Поделиться
Он слишком хорошо программировал. Корпорации массово воруют открытый код, чтобы вставлять его в коммерческое ПО
Открытый исходный код независимых разработчиков может использоваться крупными компаниями в своем коммерческом ПО без ведома автора. Это можно считать воровством интеллектуальной собственности, так как компании не только не предлагают авторам компенсацию, но даже спрашивают разрешения на использование их кода.
Воровство, поставленное на поток
Крупные корпорации, занимающиеся разработкой ПО, не гнушаются красть чужую интеллектуальную собственность в виде открытого исходно кода и интегрировать его в свой коммерческий софт, пишет The Verge. Доказать это сумел бывший хакер и экс-сотрудник Агентства нацбезопасности США и НАСА Патрик Уордл (Patrick Wardle), ныне известный как специалист по вредоносным программам для macOS и основатель Objective-See Foundation. Это некоммерческая организация, занимающаяся инструментами безопасности для macOS с открытым исходным кодом.
Деятельность Уордла сопряжена с тем, что немалая часть написанного им программного кода доступна в интернете для загрузки. Как пишет The Verge, часть его наработок привлекла внимание как минимум трех компаний, которые теперь используют его без разрешения Уордла.
Обнаружив воровство своего кода, экс-хакер рассказал об этом 11 августа 2022 г. на конференции Black Hat Briefings, посвященной информационной безопасности. Своими наблюдениями он поделился с ИБ-экспертом из университета Джона Хопкинса (США), Томом Макгуайром (Tom McGuire).
Вдвоем они сумели доказать, что открытый исходный код Уордла действительно использовался в коммерческих продуктах, притом на протяжении нескольких лет. Авторы этого ПО не только не указали его в качестве соавтора, но также не обратились к нему за разрешением и не предложили компенсацию.
Наглядный пример
В качестве примера воровства своей интеллектуальной собственности Уордл привел программу OverSight, которую он выпустил в 2016 г. Эта утилита используется для контроля над микрофоном и веб-камерой в ноутбуках Apple и ведения списка программ, которые получают к ним доступ. Приложение доказало свою эффективность – оно не только помогает выявлять вредоносное ПО, следящее за пользователем, но и обнаруживать слежку со стороны легальных программ. Пример – Shazam, которая «слушает» пользователя в фоновом режиме, пишет The Verge.
Детище Уордла использует особую комбинацию методов анализа использования программами камеры и микрофона, что делает его уникальным на фоне других программ подобного рода. Через несколько лет автор обнаружил несколько коммерческих приложений, использующих схожую логику работы – вплоть до воспроизведения тех же ошибок, что и в коде Уордла.
Уордл намеренно не стал раскрывать названия компаний, укравших его интеллектуальную собственность. По его словам, едва ли это было требование, спущенное «сверху». Вероятнее всего, за кражей стоит какой-либо сотрудник, ответственный за написание кода.
В случае с Уордлом ситуация в итоге решилась в его пользу. Он связался с компаниями, использовавшими его код в своих утилитах. Те без промедлений и борьбы признали, что код действительно был интегрирован без разрешения.
Вырезать программный код Уордла из своих продуктов разработчики не стали. Вместо этого одни из них выплатили ему компенсацию напрямую, а другие пожертвовали средства фонд его некоммерческой организации.
Массовая проблема
Уордл считает, что он далеко не единственный разработчик открытого ПО, чей код используется в программах, распространяющихся на платной основе. Обнаружить свой код он смог лишь потому, что софт, который он пишет, узкоспециализирован и не очень широко распространен.
«Я могу обнаружить, что это происходит с моими инструментами, но другие независимые разработчики могут не иметь такой возможности, что вызывает беспокойство», – сказал Патрик Уордл. Другими словами, программисты могут никогда не узнать, что их открытое ПО послужило для кого-то важным компонентом коммерческого ПО.
Уордл надеется помочь как разработчикам, так и компаниям защитить свои интересы. Разработчикам программного обеспечения (с открытым или закрытым кодом) он советует всегда учитывать, что он может быть украден, и научиться применять методы, которые смогут помочь вывести вора на чистую воду.
Корпорациям Уордл предлагает лучше обучать своих сотрудников основам, права связанным с реверс-инжинирингом другого продукта для получения коммерческой выгоды. И, в конце концов, он надеется, что корпорации просто перестанут воровать открытый исходный код.
Короткая ссылка
