Código fonte roubado \ hackeado por empresa rival

Em algumas empresas em que trabalhei, os gerentes gastaram muito dinheiro com consultores de segurança de TI. Principalmente porque eles têm medo de que o código-fonte seja roubado por uma empresa rival. No entanto, como programador, considero uma preocupação menor que uma empresa rival ache o código fonte real útil. Afinal, basta ter acesso ao nosso aplicativo e isso pode ser feito sem violar a lei. Na minha opinião, os dados manipulados pelas pessoas de negócios seriam muito mais úteis que o código-fonte.

Minha pergunta é; existem exemplos conhecidos em que o código-fonte foi roubado E uma empresa rival o usou extensivamente?

Eu sei que algum código-fonte do mecanismo de jogo (terremoto 1 e meia-vida 2, se bem me lembro) foi roubado, mas não vejo realmente que isso prejudique seus negócios.

(Eu sei, essa pergunta pode ser mais apropriada para outro fórum no stackexchange)

O vazamento da Kaspersky início deste ano é um bom exemplo. Dependendo de quem você lê, a versão vazada pode ter sido um ou dois ciclos desatualizada e o autor pode ter tentado vendê-la aos concorrentes. Independentemente de ter sido vendido ou não, sua eventual divulgação via torrent é obviamente algo bastante desagradável e poderia (teve?) Ter um sério impacto financeiro.

Foi Half Life 2 que vazou pouco antes do lançamento em 2004. Há um relato muito bom do que aconteceu aqui: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- meia-vida-2-artigo

Eu também acho que o medo de alguém roubar o precioso código fonte do produto x é altamente superestimado. Mesmo que alguém possua o código fonte que de maneira alguma leve automaticamente à chance do ladrão fazer uso desse código.

Sim, existe um valor em um produto de software que foi escrito, mas um valor muito maior está nas cabeças das pessoas que desenvolveram esse aplicativo. Isso pode ser observado quando um desenvolvedor (ou uma equipe de desenvolvedores) sai de um projeto de desenvolvimento existente e é substituído por novos desenvolvedores (ou consultores ou por qualquer parte que as pessoas tenham no projeto). Geralmente, é preciso muito tempo e esforço para atualizá-los com a tecnologia atualmente usada e a arquitetura sob a qual o produto foi desenvolvido. Eu já vi mais de um caso, em que reescrever um aplicativo completamente do zero, trazendo um novo design de um novo conjunto de pessoas, era muito mais rápido e muito mais suave do que tentar digitar o código existente e entender o que ele realmente faz .

Apenas roubar urânio enriquecido não dará (felizmente) tudo o que você precisa para desenvolver um waepon nuclear. Não é tão diferente com o código fonte.

Portanto, acho que não há muitas referências em que o código-fonte roubado tenha sido usado para desenvolver um novo aplicativo baseado no trabalho que outra pessoa fez. O que foi feito é roubar idéias de produtos e iniciar o processo de implementação. Portanto, a parte sensível é proteger as idéias - não o produto que as segue. O produto pode ser copiado com muita facilidade.

Aqui estão alguns exemplos de que estou pessoalmente ciente ...

A AT&T desenvolveu o gerador de analisador yacc e lex lexical analisador gerador, como parte do Unix. Você deveria obter cópias da fonte apenas se obtivesse uma licença de fonte Unix ... mas alguém tirou uma cópia da mesa de uma pessoa que permanecerá anônima aqui por volta de 1980. (Não era eu, e não tenho certeza se ele gostaria que seu nome fosse mencionado.) A fonte começou a flutuar, as pessoas as transportaram para o PC IBM, yadda yadda. Consegui cópias de um equipamento em Austin que vendia disquetes de "código-fonte para programas bacanas" por volta de 1986.

Por volta de 1990, a Microsoft tinha uma reputação por isso, embora não tenha certeza de que era exatamente uma política corporativa. Além do caso Stac mencionado por Tangurena, uma empresa de consultoria que já havia trabalhado para a Apple para portar o QuickTime para Windows reutilizou algumas das fontes proprietárias do QuickTime em um projeto para Intel e Microsoft para acelerar o Video for Windows da MS. A Apple acabou recebendo uma liminar contra o Video for Windows. Certamente não está claro para quem está de fora se alguém na Intel e / ou Microsoft sabia sobre esse roubo.

Isso realmente não acontece muito com empresas americanas - os riscos são altos demais. Por exemplo, eu era contratado pelo fornecedor de banco de dados agora extinto Informix quando eles estavam no meio de uma batalha de benchmark com a Oracle, e o Informix continuava vencendo. A Oracle contratou um dos principais engenheiros de banco de dados do Informix e ele apareceu no trabalho no primeiro dia com um disco rígido cheio de fontes do Informix, pensando que o receberiam de braços abertos. Eles o receberam bem, com uma equipe de segurança para acompanhá-lo até a delegacia. Eles também chamaram a segurança do Informix para recuperar o disco rígido não examinado.

existem exemplos conhecidos em que o código-fonte foi roubado E uma empresa rival o usou extensivamente?

Um que imediatamente vem à mente é a Microsoft roubando o código Stac Electronics para o DoubleSpace . Acabou em tribunal e a solução mais barata para a Microsoft foi comprar o Stac (originalmente eles alegaram querer fazê-lo, e é por isso que eles obtiveram acesso à fonte), mas depois optaram por implantar o código copiado como Drivespace e depois provocaram o Stac com "o que você vai fazer sobre isso?").

Eu acho que isso depende muito da base de código específica. Eu ficaria surpreso se mais do que uma minoria minúscula de código-fonte proprietário valesse a pena roubar.

Na maioria dos casos, o código-fonte é um passivo, não - como algumas pessoas de negócios gostam de pensar - um ativo. O ativo é o executável em execução e as pessoas que sabem como adaptá-lo e evoluí-lo de acordo com os requisitos de negócios futuros.

Além do alto risco legal de roubar código-fonte e do custo direto de sua aquisição, seus próprios desenvolvedores precisam entendê-lo. O que - especialmente se os desenvolvedores originais não estão por perto para ajudar - é um grande empreendimento para uma base de código não trivial. Peter Seibel (da fama Practical Common Lisp and Coders at Work ) disse uma vez que a quantidade de tempo está na mesma ordem de magnitude que o esforço de desenvolvimento original.

Existem exceções, por exemplo, se a base de código ...

• ... contém peças discretas, altamente valiosas, facilmente identificáveis ​​(por exemplo, um algoritmo proprietário com características significativamente superiores às contrapartes conhecidas)
• ... extrai um valor significativo da 'obscuridade', como alguns produtos relacionados à segurança
• ... é em si muito pequeno, com requisitos rigorosos de correção, como comumente encontrado em software incorporado (ou seja, o valor de ser extensivamente testado, revisado e talvez até sujeito a provas formais)
• ... contém evidências de negligência / quebra de contrato / práticas comerciais antiéticas / incompetência etc.

Um caso famoso foi quando o código-fonte de negociação de alta frequência do Goldman Sachs foi roubado por um ex-funcionário: http://www.bloomberg.com/apps/news?pid=newsarchive&sid=axYw_ykTBokE

Nesse domínio, o código-fonte é valioso, pois contém os algoritmos de negociação.

Esse tipo de coisa é de algum interesse para os desenvolvedores de produtos, onde o firmare incorporado é o GOLD, e houve casos ao longo dos anos de código fonte ou de objeto sendo roubado. Você encontrará algumas anotações ocasionais nas revistas de engenharia.

Sim, existem vários exemplos, mas nenhum que eu conheça com código proprietário. Veja http://gpl-violations.org/ para exemplos de onde as empresas usaram código-fonte aberto como se fosse seu. Nesses casos, obter o código-fonte não era um problema, pois era de código aberto.

Tudo depende do tipo de aplicativo e de como é fácil replicar o comportamento do aplicativo. Estou certo de que a Microsoft gostaria de colocar o código fonte do mecanismo de busca do Google. Eles infligiriam pesadas perdas a eles se o fizessem.

No entanto, qualquer desenvolvedor experiente pode copiar o comportamento exato de 99% dos aplicativos da Web ou da área de trabalho sem o código-fonte.

O que importa é onde uma empresa colocou um extenso trabalho em um mecanismo (ou seja, um mecanismo de física, um mecanismo de pesquisa) que ninguém mais foi capaz de criar tão bem quanto em um sistema operacional

Dito isto, na maioria das vezes, isso realmente não importa.

Eu posso pensar em dois exemplos:

• Tengen obteve ilegalmente o código do chip de proteção contra cópia da NES. Eles então usaram esse código para fabricar cartuchos NES não licenciados (incluindo o Tetris). Como eles obtiveram o código? Por engenharia social, ela sai do Escritório de Direitos Autorais dos EUA. Em outras palavras, eles alegaram falsamente que estavam sendo processados ​​pela Nintendo e que precisavam do código fonte para preparar sua defesa. Funcionou.
• Veja ARJ vs PK-ZIP.

Geralmente, roubar código não vale a pena, como se você fosse um negócio, e for encontrado usando o código de alguém sem permissão, eles podem processar a luz do dia.

O único problema que realmente vejo ao ter seu código roubado é A) pessoas na Internet, não empresas, usando-o gratuitamente e modificando-o e B) se eles precisassem ir longe o suficiente para usar seu código-fonte para executar uma limpeza. engenharia reversa de sala.

http://en.wikipedia.org/wiki/Clean_room_design

No entanto, seria um esforço tremendo da parte deles, desde que seus termos de licenciamento sejam justos, então não vejo isso viável.