Он слишком хорошо программировал. Корпорации массово воруют открытый код, чтобы вставлять его в коммерческое ПО

Воровство, поставленное на поток

Крупные корпорации, занимающиеся разработкой ПО, не гнушаются красть чужую интеллектуальную собственность в виде открытого исходно кода и интегрировать его в свой коммерческий софт, пишет The Verge. Доказать это сумел бывший хакер и экс-сотрудник Агентства нацбезопасности США и НАСА Патрик Уордл (Patrick Wardle), ныне известный как специалист по вредоносным программам для macOS и основатель Objective-See Foundation. Это некоммерческая организация, занимающаяся инструментами безопасности для macOS с открытым исходным кодом.

Деятельность Уордла сопряжена с тем, что немалая часть написанного им программного кода доступна в интернете для загрузки. Как пишет The Verge, часть его наработок привлекла внимание как минимум трех компаний, которые теперь используют его без разрешения Уордла.

Обнаружив воровство своего кода, экс-хакер рассказал об этом 11 августа 2022 г. на конференции Black Hat Briefings, посвященной информационной безопасности. Своими наблюдениями он поделился с ИБ-экспертом из университета Джона Хопкинса (США), Томом Макгуайром (Tom McGuire).

Патрик Уордл раскрыл схему обмана Open Source-разработчиков. И сам же попался на нее

Вдвоем они сумели доказать, что открытый исходный код Уордла действительно использовался в коммерческих продуктах, притом на протяжении нескольких лет. Авторы этого ПО не только не указали его в качестве соавтора, но также не обратились к нему за разрешением и не предложили компенсацию.

Наглядный пример

В качестве примера воровства своей интеллектуальной собственности Уордл привел программу OverSight, которую он выпустил в 2016 г. Эта утилита используется для контроля над микрофоном и веб-камерой в ноутбуках Apple и ведения списка программ, которые получают к ним доступ. Приложение доказало свою эффективность – оно не только помогает выявлять вредоносное ПО, следящее за пользователем, но и обнаруживать слежку со стороны легальных программ. Пример – Shazam, которая «слушает» пользователя в фоновом режиме, пишет The Verge.

Детище Уордла использует особую комбинацию методов анализа использования программами камеры и микрофона, что делает его уникальным на фоне других программ подобного рода. Через несколько лет автор обнаружил несколько коммерческих приложений, использующих схожую логику работы – вплоть до воспроизведения тех же ошибок, что и в коде Уордла.

Уордл намеренно не стал раскрывать названия компаний, укравших его интеллектуальную собственность. По его словам, едва ли это было требование, спущенное «сверху». Вероятнее всего, за кражей стоит какой-либо сотрудник, ответственный за написание кода.

В случае с Уордлом ситуация в итоге решилась в его пользу. Он связался с компаниями, использовавшими его код в своих утилитах. Те без промедлений и борьбы признали, что код действительно был интегрирован без разрешения.

Вырезать программный код Уордла из своих продуктов разработчики не стали. Вместо этого одни из них выплатили ему компенсацию напрямую, а другие пожертвовали средства фонд его некоммерческой организации.

Массовая проблема

Уордл считает, что он далеко не единственный разработчик открытого ПО, чей код используется в программах, распространяющихся на платной основе. Обнаружить свой код он смог лишь потому, что софт, который он пишет, узкоспециализирован и не очень широко распространен.

На месте Уордла может оказаться любой разработчик — адепт открытого ПО

«Я могу обнаружить, что это происходит с моими инструментами, но другие независимые разработчики могут не иметь такой возможности, что вызывает беспокойство», – сказал Патрик Уордл. Другими словами, программисты могут никогда не узнать, что их открытое ПО послужило для кого-то важным компонентом коммерческого ПО.

Уордл надеется помочь как разработчикам, так и компаниям защитить свои интересы. Разработчикам программного обеспечения (с открытым или закрытым кодом) он советует всегда учитывать, что он может быть украден, и научиться применять методы, которые смогут помочь вывести вора на чистую воду.

Корпорациям Уордл предлагает лучше обучать своих сотрудников основам, права связанным с реверс-инжинирингом другого продукта для получения коммерческой выгоды. И, в конце концов, он надеется, что корпорации просто перестанут воровать открытый исходный код.

Источник

Похожие статьи

Добавить комментарий

Закрыть