpunkt für die Einführung dieser zwangsweisen CD-Key-Prüfung ist jedoch noch nicht bekannt. (axv/c't)
[Quelle: heise.de]
Anzeige
#2
geschrieben 24. Mai 2005 - 11:44
Von "aushebeln" oder "knacken" könnte man eigentlich nur sprechen wenn z.B. jemand einen Hash-Wert-Generator hinkriegen würde der völlig unabhängig vom installierten OS gültige Hash-Werte erzeugen könnte.
Diese Möglichkeit war eigentlich von Anfang an klar. Es ist mir etwas rätselhaft warum das bei heise und ZDNet jetzt als sensationelle News verkauft wird.
Dieser Beitrag wurde von swissboy bearbeitet: 24. Mai 2005 - 12:10
#3
geschrieben 24. Mai 2005 - 11:51
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#4
geschrieben 24. Mai 2005 - 12:05
Zitat (DK2000: 24.05.2005, 12:51)
<{POST_SNAPBACK}>
Das stimmt so nun auch wieder nicht. Beim Genuine-Check wird nach Prüfung schlussendlich nur ein Hash-Wert übergeben und wenn du einen (für den Tag) gültigen Hash-Wert hast kannst du damit auch definitiv Downloads von Download-Center kriegen. Dies wir sich auch in der endgüligen Version nicht ändern. Es wird wohl nur die freiwillige Abfrage ob man den Genuine-Check machen will oder nicht herausgenommen werden.
Es gibt jetzt auch eine eigene News zu diesem Thema:
http://www.winfuture...news,20612.html
Dieser Beitrag wurde von swissboy bearbeitet: 24. Mai 2005 - 12:11
#5 _Benjamin_
geschrieben 24. Mai 2005 - 12:21
#6
geschrieben 24. Mai 2005 - 12:34
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 24. Mai 2005 - 12:38
Zitat (Xandros: 24.05.2005, 13:21)
<{POST_SNAPBACK}>
Damit hat dies nichts zu tun. Auch auf diesen Systemen erfolgt diese Prüfung.
Zitat (Rika: 24.05.2005, 13:34)
<{POST_SNAPBACK}>
Sucher möglich, aber für die grosse Masse der Anwender wohl zu mühsam und auf die grosse Masse der (illegalen) Anwender hat es Microsoft ja abgesehen.
Microsoft wird z.B. wohl auch nicht verhindern können das solche Downloads auf anderen Webseiten angeboten werden, auch in Form von Update-Packs.
Dieser Beitrag wurde von swissboy bearbeitet: 24. Mai 2005 - 12:43
#8
geschrieben 24. Mai 2005 - 12:40
Zitat
Die Produkt-IDs für diese Lizenzen sind bei MS gespeichert und werden abgefragt. Wird die Produkt ID in der Datenbank nicht gefunden, schlägt der Check fehl. Das habe ich mal mit div. Keys aus div Keygens getestet und alle Volumen Produkt IDs wurden abgelehnt mit dem Hinweis, das der Key nicht in der Datenbank gefunden wurde und man sich mit MS in Verbindung setzen soll.
Bei aktivierungspflichtigen Lizenzen wird dies noch nicht gemacht.
Zitat
Lt. meinem Kenntnisstand wird sich das noch ändern, da die Prüfung tranzparent ablaufen wird und definitiv die Produkt ID mit einbezogen wird. Bei Produkt IDs, welche zur Zeit keine Volumenlizenzen repräsentieren, finded der Gegencheck nicht statt, lediglich die Prüfung ob der Key in der Blacklist steht. Alles andere wäre auch sinnlos, da es früher oder Später ausgehebelt werden kann.
Dieser Beitrag wurde von DK2000 bearbeitet: 24. Mai 2005 - 12:43
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#9
geschrieben 24. Mai 2005 - 12:52
Zitat (DK2000: 24.05.2005, 13:40)
<{POST_SNAPBACK}>
Das ist falsch, ich habe es auch ausgetestet. Die die durch den Volume-Licence-Key erzeugte Product-ID muss lediglich in einem bestimmten Range liegen (und nicht auf der Blacklist stehen). Man muss nur die Regeln kennen.
Zitat (DK2000: 24.05.2005, 13:40)
Lt. meinem Kenntnisstand wird sich das noch ändern, da die Prüfung tranzparent ablaufen wird und definitiv die Produkt ID mit einbezogen wird. Bei Produkt IDs, welche zur Zeit keine Volumenlizenzen repräsentieren, finded der Gegencheck nicht statt, lediglich die Prüfung ob der Key in der Blacklist steht. Alles andere wäre auch sinnlos, da es früher oder Später ausgehebelt werden kann.
<{POST_SNAPBACK}>
Hast du eine seriöse Quelle für diese Theorie?
Dieser Beitrag wurde von swissboy bearbeitet: 24. Mai 2005 - 12:53
#10
geschrieben 24. Mai 2005 - 13:11
Zitat
Ja, natürlich, sowas denke ich mir ja nicht aus Nur wird Dir die Quelle vermutlich nicht viel nutzen: https://beta.microsoft.com/
Zitat
Ja, gut, ich will mich da jetzt nicht streiten, da meine Test schon länger zurück liegen (August/September 2004? ) und auf US Seite stattfanden. Zur der Zeit gab es das auf dt. Seiten noch nicht und befand sich relativ in der Anfangsphase.
Ich will jetzt nicht ausschließen, das sich mitlerweile etwas geändert hat oder das System doch vereinfacht wurde. Wäre nicht das erste mal, das sich solche Sachen radikal ändern. Müsste ich eventuell auch nochmal testen.
Theoretisch bleibt eigentlich ersteinmal nur abzuwarten, was MS letztendlich einführen wird. Irgendwas wird kommen
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.