Código fonte roubado \ hackeado por empresa rival

23

Em algumas empresas em que trabalhei, os gerentes gastaram muito dinheiro com consultores de segurança de TI. Principalmente porque eles têm medo de que o código-fonte seja roubado por uma empresa rival. No entanto, como programador, considero uma preocupação menor que uma empresa rival ache o código fonte real útil. Afinal, basta ter acesso ao nosso aplicativo e isso pode ser feito sem violar a lei. Na minha opinião, os dados manipulados pelas pessoas de negócios seriam muito mais úteis que o código-fonte.

Minha pergunta é; existem exemplos conhecidos em que o código-fonte foi roubado E uma empresa rival o usou extensivamente?

Eu sei que algum código-fonte do mecanismo de jogo (terremoto 1 e meia-vida 2, se bem me lembro) foi roubado, mas não vejo realmente que isso prejudique seus negócios.

(Eu sei, essa pergunta pode ser mais apropriada para outro fórum no stackexchange)

Viktor Sehr
fonte
6
Se um código-fonte se algum produto de segurança for roubado, isso poderá permitir que os hackers o analisem mais facilmente quanto a pontos fracos e os use para atacar clientes que usam o produto de segurança. Embora o mesmo possa ser feito por meio de engenharia reversa, leva muito mais tempo para fazê-lo, em vez de apenas revisar o código-fonte.
@ Viktor, considere mudar isso para a segurança de TI .
AviD 27/04
48
Costumávamos brincar entre os colegas que quem roubou nosso código e conseguiu fazê-lo funcionar merecia!
Benjol
1
Alguns aplicativos têm mais a perder com vazamentos de código fonte do que outros. Por exemplo: você pode apostar que, se o código fonte do XRumer vazasse, todos os pacotes de software do fórum estariam imunes a ele no dia seguinte. Isso prejudicaria a receita de seus mantenedores até o lançamento da próxima versão.
usar o seguinte comando
1
@IAbstract - A Apple teve a idéia de uma interface gráfica da Xerox Park, que também possuía um dos primeiros (se não o primeiro) mouse de computador ... (< cultofmac.com/… >). Agora, de onde a Xerox tirou a idéia?
Martin S. Stoller

Respostas:

18

O vazamento da Kaspersky início deste ano é um bom exemplo. Dependendo de quem você lê, a versão vazada pode ter sido um ou dois ciclos desatualizada e o autor pode ter tentado vendê-la aos concorrentes. Independentemente de ter sido vendido ou não, sua eventual divulgação via torrent é obviamente algo bastante desagradável e poderia (teve?) Ter um sério impacto financeiro.

Foi Half Life 2 que vazou pouco antes do lançamento em 2004. Há um relato muito bom do que aconteceu aqui: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- meia-vida-2-artigo

Troy Hunt
fonte
2
Artigo fascinante sobre HL2. 1
jnevelson
16

Eu também acho que o medo de alguém roubar o precioso código fonte do produto x é altamente superestimado. Mesmo que alguém possua o código fonte que de maneira alguma leve automaticamente à chance do ladrão fazer uso desse código.

Sim, existe um valor em um produto de software que foi escrito, mas um valor muito maior está nas cabeças das pessoas que desenvolveram esse aplicativo. Isso pode ser observado quando um desenvolvedor (ou uma equipe de desenvolvedores) sai de um projeto de desenvolvimento existente e é substituído por novos desenvolvedores (ou consultores ou por qualquer parte que as pessoas tenham no projeto). Geralmente, é preciso muito tempo e esforço para atualizá-los com a tecnologia atualmente usada e a arquitetura sob a qual o produto foi desenvolvido. Eu já vi mais de um caso, em que reescrever um aplicativo completamente do zero, trazendo um novo design de um novo conjunto de pessoas, era muito mais rápido e muito mais suave do que tentar digitar o código existente e entender o que ele realmente faz .

Apenas roubar urânio enriquecido não dará (felizmente) tudo o que você precisa para desenvolver um waepon nuclear. Não é tão diferente com o código fonte.

Portanto, acho que não há muitas referências em que o código-fonte roubado tenha sido usado para desenvolver um novo aplicativo baseado no trabalho que outra pessoa fez. O que foi feito é roubar idéias de produtos e iniciar o processo de implementação. Portanto, a parte sensível é proteger as idéias - não o produto que as segue. O produto pode ser copiado com muita facilidade.

perdian
fonte
4
O U-235 de nível de armas é o bastante para criar um dispositivo nuclear, dados recursos e talento de engenharia bastante modestos. O plutônio com qualidade de armas faria uma analogia melhor. Garanto que, se o acesso total ao código-fonte fosse tudo, eu teria muito menos problemas com o software U3D.
precisa
9

Aqui estão alguns exemplos de que estou pessoalmente ciente ...

A AT&T desenvolveu o gerador de analisador yacc e lex lexical analisador gerador, como parte do Unix. Você deveria obter cópias da fonte apenas se obtivesse uma licença de fonte Unix ... mas alguém tirou uma cópia da mesa de uma pessoa que permanecerá anônima aqui por volta de 1980. (Não era eu, e não tenho certeza se ele gostaria que seu nome fosse mencionado.) A fonte começou a flutuar, as pessoas as transportaram para o PC IBM, yadda yadda. Consegui cópias de um equipamento em Austin que vendia disquetes de "código-fonte para programas bacanas" por volta de 1986.

Por volta de 1990, a Microsoft tinha uma reputação por isso, embora não tenha certeza de que era exatamente uma política corporativa. Além do caso Stac mencionado por Tangurena, uma empresa de consultoria que já havia trabalhado para a Apple para portar o QuickTime para Windows reutilizou algumas das fontes proprietárias do QuickTime em um projeto para Intel e Microsoft para acelerar o Video for Windows da MS. A Apple acabou recebendo uma liminar contra o Video for Windows. Certamente não está claro para quem está de fora se alguém na Intel e / ou Microsoft sabia sobre esse roubo.

Isso realmente não acontece muito com empresas americanas - os riscos são altos demais. Por exemplo, eu era contratado pelo fornecedor de banco de dados agora extinto Informix quando eles estavam no meio de uma batalha de benchmark com a Oracle, e o Informix continuava vencendo. A Oracle contratou um dos principais engenheiros de banco de dados do Informix e ele apareceu no trabalho no primeiro dia com um disco rígido cheio de fontes do Informix, pensando que o receberiam de braços abertos. Eles o receberam bem, com uma equipe de segurança para acompanhá-lo até a delegacia. Eles também chamaram a segurança do Informix para recuperar o disco rígido não examinado.

Bob Murphy
fonte
8

existem exemplos conhecidos em que o código-fonte foi roubado E uma empresa rival o usou extensivamente?

Um que imediatamente vem à mente é a Microsoft roubando o código Stac Electronics para o DoubleSpace . Acabou em tribunal e a solução mais barata para a Microsoft foi comprar o Stac (originalmente eles alegaram querer fazê-lo, e é por isso que eles obtiveram acesso à fonte), mas depois optaram por implantar o código copiado como Drivespace e depois provocaram o Stac com "o que você vai fazer sobre isso?").

Tangurena
fonte
e também o conceito de campos personalizados / pesquisa xml da i4i, da Microsoft, quando eles colaboraram juntos.
Gbjbaanb
O principal problema que vejo se uma empresa tenta roubar IP é o componente da técnica anterior. Ele não pode fazer um pedido de patente a menos que seja marcadamente diferente do original
GrumpyMonkey
6

Eu acho que isso depende muito da base de código específica. Eu ficaria surpreso se mais do que uma minoria minúscula de código-fonte proprietário valesse a pena roubar.

Na maioria dos casos, o código-fonte é um passivo, não - como algumas pessoas de negócios gostam de pensar - um ativo. O ativo é o executável em execução e as pessoas que sabem como adaptá-lo e evoluí-lo de acordo com os requisitos de negócios futuros.

Além do alto risco legal de roubar código-fonte e do custo direto de sua aquisição, seus próprios desenvolvedores precisam entendê-lo. O que - especialmente se os desenvolvedores originais não estão por perto para ajudar - é um grande empreendimento para uma base de código não trivial. Peter Seibel (da fama Practical Common Lisp and Coders at Work ) disse uma vez que a quantidade de tempo está na mesma ordem de magnitude que o esforço de desenvolvimento original.

Existem exceções, por exemplo, se a base de código ...

  • ... contém peças discretas, altamente valiosas, facilmente identificáveis ​​(por exemplo, um algoritmo proprietário com características significativamente superiores às contrapartes conhecidas)
  • ... extrai um valor significativo da 'obscuridade', como alguns produtos relacionados à segurança
  • ... é em si muito pequeno, com requisitos rigorosos de correção, como comumente encontrado em software incorporado (ou seja, o valor de ser extensivamente testado, revisado e talvez até sujeito a provas formais)
  • ... contém evidências de negligência / quebra de contrato / práticas comerciais antiéticas / incompetência etc.
Alexander Battisti
fonte
2

Esse tipo de coisa é de algum interesse para os desenvolvedores de produtos, onde o firmare incorporado é o GOLD, e houve casos ao longo dos anos de código fonte ou de objeto sendo roubado. Você encontrará algumas anotações ocasionais nas revistas de engenharia.

rapid_now
fonte
É claro que o firmware incorporado nunca impede que as pessoas tentem fazer engenharia reversa nos sistemas da Nintendo a partir dos anos 80. Eu acredito que muitas pessoas foram capazes de fazer exatamente isso. Temos emuladores em execução no iPhone que permitem jogar jogos de 20 anos.
Ramhound
1
Um emulador para um jogo não é a mesma coisa que roubar o firmware que roda alguns dos produtos mais onipresentes - por exemplo, por que pagar alguém para desenvolver firmware para um controlador de máquina de lavar se você pode roubar alguém. Pode não parecer muito, e não é um bom exemplo. Existem outros exemplos de microcontroladores que podem obter a leitura do firmware (por exemplo, gravando o epóxi e investigando a matriz), porque o conteúdo vale a pena fazer tudo isso.
quickly_now
1

Sim, existem vários exemplos, mas nenhum que eu conheça com código proprietário. Veja http://gpl-violations.org/ para exemplos de onde as empresas usaram código-fonte aberto como se fosse seu. Nesses casos, obter o código-fonte não era um problema, pois era de código aberto.

Martin Vilcans
fonte
Não é verdade que não há exemplos com código proprietário. Veja as outras respostas.
Bob Murphy
@ Bob Murphy: Meu erro. Adicionado "nenhum que eu conheça" à minha resposta.
Martin Vilcans
<risos> acontece comigo o tempo todo.
Bob Murphy
1

Tudo depende do tipo de aplicativo e de como é fácil replicar o comportamento do aplicativo. Estou certo de que a Microsoft gostaria de colocar o código fonte do mecanismo de busca do Google. Eles infligiriam pesadas perdas a eles se o fizessem.

No entanto, qualquer desenvolvedor experiente pode copiar o comportamento exato de 99% dos aplicativos da Web ou da área de trabalho sem o código-fonte.

O que importa é onde uma empresa colocou um extenso trabalho em um mecanismo (ou seja, um mecanismo de física, um mecanismo de pesquisa) que ninguém mais foi capaz de criar tão bem quanto em um sistema operacional

Dito isto, na maioria das vezes, isso realmente não importa.

Jonathan Henson
fonte
1

Eu posso pensar em dois exemplos:

  • Tengen obteve ilegalmente o código do chip de proteção contra cópia da NES. Eles então usaram esse código para fabricar cartuchos NES não licenciados (incluindo o Tetris). Como eles obtiveram o código? Por engenharia social, ela sai do Escritório de Direitos Autorais dos EUA. Em outras palavras, eles alegaram falsamente que estavam sendo processados ​​pela Nintendo e que precisavam do código fonte para preparar sua defesa. Funcionou.
  • Veja ARJ vs PK-ZIP.
user16764
fonte
1

Geralmente, roubar código não vale a pena, como se você fosse um negócio, e for encontrado usando o código de alguém sem permissão, eles podem processar a luz do dia.

O único problema que realmente vejo ao ter seu código roubado é A) pessoas na Internet, não empresas, usando-o gratuitamente e modificando-o e B) se eles precisassem ir longe o suficiente para usar seu código-fonte para executar uma limpeza. engenharia reversa de sala.

http://en.wikipedia.org/wiki/Clean_room_design

No entanto, seria um esforço tremendo da parte deles, desde que seus termos de licenciamento sejam justos, então não vejo isso viável.

SpacePrez
fonte