EA Schutzkonzepte

[Forex1+]

Hallo Traders,

 

schützt ihr eure EAs und warum?, schützt ihr sie nicht und warum?, welche Maßnahmen sind eurer Meinung nach angemessen und welche sind übertrieben? Schütz ihr auch eure Arbeitsplattform also zB ein Systementwicklungs-PC ohne Internet-Anschluss / PC verschlüsselt gegen Einbruch...

 

Nehmen wir mal an ein Trader hat einen guten EA gefunden/entwickelt und er soll nicht in andere gierige Hände fallen. Dazu mal ein paar Fragen und Gedanken:

 

Schutz vor Broker:

- Könnte der Broker über MetaTrader Daten aus dem MT-Verzeichnis klauen oder gar auf andere Daten zugreifen?

- Wenn ja ist ein dll-Schutz eine sichere Möglichkeit?

- Ein dll Schutz würde aber nur die Trading-Logik verstecken? nicht aber das der EA (MQL+dll Dateien) angewendet werden kann wenn man in den Besitz der Dateien gekommen ist?

- Wie erstellt man eine sichere dll gibt es software (mql to dll)? wenn man es in Auftrag gibt hat man ja wieder das Vertrauensproblem...?

- andere Ideen / Meinungen zum Schutz vorm Broker?

 

Schutz vor Fremdzugriff auf PC/Virtual Server:

- Wie sollte man ein Virtual Server auf dem der EA läuft abgesichert werden ? (Firewall, bezahl-Proxy, Malewareschutz, Trojanerschutz, sonstiger Schutz,...???) was sollte man machen, was ist übertrieben...?

- Offline PC zu Systementwicklung

- andere Ideen / Meinungen zum Schutz vor Fremdzugriffen?

 

Gruß

[Vola]

gibt es software (mql to dll)?

 

Software gibt es, was diese taugt weiß ich allerdings nicht.

Zum Rest der10 Fragen finden sich sicher kompetentere User.

[Mythos]

also bzgl. Malwareschutz etc. auf dem virtuellen Server: Malware kommt auf den PC über Content. Die größte Schwachstelle ist immer der User selber. Deswegen würde ich auf keinen Fall über den Produktivrechner irgendwas anderes machen als die Tradingsoftware laufen zu lassen.

Das die SSH Zugänge mit entsprechend sicheren Passwörtern geschützt sind und alle nichtgenutzten Ports geschlossen sind (also im wesentlichen alle) sollte sich von selbst verstehen. Dann ist eigentlich auch keine Firewall mehr nötig, aber schadet nicht.

 

Man kann natürlich noch "paranoid" werden und seine gesamte Festplatte oder nur den Code verschlüsseln und dann diese Verschlüsselung wie einen Bildschirmschoner automatisch bei inaktivität aktivieren. Sprich du musst jedesmal wenn du dich zum PC setzt dein Windows-Passwort eingeben, dann die Daten entschlüsseln und kannst dann entwickeln. Ob einem dieser Aufwand wert ist muss jeder selber entscheiden.

 

Das der MT Broker auf deinen EA-Code zugreifen kann, kann ich nicht ausschließen, würde ich aber stark bezweifeln.

 

Die wichtigste Frage ist mMn: wieso sollte jemand überhaupt auf die Idee kommen bei dir einen EA zu klauen? Klammern wir mal den MT-Broker aus, wer weiß überhaupt das du EAs entwickelst? Und das sie ggf. erfolgreich sind? Hier kommt wieder der Hauptrisikofaktor Mensch. Der ist mMn zigmal "gefährlicher" als alle Gefahren die du mit den beschriebenen Maßnahmen einschränken kannst.

[Der Wolf]

Ich habe keine Erfahrung mit dem Schutz von MQL-Code.

 

Aber ich habe mir vor einiger Zeit aus der Mql-Codebase einen Grundlagenartikel zum Encoding-Schutzkonzept abgespeichert:

http://articles.mql4.com/934#comments

 

In diesem Artikel kann man ganz unten dieses File downloaden: files_en.zip

Dort sind die Beispiele und die Encoding Software MQLEnigma enthalten: MQLEnigma.exe

 

Zu MQLEnigma existiert auch noch dieser Link: http://forum.mql4.com/35612

 

Hinweis: Ich habe weder MQLEnigma noch eines der Beispiele ausprobiert !

 

 

Eine andere Schutzsoftware wäre MQLDefender.

http://www.matchpeg.com/mqldefender/

http://download.sharewarecentral.com/87/287127/mql-defender.html

 

Auch dazu habe ich mir nur die Links gespeichert aber nichts ausprobiert.

 

Ob's also was taugt weiss ich nicht.

[Vola]

Ein hiesiger und in der Richtung sehr kompetenter User hat mal beiläufig erwähnt, dass er durchaus Leute kennt, die den .dll Schutz auch hacken können. (und gemacht haben)

Kommt wohl immer darauf an, was die Leute für Skills haben und wie wichtig einen die ganze Prozedur ist. (Beide Seiten)

 

Frei nach dem CCC Motto:

"Was von Menschenhand zu geht, geht auch wieder auf"

[FinGeR]

Du könntest auch den Signal Service in MT4 und 5 benutzten.

 

Damit kannst du deinen EA für dich behalten,

du verkaufst nur deine Signale welche autom. beim Kunden im MT4/5 ausgeführt werden.

 

Einzige Nachteil, das ganze läuft über die MQL4/5 Community. (Wo man sich Registrieren muss)

Andererseits wird dein Service dadurch schneller bekannt.

 

Hier mehr Informationen dazu: http://mql5.com/bgk

 

Das ganze Funktioniert mit MetaTrader 4 und 5.

[Forex1+]

Hi Leute ich hab nochmal zwei Fragen zu dem Thema,

 

- ist eigentlich die Verbindung zwischen MT4 und Broker verschlüsselt? Wenn ja, ist die Verschlüsselung besser, je länger das Passwort ist? Könnte man per Netzwerksniffing (Stichwort Wireshark...) irgendwelche Infos rausfinden?

 

- Mal angenommen, man ist paranoid und traut keinem Broker über den Weg bzgl Coderäuberei von EAs. Würde das auslagern von Codes in zB DLLs oder sonstwas dieses Risiko eliminieren oder eher nicht da ja im endeffekt Metatrader auf alles (egal wo auf der Platte) zugreifen muss wo sich die Handelslogik befindet?. Wie könnte man sein EA vom Broker abschotten?

 

LG

Edited February 13, 2013 by Forex1+

[Vola]

Mal angenommen, man ist paranoid und traut keinem Broker über den Weg bzgl Coderäuberei von EAs.

 

Ist ja nicht so mein Themenbereich, aber angeblich lässt sich doch selbst die Stoporder vorm Broker im Code verstecken, daher sollte da eigentlich keine große Gefahr lauern.

(Lasse mich aber gerne eines besseren belehren)

Der MT Broker bekommt dich doch auch auf anderem Wege, wie Verbindungsausfall, Requotes usw. (Worstcase)

 

Viel einfacher wäre es doch für jeden Broker (egal welche Plattform) sich in die Cash Accounts einzuloggen und den erfolgreichen Tradern einfach zu folgen....

Dafür muß er nicht mal auf deinem Rechner rumgraben, die Kontodaten sind ja ersichtlich...

[Forex1+]

Hi Vola,

 

ich wollte bei der zweiten Frage darauf hinaus wie es sich verhindern lässt, dass der Broker per Verbindung zu MT4 (die ja Grundlage zum Traden ist) auf Daten (Codes/EAs/Indis...) zugreifen kann. Es geht nicht ums anti-SL-Fishing per hidden SL. Du hast recht das der Broker aus Einstiegen und Ausstiegen usw den Parametern die der Broker auf jeden Fall kennt die Strategie versuchen kann nachzubilden aber so würde er trotzdem nicht die dahinterstehende Handelslogik rausfinden. Beim diskretionären Livetraden ohne EA kann der Broker auch nicht die Handelslogik (die sich in dem Fall im Hirn befindet) rausfinden genau das wäre auch mein Anspruch an den EA also keinerlei Chance für den Broker an die Handelslogik (EA, Codes,...) zu kommen. Natürlich ist das ein bisschen paranoid mich würde es aber trotzdem interessieren. Leider fehlt mir dafür das technische Verständnis, für das, was dem Broker mit MT möglich ist...

 

Gruß

Edited February 13, 2013 by Forex1+

[systemtrader]

Ein hiesiger und in der Richtung sehr kompetenter User hat mal beiläufig erwähnt, dass er durchaus Leute kennt, die den .dll Schutz auch hacken können. (und gemacht haben)

Kommt wohl immer darauf an, was die Leute für Skills haben und wie wichtig einen die ganze Prozedur ist. (Beide Seiten)

 

Frei nach dem CCC Motto:

"Was von Menschenhand zu geht, geht auch wieder auf"

 

Dem ist auch so!!! Wenn es danach geht gibt es eigentlich keine Sicherheit. Es hat nur nicht jeder Lust eine dll zu Disassemblieren und auszuwerten Protokolle abzuhören etc. Im Umkehrschluss bedeutet dies man kann es dem Hacker schwerer machen so das er vielleicht keine Lust hat mehr aber auch nicht.

 

LG ST

[Forex1+]

Hallo,

 

hat diesbezüglich noch jmd Infos ? Würde mich freuen ich finde sonst keine klaren Infos und zur selbstuntersuchung reichen meine skills nicht

 

LG

 

Hi Leute ich hab nochmal zwei Fragen zu dem Thema,

 

- ist eigentlich die Verbindung zwischen MT4 und Broker verschlüsselt? Wenn ja, ist die Verschlüsselung besser, je länger das Passwort ist? Könnte man per Netzwerksniffing (Stichwort Wireshark...) irgendwelche Infos rausfinden?

 

- Mal angenommen, man ist paranoid und traut keinem Broker über den Weg bzgl Coderäuberei von EAs. Würde das auslagern von Codes in zB DLLs oder sonstwas dieses Risiko eliminieren oder eher nicht da ja im endeffekt Metatrader auf alles (egal wo auf der Platte) zugreifen muss wo sich die Handelslogik befindet?. Wie könnte man sein EA vom Broker abschotten?

 

LG

[Rumpel]

Die Verbindungen sind verschlüsselt.

 

Was genau da durch die verschlüsselte Leitung fließt ist eine andere Frage.

[Der Wolf]

hat diesbezüglich noch jmd Infos ?

 

Infos nicht, nur mal eine Idee:

 

Auf einem Demokonto desselben Broker's lokal bei sich daheim den EA laufen lassen und über einen "Trade Copier" (bei Google oder auch hier im Forum danach suchen) die Trades auf dem Live-Account spiegeln.

 

Solche "Trade Copier" gibt es auch als Open Source, da könnte man sich evtl. seine eigene Bridge stricken und bräuchte somit nirgenwo den Quellcode rauslassen.

[Forex1+]

Interessante Idee allerdings wäre, jetzt mal paranoid gesehen, der MetaTrader vom Demokonto die Schwachstelle. Ist eben die Frage ob profitable Demokonten vom Broker genauer unter die Lupe genommen werden, gerade wenn ein Echtkonto und ein Demokonto denselben Verlauf zeigt. Das ist natürlich eine Glaubensfrage.

 

Ideal wäre wohl eine komplette Entkopplung von Metatrader und dem Broker durch zB eine zwischengeschaltete Software die nur die nötigsten Dinge (Kursdaten, Orderausführungen) kommuniziert. Wäre die Frage ob es sowas gibt?

[Der Wolf]

Der MetaTrader des Demokontos muß ja gar keine Orders absetzen.

Ein Eintrag in ein lokales Textfile genügt, der Rest wäre Sache der zwischengeschalteten Software die nur die nötigsten Dinge (Kursdaten, Orderausführungen) kommuniziert.

 

Im Extremfall könnte ein Demokonto eines anderen Broker's dazu genutzt werden.

Wenn es nicht auf das letzte Pip ankommt (also z.B. in einem größeren Timeframe), dann müßte noch geprüft werden, ob die Kursdaten in einer gewissen Range liegen, wenn ja: "Order marsch"

 

 

[Rumpel]

Aber das sprengt ja das Aufwand/Nutzen-Verhältnis bei weitem.

 

Da sollte man sich schon fragen ob der MT das beste Tool der Wahl ist.

[systemtrader]

Nicht alles ist verschlüsselt so hab ich z.b meinen eigenen MT4 RT Kurs Client Programmiert so kommt schon mal zu Kursen ohne den MT4. Was mich jetzt noch Reizen würde wäre eine Möglichkeit auch Orders verschicken zu können ohne MT4 das wäre schön, hab dazu leider nichts brauchbares gefunden da dort eine Verschlüsselung genutzt wird. Weiß da vielleicht jemand mehr?

 

Den Client den ich erstellt habe hat sich nach diesen Artikel Orientiert. http://stackoverflow.com/questions/1776726/how-can-i-reverse-engineer-a-network-protocol-metatrader-4

 

 

LG ST

[Der Wolf]

Aber das sprengt ja das Aufwand/Nutzen-Verhältnis bei weitem

Ich überlege schon seit einer Weile, ob nicht die Vorteile des Metatraders (vertraute Software) diesen Aufwand rechtfertigen.

 

Ich denke da an eine (vorhandene) Bridge, die ich evtl. an meine Bedürfnisse anpasse:

- MT und EA im Demokonto

- Bridge liest MT4-LogDatei oder eigenes Textfile

- Ausführung bei Dukascopy (Vorteil: kein "böser" MetatraderBroker) oder bei irgendeinem anderen (MT4-)Broker.

 

http://www.dukascopy.com/swiss/english/forex/jforex/third-party-solutions/mt4-jforex_bridge/

http://sourceforge.net/projects/mt4dukabridge/files/

[WOGO]

Ich überlege schon seit einer Weile, ob nicht die Vorteile des Metatraders (vertraute Software) diesen Aufwand rechtfertigen.

Mal ehrlich, glaubt ihr echt, dass der Source-Code eines EAs an den Broker übermittelt werden kann? Es gibt Millionen von MT4-Nutzern, X MT4 Broker mit jeweils Y Mitarbeitern. Wenn da irgendein Broker die EAs seiner Kunden analysieren würde (man stelle sich mal diesen Aufwand vor - Kosten/Nutzen) dann wäre das mit Sicherheit schon an die Öffentlichkeit gekommen.

Zudem, was soll der MT4 Broker dann mit dem vermeintlichen "holy grail" anfangen? Selber bei einem anderen MT4 Broker damit handeln?

Da ist es doch vom Aufwand her wesentlich einfacher, den Virtual Dealer einzusetzen.

(Etwas) Mehr Sorgen würd ich mir da schon eher machen, wenn ich den MT4 sammt EAs auf einen (virtual) server laufen hätte...

 

Off-Topic: Warum ist bei mir eigentlich die Formatierungsleiste mit den Smilies ausgegraut?

[Der Wolf]

Mal ehrlich, glaubt ihr echt, dass der Source-Code eines EAs an den Broker übermittelt werden kann?

Ich glaub das nicht, war der "paranoide" Gedanke von Forex1+ den ich hier nur weitergeführt habe.

 

(Etwas) Mehr Sorgen würd ich mir da schon eher machen, wenn ich den MT4 sammt EAs auf einen (virtual) server laufen hätte...

Das ist der Grund, warum ich mir Gedanken wegen einer Bridge mache:

- Master-EA im MT4-Demomode daheim

- Slave-EA zur reinen Ausführung ( oder Spiegelung) der Order-Requests auf Live-Konten auf VPS.

Hätte auch den Vorteil, dass man zur Orderausführung losgekoppelt von der Signalgebung auch andere API's aufrufen könnte (z.B. Dukascopy, InteractiveBrokers, MT4-Broker ...)

[systemtrader]

 

 

Das ist der Grund, warum ich mir Gedanken wegen einer Bridge mache:

- Master-EA im MT4-Demomode daheim

- Slave-EA zur reinen Ausführung ( oder Spiegelung) der Order-Requests auf Live-Konten auf VPS.

Hätte auch den Vorteil, dass man zur Orderausführung losgekoppelt von der Signalgebung auch andere API's aufrufen könnte (z.B. Dukascopy, InteractiveBrokers, MT4-Broker ...)

 

Hi

 

Aber wo soll da der Vorteil liegen? Also eine Bridge in einer Home Architektur macht ja Sinn, aber zu Hause den Master, und denn Slave auf dem VPS auf was willst du genau raus?

 

LG ST

[Der Wolf]

Hi

 

Aber wo soll da der Vorteil liegen? Also eine Bridge in einer Home Architektur macht ja Sinn, aber zu Hause den Master, und denn Slave auf dem VPS auf was willst du genau raus?

 

LG ST

1. Vorteil:

Ich könnte daheim die Orders auf einer MT4-Instanz generieren. Damit spare ich mir Gedanken, den EA-Code selbst schützen zu müssen.

 

2. Vorteil:

Anstelle z.B. eine Order mit Lotgröße 0.3 bei einem (MT4-Broker) abzusetzen, könnte ich auf dem VPS drei Orders bei unterschiedlichen (MT4-Brokern) oder auch Nicht-MT4-Brokern absetzen mit jeweils einer Lotgröße von jeweils 0.1.

 

Damit wäre ich bei drei Brokern ein "kleiner Fisch" und für Broker evtl. nicht so interessant, als wäre ich ein "großer Karpfen" der aus deren Sicht geschlachtet werden müßte.

Somit will ich evtl. Requotes und anderen MT4-Broker-Schweineren vorbeugen.

 

Das VPS soll lediglich eine Order so schnell als möglich ( quasi wie in einer Transaktion ) an die angeschlossenen Livekonten bei verschiedenen Brokern durchführen.

 

3. Vorteil:

ich habe nämlich nicht den schnellsten Internetzugang und momentan auch kaum Aussicht auf Verbesserung (weder durch Telekom noch durch andere Provider).

 

4. Vorteil:

ich bin zumindest im Punkt Orderausführung (teilweise) entkoppelt von MT4.

Irgendwann in der Zukunft könnte ich auch einen komplett anderen Client zur Ordergenerierung verwenden.

Den Code für die Orderdurchführung hätte ich dann schon.

 

Wenn ich Dich recht verstanden habe, willst Du ja bei Deinem eigenen Projekt auch so eine ähnlichne Entzerrung zwischen Kurslieferung, Signalgenerierung und Ordererteilung erreichen ?

[systemtrader]

1. Vorteil:

Ich könnte daheim die Orders auf einer MT4-Instanz generieren. Damit spare ich mir Gedanken, den EA-Code selbst schützen zu müssen.

 

2. Vorteil:

Anstelle z.B. eine Order mit Lotgröße 0.3 bei einem (MT4-Broker) abzusetzen, könnte ich auf dem VPS drei Orders bei unterschiedlichen (MT4-Brokern) oder auch Nicht-MT4-Brokern absetzen mit jeweils einer Lotgröße von jeweils 0.1.

 

Damit wäre ich bei drei Brokern ein "kleiner Fisch" und für Broker evtl. nicht so interessant, als wäre ich ein "großer Karpfen" der aus deren Sicht geschlachtet werden müßte.

Somit will ich evtl. Requotes und anderen MT4-Broker-Schweineren vorbeugen.

 

Das VPS soll lediglich eine Order so schnell als möglich ( quasi wie in einer Transaktion ) an die angeschlossenen Livekonten bei verschiedenen Brokern durchführen.

 

3. Vorteil:

ich habe nämlich nicht den schnellsten Internetzugang und momentan auch kaum Aussicht auf Verbesserung (weder durch Telekom noch durch andere Provider).

 

4. Vorteil:

ich bin zumindest im Punkt Orderausführung (teilweise) entkoppelt von MT4.

Irgendwann in der Zukunft könnte ich auch einen komplett anderen Client zur Ordergenerierung verwenden.

Den Code für die Orderdurchführung hätte ich dann schon.

 

Wenn ich Dich recht verstanden habe, willst Du ja bei Deinem eigenen Projekt auch so eine ähnlichne Entzerrung zwischen Kurslieferung, Signalgenerierung und Ordererteilung erreichen ?

Hi

 

Zu 1. Da stimme ich dir voll zu :-)

 

Zu 2. Eigentlich auch Richtig aber hier muss man sich fragen ob sich die mühe Lohnt um bei Bucket Shops zu Handeln es gibt doch auch andere Möglichkeiten wie auch einige White Labels von IB wenn es um kleinere Konten geht oder Dukascopy.

 

Zu 3. Aufgrund der Signal Generierung zu Hause mit Langsamen Internet Gewinnst du durch den VPS aber keine Zeit mit Sicht auf deiner Internetleitung sondern Verlierst Zeit denn die Signale müssen ja erst einmal zum VPS ala TCP etc der dann erst die Order ausführt usw.

 

Zu 4. Auch volle Zustimmung.

 

Ich selber mache immer mehr mit eignender Software, und MT4 ist bei mir nur noch in Teilen und mit absehbaren Ende im Einsatz.

 

LG ST

[WOGO]

1. Vorteil:

 

...

 

4. Vorteil:

Setzen wir mal voraus, dass du durch die Übermittlung an den VPS von zu Hause aus keinen Geschwindigkeitsvorteil gegenüber einer direkten Übermittlung zu Hause => Broker hast, welchen der Vorteile hättest du nicht, wenn du dir den VPS gleich sparen würdest?

[Der Wolf]

Zu 2. Eigentlich auch Richtig aber hier muss man sich fragen ob sich die mühe Lohnt um bei Bucket Shops zu Handeln es gibt doch auch andere Möglichkeiten wie auch einige White Labels von IB wenn es um kleinere Konten geht oder Dukascopy.

Ich denke halt einfach an die Risikostreuung.

Selbst wenn ich jetzt bei einem "guten" Broker (Dukascopy, IB bzw. Captrader, Lynx ...) bin, kann etwas mit einer größeren Order schief gehen.

So geht halt nur mit einer kleinen Ordergröße etwas schief.

 

, welchen der Vorteile hättest du nicht, wenn du dir den VPS gleich sparen würdest?

Wenn ich mal längere Zeit weg von daheim bin, dann laufen eben keine neuen Orders mehr rein.

 

Die alten Orders aber könnte ich weiterhin zum Nachziehen von (Trailing)-Stoploss u.s.w. manuell per Remotezugang oder vollautomatisch über spezialiserte EA's (z.B. alle Orders einer Magicnr löschen ...) managen.