Kaynak kod çalındı ​​rakip firma tarafından saldırıya uğradı

Çalıştığım bazı şirketlerde yöneticiler güvenlik danışmanlarına çok para harcadılar. Öncelikle korktukları için rakip bir şirket tarafından çalınan kaynak kodunu alacağız. Bununla birlikte, bir programcı olarak, rakip şirketin gerçek kaynak kodunu yararlı bulacağı konusunda endişeliyim. Ne de olsa, sadece uygulamamıza erişebilmek yeterlidir ve bu yasaları çiğnemeksizin yapılabilir. Bana göre, iş adamları tarafından ele alınan veriler kaynak koddan çok daha faydalı olacaktır.

Sorum şu; Kaynak kodun çalındığı ve rakip bir firmanın yoğun olarak kullandığı bilinen herhangi bir örnek var mı?

Bazı oyun motorları biliyorum (doğru hatırlamıyorsam deprem 1 ve yarı ömür 2) kaynak kodu çalındı, ancak gerçekten işlerinin zarar gördüğünü göremiyorum.

(Biliyorum, bu soru stackexchange'teki diğer forumlar için daha uygun olabilir)

Kaspersky'nin bu yılın başındaki sızıntısı buna iyi bir örnek. Okuduğunuz kimseye bağlı olarak, sızan sürüm eski veya bir ya da iki gün olmuş olabilir ve fail, rakiplere satmaya çalışmış olabilir. Satılıp satılmadığına bakılmaksızın, torrent yoluyla nihayetinde ifşa edilmesi açıkça oldukça kötü şeylerdir ve (?) Ciddi bir finansal etkiye sahip olabilir.

2004'te piyasaya sürülmeden hemen önce sızdırılmış olan Half Life 2 idi. Burada olanlara ilişkin çok iyi bir hesap var: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- yarılanma ömrü-2-makale

Ayrıca, x ürününün değerli kaynak kodunu çalmaktan korkan birinin çok abartıldığını düşünüyorum. Birisi kaynak koduna sahip olmasa bile, otomatik olarak hırsızın bu kodu kullanma şansına neden olur.

Evet, yazılmış bir yazılım ürününde bir değer vardır, ancak bu uygulamayı geliştiren kişilerin başında çok daha büyük bir değer vardır. Bu, bir geliştiricinin (veya bir geliştirici ekibinin) mevcut bir geliştirme projesinden ayrıldığı ve yerine yeni geliştiriciler (veya danışmanlar veya insanların projenin hangi bölümünü geçirdiğini) değiştirdiği zaman görülebilir. Kullanılmakta olan teknolojiyi ve ürünün geliştirildiği mimariyi hızlandırmak için zaman harcayarak çok çaba harcarlar. Birden fazla vaka gördüm, yeni bir gruptan yeni bir tasarım getirerek bir uygulamayı sıfırdan tamamen yeniden yazarken, mevcut koda girmeye çalışmaktan ve gerçekten ne yaptığını anlamaya çalışmaktan çok daha hızlı ve daha pürüzsüzdü. .

Sadece zenginleştirilmiş uranyum çalmak (neyse ki) size nükleer bir waepon geliştirmek için ihtiyacınız olan her şeyi vermez. Kaynak kodla o kadar da farklı değil.

Bu yüzden, çalınan kaynak kodunun, başka birinin yaptığı işe dayanarak yeni bir uygulama geliştirmek için kullanıldığı pek fazla referans olmadığını düşünüyorum. Yapılan, ürünlerin fikirlerini çalmak ve daha sonra uygulama sürecine başlamaktır. Bu yüzden, duyusal kısım fikirleri koruyor - bu fikirleri takip eden ürünü değil. Ürün çok kolay bir şekilde kopyalanabilir.

İşte şahsen bildiğim birkaç örnek ...

AT & T, gelişmiş yacc ayrıştırıcı jeneratör ve Lex Unix bir parçası olarak, kelime analizörü üreteci. Sadece bir Unix kaynak lisansı almış olsaydınız, kaynağın kopyalarını almanız gerekiyordu ... ama birileri 1980'lerde burada anonim kalacak olan bir kişinin masasından bir kopyasını çıkardı. ben ve isminin acımasızca dolaşılmasını isteyeceğinden emin değilim.) Kaynak etrafta dolaşmaya başladı, insanlar onları IBM bilgisayarına yadda yadda'ya taşıdı. 1986 yıllarında Austin’deki bir kıyafetten "şık programlar için kaynak kodunu" satan bir disketten kopyalar aldım.

1990'larda, Microsoft'un tam bir kurumsal politika olduğundan emin olmasam da, bunun için bir üne sahipti. Stac davasına ek olarak, Tangurena, daha önce Apple'ın QuickTime'ı Windows'a yerleştirmek üzere Apple'a yaptığı bir danışmanlık şirketi, Microsoft'un Windows için Video'yu hızlandırmak için Intel ve Microsoft için bir projede bulunan özel QuickTime kaynaklarının bir kısmını yeniden kullandı . Apple, Windows için Video'ya karşı bir stop-up davası almak için yara aldı. Yabancılar için Intel ve / veya Microsoft'tan birinin bu hırsızlığı bilip bilmediği kesinlikle belli değil.

ABD şirketleri ile bu gerçekten çok fazla olmuyor - riskler çok yüksek. Mesela ben şu an iptal edilen veritabanı satıcısı Informix'te Oracle ile bir benchmark savaşındayken bir müteahhitdim ve Informix kazanmaya devam etti. Oracle, Informix'in çekirdek veritabanı mühendislerinden birini kiraladı ve ilk gününü, Informix kaynaklarıyla dolu bir sabit diskle, açık kollarla karşılayacaklarını düşünerek işe başladı. Onu, polis karakoluna kadar eşlik edecek bir güvenlik ekibiyle karşıladılar. Ayrıca, incelenmemiş sabit diski gelip almak için Informix güvenliğini de aradılar.

Kaynak kodun çalındığı ve rakip bir firmanın yoğun olarak kullandığı bilinen herhangi bir örnek var mı?

Hemen akla gelen bir Microsoft, DoubleSpace için Stac Electronics kodunu çalmaktır . Mahkemede sona erdi ve Microsoft'un en ucuz çözümü Stac'ı satın almaktı (başlangıçta bunu istediklerini iddia ettiler, bu yüzden kaynağa erişim sağladılar, ancak kopyalanan kodu Drivespace olarak dağıtmayı seçtiler ve sonra Stac ile alay ettiler. "bu konuda ne yapacaksın?").

Bunun büyük ölçüde belirli kod tabanına bağlı olduğunu düşünüyorum. Küçük bir azınlık mülkiyete ait kaynak kodunun çalmaya değer olmasına rağmen şaşırırdım.

Çoğu durumda kaynak kodu bir sorumluluktur - değil - bazı iş adamları düşünmek ister - bir varlıktır. Varlık çalışan yürütülebilir ve gelecekteki iş gereksinimleri boyunca nasıl uyarlanacağını ve geliştirileceğini bilen kişilerdir.

Kaynak kodunu çalma riskinin yüksek olması ve doğrudan tedarik maliyetinin yanı sıra, kendi geliştiricilerinizin de bunu anlaması gerekir. Hangisi - özellikle orijinal geliştiriciler yardım etmek için buralarda değillerse - önemsiz olmayan bir kod temeli için çok büyük bir taahhüttür. Peter Seibel ( Çalışmadaki Pratik Ortak Lisp ve Kodlayıcıların Şöhreti) bir zamanın, orijinal geliştirme çabası ile aynı büyüklükte olduğunu söyledi.

Yine de istisnalar var, örneğin eğer kod taban ...

• ... çok değerli, kolayca tanımlanabilen, ayrık parçalar içerir (örneğin, bilinen meslektaşlara göre oldukça üstün özelliklere sahip özel bir algoritma)
• ... güvenlikle ilgili bazı ürünler gibi 'belirsizlikten' önemli bir değer alıyor
• ... kendi içinde çok küçüktür, gömülü yazılımda yaygın olarak bulunan katı doğruluk gereksinimleri vardır (yani, değer kapsamlı bir şekilde test edilmekte, gözden geçirilmekte ve hatta resmi kanıtlara tabi tutulmaktadır).
• ... ihmal / sözleşmenin ihlali / etik olmayan iş uygulamaları / yetersizlik vb.

Goldman Sachs'ın yüksek frekanslı ticaret kaynak kodunun eski bir çalışan tarafından çalınmasıyla ilgili meşhur bir durum: http://www.bloomberg.com/apps/news?pid=newsarchive&sid=axYw_ykTBokE

Bu etki alanında, işlem algoritmaları içerdiğinden kaynak kodu değerlidir.

Bu tür bir şey, gömülü firmanın GOLD olduğu ve yıllarca kaynak veya nesne kodunun çalındığı durumlar olan ürün geliştiricileri için bir miktar ilgi çekmektedir. Ara sıra yazılanları daha fazla mühendislik dergisinde bulabilirsiniz.

Evet, birkaç örnek var, ancak hiçbiri özel kodla bilmiyorum. Şirketlerin açık kaynak kodunu kendi başlarına kullandıkları gibi kullandıkları örnekleri için http://gpl-violations.org/ adresine bakın . Bu durumlarda, kaynak kodunu almak, açık kaynak olması nedeniyle bir sorun değildi.

Her şey, uygulamanın ne tür olduğuna ve uygulamanın davranışının ne kadar kolay olduğuna bağlıdır. Microsoft’un Google’ın arama motoru için kaynak kodunu bulmaktan mutluluk duyacağından eminim. Öyle yaparlarsa onlara ağır kayıplar getirirler.

Bununla birlikte, deneyimli bir geliştirici, web veya masaüstü uygulamalarının% 99'unun davranışını kaynak kodu olmadan da kopyalayabilir.

Önemli olan, bir şirketin, başka hiç kimsenin yapamadığı veya bir işletim sisteminin yapamadığı bir motora (yani bir fizik motoru, arama motoru) yoğun bir şekilde iş yaptığı yer.

Bu, çoğu zaman, gerçekten önemli olmadığını söyledi.

İki örnek düşünebilirim:

• Tengen, NES kopya koruma çipinin kodunu yasa dışı olarak aldı. Daha sonra bu kodu, lisanssız NES kartuşları (Tetris dahil) yapmak için kullandılar. Kodu nasıl aldılar? Sosyal mühendislik ile ABD Telif Hakkı Bürosu'ndan çıkardı. Başka bir deyişle, yanlış bir şekilde Nintendo tarafından dava edildiğini ve savunmasını hazırlamak için kaynak koduna ihtiyaç duyduklarını iddia etmişlerdir. İşe yaradı.
• Bkz. ARJ - PK-ZIP.

Genel olarak, kod çalmak bir işmişsiniz gibi bir işe yaramaz ve birisinin kodunu izinsiz kullandığınızda bulursunuz, yaşayan günışığını sizden dava edebilirler.

Kodunuzun çalınması ile ilgili gerçekten gördüğüm tek sorun, A) İnternette insanlar değil, şirketler için değil, ücretsiz olarak kullanılması ve değiştirilmesi ve B) kaynak kodunuzu daha sonra temiz bir şekilde kullanmanız için yeterince ileri gitmeleriydi. oda tersine mühendislik.

http://en.wikipedia.org/wiki/Clean_room_design

Ancak, lisanslama koşullarınız adil olduğu sürece, uygulanabilir olduğunu görmüyorum, bu onların kendi adına büyük bir çaba olacaktır.