Он слишком хорошо программировал. Корпорации массово воруют открытый код, чтобы вставлять его в коммерческое ПО
Воровство, поставленное на поток
Крупные корпорации, занимающиеся разработкой ПО, не гнушаются красть чужую интеллектуальную собственность в виде открытого исходно кода и интегрировать его в свой коммерческий софт, пишет The Verge. Доказать это сумел бывший хакер и экс-сотрудник Агентства нацбезопасности США и НАСА Патрик Уордл (Patrick Wardle), ныне известный как специалист по вредоносным программам для macOS и основатель Objective-See Foundation. Это некоммерческая организация, занимающаяся инструментами безопасности для macOS с открытым исходным кодом.
Деятельность Уордла сопряжена с тем, что немалая часть написанного им программного кода доступна в интернете для загрузки. Как пишет The Verge, часть его наработок привлекла внимание как минимум трех компаний, которые теперь используют его без разрешения Уордла.
Обнаружив воровство своего кода, экс-хакер рассказал об этом 11 августа 2022 г. на конференции Black Hat Briefings, посвященной информационной безопасности. Своими наблюдениями он поделился с ИБ-экспертом из университета Джона Хопкинса (США), Томом Макгуайром (Tom McGuire).
Вдвоем они сумели доказать, что открытый исходный код Уордла действительно использовался в коммерческих продуктах, притом на протяжении нескольких лет. Авторы этого ПО не только не указали его в качестве соавтора, но также не обратились к нему за разрешением и не предложили компенсацию.
Наглядный пример
В качестве примера воровства своей интеллектуальной собственности Уордл привел программу OverSight, которую он выпустил в 2016 г. Эта утилита используется для контроля над микрофоном и веб-камерой в ноутбуках Apple и ведения списка программ, которые получают к ним доступ. Приложение доказало свою эффективность – оно не только помогает выявлять вредоносное ПО, следящее за пользователем, но и обнаруживать слежку со стороны легальных программ. Пример – Shazam, которая «слушает» пользователя в фоновом режиме, пишет The Verge.
Детище Уордла использует особую комбинацию методов анализа использования программами камеры и микрофона, что делает его уникальным на фоне других программ подобного рода. Через несколько лет автор обнаружил несколько коммерческих приложений, использующих схожую логику работы – вплоть до воспроизведения тех же ошибок, что и в коде Уордла.
Уордл намеренно не стал раскрывать названия компаний, укравших его интеллектуальную собственность. По его словам, едва ли это было требование, спущенное «сверху». Вероятнее всего, за кражей стоит какой-либо сотрудник, ответственный за написание кода.
В случае с Уордлом ситуация в итоге решилась в его пользу. Он связался с компаниями, использовавшими его код в своих утилитах. Те без промедлений и борьбы признали, что код действительно был интегрирован без разрешения.
Вырезать программный код Уордла из своих продуктов разработчики не стали. Вместо этого одни из них выплатили ему компенсацию напрямую, а другие пожертвовали средства фонд его некоммерческой организации.
Массовая проблема
Уордл считает, что он далеко не единственный разработчик открытого ПО, чей код используется в программах, распространяющихся на платной основе. Обнаружить свой код он смог лишь потому, что софт, который он пишет, узкоспециализирован и не очень широко распространен.
«Я могу обнаружить, что это происходит с моими инструментами, но другие независимые разработчики могут не иметь такой возможности, что вызывает беспокойство», – сказал Патрик Уордл. Другими словами, программисты могут никогда не узнать, что их открытое ПО послужило для кого-то важным компонентом коммерческого ПО.
Уордл надеется помочь как разработчикам, так и компаниям защитить свои интересы. Разработчикам программного обеспечения (с открытым или закрытым кодом) он советует всегда учитывать, что он может быть украден, и научиться применять методы, которые смогут помочь вывести вора на чистую воду.
Корпорациям Уордл предлагает лучше обучать своих сотрудников основам, права связанным с реверс-инжинирингом другого продукта для получения коммерческой выгоды. И, в конце концов, он надеется, что корпорации просто перестанут воровать открытый исходный код.
