Codice sorgente rubato \ hackerato dalla società rivale

23

In alcune aziende per cui ho lavorato, i manager hanno speso parecchi soldi in consulenti di sicurezza. Principalmente perché temono che il codice sorgente venga rubato da una società rivale. Tuttavia, come programmatore, vedo come una preoccupazione minore che un'azienda rivale ritenga utile il codice sorgente effettivo. Dopotutto, basta avere accesso alla nostra applicazione e questo può essere fatto senza infrangere la legge. A mio avviso, i dati gestiti dagli uomini d'affari sarebbero molto più utili del codice sorgente.

La mia domanda è; ci sono esempi noti in cui il codice sorgente è stato rubato E una società rivale lo ha ampiamente utilizzato?

Conosco un motore di gioco (terremoto 1 e mezza vita 2 se ricordo bene) il codice sorgente è stato rubato, ma non riesco davvero a vedere che ha davvero danneggiato il loro business.

(So ​​che questa domanda potrebbe essere più appropriata per altri forum su stackexchange)

security 
Viktor Sehr
fonte
6
Se viene rubato un codice sorgente in caso di furto di un prodotto di sicurezza, ciò può consentire agli hacker di analizzarlo più facilmente per individuare eventuali punti deboli e utilizzarli per attaccare i clienti che utilizzano il prodotto di sicurezza. Mentre lo stesso può essere fatto tramite il reverse engineering, ci vuole molto più tempo per farlo invece di rivedere il codice sorgente.
@Viktor, considera l'idea di spostarlo su Sicurezza IT .
AviD,
48
Scherzavamo tra i colleghi che chiunque avesse rubato il nostro codice e riuscisse a farlo funzionare se lo meritava!
Benjol,
1
Alcune applicazioni hanno più da perdere dalle perdite di codice sorgente rispetto ad altre. Ad esempio: puoi scommettere che se il codice sorgente di XRumer fosse trapelato, ogni pacchetto software del forum sarebbe immune da esso il giorno successivo. Ciò metterebbe a repentaglio le entrate del suo manutentore fino al rilascio della versione successiva.
user16764,
1
@IAbstract - Apple ha avuto l'idea di una GUI con finestre di Xerox Park, che aveva anche uno dei primi (se non il primo) mouse per computer ... (< cultofmac.com/… >). Da dove Xerox ha avuto l'idea?
Martin S. Stoller,

Risposte:

18

La fuga di Kaspersky all'inizio di quest'anno è un buon esempio. A seconda di chi leggi, la versione trapelata potrebbe essere stata un ciclo o due obsoleti e l'autore potrebbe aver tentato di venderlo ai concorrenti. Indipendentemente dal fatto che sia stato venduto o meno, la sua eventuale divulgazione tramite torrent è ovviamente roba piuttosto brutta e potrebbe (ha fatto?) Avere un grave impatto finanziario.

Era Half Life 2 trapelato poco prima del rilascio nel 2004. C'è un ottimo resoconto di quello che è successo qui: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- emivita-2-articolo

Troy Hunt
fonte
2
Articolo affascinante su HL2. +1
jnevelson,
16

Penso anche che la paura che qualcuno rubi il prezioso codice sorgente del prodotto x è molto sopravvalutata. Anche se qualcuno ha il codice sorgente che non porta in alcun modo automaticamente alla possibilità per il ladro di utilizzare quel codice.

Sì, c'è un valore in un prodotto software che è stato scritto ma un valore molto più grande è nelle teste delle persone che hanno sviluppato quell'applicazione. Questo può essere visto quando uno sviluppatore (o un team di sviluppatori) lascia un progetto di sviluppo esistente e viene sostituito da nuovi sviluppatori (o consulenti, o qualunque parte delle persone abbiano all'interno del progetto). Spesso ci vuole un sacco di tempo e sforzi per aggiornarli sulla tecnologia attualmente utilizzata e sull'architettura in base alla quale il prodotto è stato sviluppato. Ho visto più di un caso, in cui riscrivere un'applicazione completamente da zero introducendo un nuovo design da un nuovo gruppo di persone era molto più veloce e molto più fluido rispetto al tentativo di scavare nel codice esistente e cercare di capire cosa fa davvero .

Il semplice furto di uranio arricchito non ti darà (per fortuna) tutto ciò di cui hai bisogno per sviluppare un cameriere nucleare. Non è poi così diverso con il codice sorgente.

Quindi penso che non ci siano molti riferimenti in cui il codice sorgente rubato è stato utilizzato per sviluppare una nuova applicazione basata sul lavoro svolto da qualcun altro. Ciò che è stato fatto è rubare idee di prodotti e quindi avviare il processo di implementazione. Quindi, la parte sensibile sta proteggendo le idee, non il prodotto che segue queste idee. Il prodotto può essere copiato molto facilmente.

perdian
fonte
4
Il grado U-235 delle armi è praticamente sufficiente per creare un dispositivo nucleare, date risorse abbastanza modeste e talento ingegneristico. Il plutonio delle armi sarebbe una migliore analogia. Ti assicuro che, se l'accesso completo al codice sorgente fosse tutto, avrei avuto molti meno problemi con il software U3D.
David Thornley,
9

Ecco alcuni esempi di cui sono personalmente a conoscenza ...

AT&T ha sviluppato il generatore di parser yacc e il generatore di analizzatori lessicali lex , come parte di Unix. Avresti dovuto ottenere copie della fonte solo se avessi ottenuto una licenza di origine Unix ... ma qualcuno ha cancellato una copia dalla scrivania dalla scrivania di una persona che rimarrà anonima qui intorno al 1980. (Non lo era io, e non sono sicuro che vorrebbe che il suo nome fosse contuso.) La fonte ha iniziato a fluttuare, la gente li ha portati sul PC IBM, yadda yadda. Ho ricevuto copie da un gruppo di Austin che vendeva floppy disk "codice sorgente per programmi eleganti" intorno al 1986.

Intorno al 1990, Microsoft aveva una sorta di reputazione per questo, anche se non sono sicuro che fosse esattamente la politica aziendale. Oltre al caso Stac che Tangurena ha menzionato, una società di consulenza che aveva precedentemente lavorato per Apple per portare QuickTime su Windows ha riutilizzato alcune delle fonti proprietarie QuickTime in un progetto per Intel e Microsoft per accelerare MS Video per Windows. Apple finì per ottenere un'ingiunzione di arresto della nave contro Video per Windows. Non è certo chiaro agli estranei se qualcuno di Intel e / o Microsoft fossero a conoscenza di questo furto.

Ciò non accade molto, tuttavia, con le società statunitensi: i rischi sono troppo elevati. Ad esempio, ero un appaltatore del fornitore di database ormai defunto Informix quando si trovavano nel mezzo di una battaglia di benchmark con Oracle e Informix continuava a vincere. Oracle ha assunto uno dei principali ingegneri di database di Informix e si è presentato al lavoro il primo giorno con un disco rigido pieno di fonti Informix, pensando che lo avrebbero accolto a braccia aperte. Lo hanno accolto, d'accordo, con una squadra di sicurezza per scortarlo alla stazione di polizia. Hanno anche chiamato la sicurezza di Informix per recuperare e recuperare il disco rigido non esaminato.

Bob Murphy
fonte
8

ci sono esempi noti in cui il codice sorgente è stato rubato E una società rivale lo ha ampiamente utilizzato?

Uno che mi viene subito in mente è che Microsoft ruba il codice Stac Electronics per DoubleSpace . Finì in tribunale e la soluzione più economica per Microsoft era l'acquisto di Stac (originariamente sostenevano di volerlo fare, motivo per cui hanno avuto accesso al sorgente, ma poi hanno scelto di distribuire il codice copiato come Drivespace e poi hanno provocato Stac con "che cosa hai intenzione di fare al riguardo?").

Tangurena
fonte
e anche il rubare il concetto di ricerca / campi personalizzati xml di i4i di Microsoft quando hanno collaborato insieme.
gbjbaanb,
Il problema principale che vedo se un'azienda tenta di rubare ip è il componente della tecnica nota. Non può presentare domanda di brevetto a meno che non sia nettamente diverso dall'originale
GrumpyMonkey,
6

Penso che questo dipenda fortemente dalla base di codice specifica. Sarei sorpreso se valesse la pena rubare più di una piccola minoranza di codice sorgente proprietario.

Nella maggior parte dei casi il codice sorgente è una responsabilità, non - come ad alcuni uomini d'affari piace pensare - una risorsa. La risorsa è l' eseguibile in esecuzione e le persone che sanno adattarsi ed evolverlo in base alle future esigenze aziendali.

A parte l'elevato rischio legale di rubare il codice sorgente e il costo diretto per ottenerlo, i tuoi sviluppatori devono capirlo. Il che - specialmente se gli sviluppatori originali non sono in grado di aiutare - è una grande impresa per una base di codice non banale. Peter Seibel (di fama pratica di Lisp e Coders at Work ) una volta disse che la quantità di tempo è nello stesso ordine di grandezza dello sforzo di sviluppo originale.

Ci sono comunque delle eccezioni, ad esempio se la base di codice ...

  • ... contiene parti discrete di grande valore, facilmente identificabili (ad es. un algoritmo proprietario con caratteristiche significativamente superiori alle controparti comunemente note)
  • ... trae valore significativo dall '"oscurità", come alcuni prodotti relativi alla sicurezza
  • ... è di per sé molto piccolo, con severi requisiti di correttezza, come si trova comunemente nel software incorporato (vale a dire che il valore è ampiamente testato, rivisto e forse persino soggetto a prove formali)
  • ... contiene prove di negligenza / violazione del contratto / pratiche commerciali non etiche / incompetenza ecc.
Alexander Battisti
fonte
2

Questo genere di cose è di qualche interesse per gli sviluppatori di prodotti, in cui il firmare incorporato è GOLD, e nel corso degli anni ci sono stati casi di furto del codice sorgente o dell'oggetto. Troverai di tanto in tanto scrivere altro sulle riviste di ingegneria.

quickly_now
fonte
Ovviamente essere un firmware incorporato non impedisce mai alle persone di provare a decodificare i sistemi Nintendo dagli anni '80. Credo che molte persone siano state in grado di fare proprio questo. Abbiamo emulatori in esecuzione su iPhone che ti consentono di giocare a giochi di 20 anni.
Ramhound,
1
Un emulatore per un gioco non è la stessa cosa che rubare il firmware che esegue alcuni dei prodotti più onnipresenti - ad esempio, perché pagare qualcuno per sviluppare un firmware per un controller di lavatrice se si può semplicemente rubare qualcun altro. Potrebbe non sembrare un sacco di $, e non è un ottimo esempio. Esistono altri esempi in cui i microcontrollori possono ottenere la lettura del firmware (ad es. Eliminando la resina epossidica e sondando il dado), poiché i contenuti valgono la pena di fare tutto questo.
quick_now
1

Sì, ci sono molti esempi, ma nessuno che conosco con un codice proprietario. Vedi http://gpl-violations.org/ per esempi di dove le aziende hanno usato il codice open source come se fosse il loro. In questi casi, ottenere il codice sorgente non era un problema in quanto era open source.

Martin Vilcans
fonte
Non è vero non ci sono esempi con codice proprietario. Vedi le altre risposte.
Bob Murphy,
@Bob Murphy: il mio errore. Ho aggiunto "nessuno che conosco" alla mia risposta.
Martin Vilcans,
<chuckle> Mi succede sempre.
Bob Murphy,
1

Tutto dipende dal tipo di applicazione e dalla facilità di replica del comportamento dell'applicazione. Sono certo che Microsoft adorerebbe mettere le mani sul codice sorgente per il motore di ricerca di Google. Avrebbero inflitto pesanti perdite su di loro se lo avessero fatto.

Tuttavia, qualsiasi sviluppatore esperto può copiare il comportamento esatto del 99% delle applicazioni web o desktop senza comunque il codice sorgente.

Dove importa è dove un'azienda ha lavorato molto su un motore (ovvero un motore fisico, un motore di ricerca) che nessun altro è stato in grado di realizzare o un sistema operativo

Detto questo, il più delle volte, non importa.

Jonathan Henson
fonte
1

Mi vengono in mente due esempi:

  • Tengen ha ottenuto illegalmente il codice per il chip di protezione da copia NES. Hanno quindi usato quel codice per creare cartucce NES senza licenza (incluso Tetris). Come hanno ottenuto il codice? Con il social-engineering è uscito dall'Ufficio Copyright degli Stati Uniti. In altre parole, hanno erroneamente affermato di essere stati citati in giudizio da Nintendo e di aver bisogno del codice sorgente per preparare la loro difesa. Ha funzionato.
  • Vedi ARJ vs PK-ZIP.
user16764
fonte
1

Generalmente, rubare il codice non vale la pena, come se fossi un'azienda, e ti ritrovi a usare il codice di qualcuno senza permesso, possono farti causa da te.

L'unico problema che vedo davvero quando viene rubato il tuo codice è A) persone su Internet, non aziende, che lo usano gratuitamente e modificandolo, e B) se dovessero andare abbastanza lontano da usare il tuo codice sorgente per poi eseguire clean- ingegneria inversa della stanza.

http://en.wikipedia.org/wiki/Clean_room_design

Sarebbe uno sforzo tremendo da parte loro, quindi fino a quando i termini della tua licenza sono giusti, non vedo che sia fattibile.

SpacePrez
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.