Kaynak kod çalındı ​​rakip firma tarafından saldırıya uğradı


23

Çalıştığım bazı şirketlerde yöneticiler güvenlik danışmanlarına çok para harcadılar. Öncelikle korktukları için rakip bir şirket tarafından çalınan kaynak kodunu alacağız. Bununla birlikte, bir programcı olarak, rakip şirketin gerçek kaynak kodunu yararlı bulacağı konusunda endişeliyim. Ne de olsa, sadece uygulamamıza erişebilmek yeterlidir ve bu yasaları çiğnemeksizin yapılabilir. Bana göre, iş adamları tarafından ele alınan veriler kaynak koddan çok daha faydalı olacaktır.

Sorum şu; Kaynak kodun çalındığı ve rakip bir firmanın yoğun olarak kullandığı bilinen herhangi bir örnek var mı?

Bazı oyun motorları biliyorum (doğru hatırlamıyorsam deprem 1 ve yarı ömür 2) kaynak kodu çalındı, ancak gerçekten işlerinin zarar gördüğünü göremiyorum.

(Biliyorum, bu soru stackexchange'teki diğer forumlar için daha uygun olabilir)


6
Eğer bir güvenlik ürünü çalınırsa bir kaynak kodu çalınırsa, bu hackerların zayıflıklarını daha kolay analiz etmelerini ve güvenlik ürünlerini kullanarak müşterilere saldırmak için kullanmalarını sağlayabilir. Aynısı tersine mühendislik yoluyla da yapılabilir, ancak sadece kaynak kodunu gözden geçirmek yerine, bunu yapmak çok zaman alır.

@ Viktor, bunu BT Güvenliğine taşımayı düşünün .
AviD

48
Meslektaşlarımız arasında şakalaşırdık, kodumuzu çalan ve çalışmasını sağlayabilecek herkesin bunu hakettiği!
Benjol

1
Bazı uygulamaların kaynak kod sızıntılarından diğerlerinden daha çok kaybedecekleri vardır. Örneğin: eğer XRumer'in kaynak kodu sızdırılmışsa, her forum yazılım paketinin ertesi gün ona bağışıklık kazanacağına bahse girebilirsiniz. Bu, bir sonraki sürümü piyasaya sürene kadar bakım gelirine zarar verebilir.
user16764

1
@IAbstract - Apple, ilk (ilk olmasa da) bilgisayar farelerinden birine sahip olan Xerox Park'ın pencereli bir GUI'sine sahip oldu ... (< cultofmac.com/… >). Xerox bu fikri nereden buldu?
Martin S. Stoller

Yanıtlar:


18

Kaspersky'nin bu yılın başındaki sızıntısı buna iyi bir örnek. Okuduğunuz kimseye bağlı olarak, sızan sürüm eski veya bir ya da iki gün olmuş olabilir ve fail, rakiplere satmaya çalışmış olabilir. Satılıp satılmadığına bakılmaksızın, torrent yoluyla nihayetinde ifşa edilmesi açıkça oldukça kötü şeylerdir ve (?) Ciddi bir finansal etkiye sahip olabilir.

2004'te piyasaya sürülmeden hemen önce sızdırılmış olan Half Life 2 idi. Burada olanlara ilişkin çok iyi bir hesap var: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- yarılanma ömrü-2-makale


2
HL2 hakkında büyüleyici makale. +1
jnevelson

16

Ayrıca, x ürününün değerli kaynak kodunu çalmaktan korkan birinin çok abartıldığını düşünüyorum. Birisi kaynak koduna sahip olmasa bile, otomatik olarak hırsızın bu kodu kullanma şansına neden olur.

Evet, yazılmış bir yazılım ürününde bir değer vardır, ancak bu uygulamayı geliştiren kişilerin başında çok daha büyük bir değer vardır. Bu, bir geliştiricinin (veya bir geliştirici ekibinin) mevcut bir geliştirme projesinden ayrıldığı ve yerine yeni geliştiriciler (veya danışmanlar veya insanların projenin hangi bölümünü geçirdiğini) değiştirdiği zaman görülebilir. Kullanılmakta olan teknolojiyi ve ürünün geliştirildiği mimariyi hızlandırmak için zaman harcayarak çok çaba harcarlar. Birden fazla vaka gördüm, yeni bir gruptan yeni bir tasarım getirerek bir uygulamayı sıfırdan tamamen yeniden yazarken, mevcut koda girmeye çalışmaktan ve gerçekten ne yaptığını anlamaya çalışmaktan çok daha hızlı ve daha pürüzsüzdü. .

Sadece zenginleştirilmiş uranyum çalmak (neyse ki) size nükleer bir waepon geliştirmek için ihtiyacınız olan her şeyi vermez. Kaynak kodla o kadar da farklı değil.

Bu yüzden, çalınan kaynak kodunun, başka birinin yaptığı işe dayanarak yeni bir uygulama geliştirmek için kullanıldığı pek fazla referans olmadığını düşünüyorum. Yapılan, ürünlerin fikirlerini çalmak ve daha sonra uygulama sürecine başlamaktır. Bu yüzden, duyusal kısım fikirleri koruyor - bu fikirleri takip eden ürünü değil. Ürün çok kolay bir şekilde kopyalanabilir.


4
Silah dereceli U-235, oldukça mütevazı kaynaklar ve mühendislik yeteneği verilen bir nükleer cihaz yaratacak kadar büyük. Silah sınıfı plütonyum daha iyi bir benzetme yapar. Sizi temin ederim, eğer kaynak koduna tam erişim her şey olsaydı, U3D yazılımıyla daha az sorun yaşayabilirim.
David Thornley

9

İşte şahsen bildiğim birkaç örnek ...

AT & T, gelişmiş yacc ayrıştırıcı jeneratör ve Lex Unix bir parçası olarak, kelime analizörü üreteci. Sadece bir Unix kaynak lisansı almış olsaydınız, kaynağın kopyalarını almanız gerekiyordu ... ama birileri 1980'lerde burada anonim kalacak olan bir kişinin masasından bir kopyasını çıkardı. ben ve isminin acımasızca dolaşılmasını isteyeceğinden emin değilim.) Kaynak etrafta dolaşmaya başladı, insanlar onları IBM bilgisayarına yadda yadda'ya taşıdı. 1986 yıllarında Austin’deki bir kıyafetten "şık programlar için kaynak kodunu" satan bir disketten kopyalar aldım.

1990'larda, Microsoft'un tam bir kurumsal politika olduğundan emin olmasam da, bunun için bir üne sahipti. Stac davasına ek olarak, Tangurena, daha önce Apple'ın QuickTime'ı Windows'a yerleştirmek üzere Apple'a yaptığı bir danışmanlık şirketi, Microsoft'un Windows için Video'yu hızlandırmak için Intel ve Microsoft için bir projede bulunan özel QuickTime kaynaklarının bir kısmını yeniden kullandı . Apple, Windows için Video'ya karşı bir stop-up davası almak için yara aldı. Yabancılar için Intel ve / veya Microsoft'tan birinin bu hırsızlığı bilip bilmediği kesinlikle belli değil.

ABD şirketleri ile bu gerçekten çok fazla olmuyor - riskler çok yüksek. Mesela ben şu an iptal edilen veritabanı satıcısı Informix'te Oracle ile bir benchmark savaşındayken bir müteahhitdim ve Informix kazanmaya devam etti. Oracle, Informix'in çekirdek veritabanı mühendislerinden birini kiraladı ve ilk gününü, Informix kaynaklarıyla dolu bir sabit diskle, açık kollarla karşılayacaklarını düşünerek işe başladı. Onu, polis karakoluna kadar eşlik edecek bir güvenlik ekibiyle karşıladılar. Ayrıca, incelenmemiş sabit diski gelip almak için Informix güvenliğini de aradılar.


8

Kaynak kodun çalındığı ve rakip bir firmanın yoğun olarak kullandığı bilinen herhangi bir örnek var mı?

Hemen akla gelen bir Microsoft, DoubleSpace için Stac Electronics kodunu çalmaktır . Mahkemede sona erdi ve Microsoft'un en ucuz çözümü Stac'ı satın almaktı (başlangıçta bunu istediklerini iddia ettiler, bu yüzden kaynağa erişim sağladılar, ancak kopyalanan kodu Drivespace olarak dağıtmayı seçtiler ve sonra Stac ile alay ettiler. "bu konuda ne yapacaksın?").


ve ayrıca Microsoft, birlikte çalıştıklarında i4i'nin xml arama / özel alan konseptini çalıyor.
gbjbaanb

Bir şirketin ip çalmaya çalışıp çalışmadığını ana sorun önceki teknolojideki bileşendir. Orijinalinden belirgin bir şekilde farklı olmadığı sürece patent başvurusu yapamaz
GrumpyMonkey

6

Bunun büyük ölçüde belirli kod tabanına bağlı olduğunu düşünüyorum. Küçük bir azınlık mülkiyete ait kaynak kodunun çalmaya değer olmasına rağmen şaşırırdım.

Çoğu durumda kaynak kodu bir sorumluluktur - değil - bazı iş adamları düşünmek ister - bir varlıktır. Varlık çalışan yürütülebilir ve gelecekteki iş gereksinimleri boyunca nasıl uyarlanacağını ve geliştirileceğini bilen kişilerdir.

Kaynak kodunu çalma riskinin yüksek olması ve doğrudan tedarik maliyetinin yanı sıra, kendi geliştiricilerinizin de bunu anlaması gerekir. Hangisi - özellikle orijinal geliştiriciler yardım etmek için buralarda değillerse - önemsiz olmayan bir kod temeli için çok büyük bir taahhüttür. Peter Seibel ( Çalışmadaki Pratik Ortak Lisp ve Kodlayıcıların Şöhreti) bir zamanın, orijinal geliştirme çabası ile aynı büyüklükte olduğunu söyledi.

Yine de istisnalar var, örneğin eğer kod taban ...

  • ... çok değerli, kolayca tanımlanabilen, ayrık parçalar içerir (örneğin, bilinen meslektaşlara göre oldukça üstün özelliklere sahip özel bir algoritma)
  • ... güvenlikle ilgili bazı ürünler gibi 'belirsizlikten' önemli bir değer alıyor
  • ... kendi içinde çok küçüktür, gömülü yazılımda yaygın olarak bulunan katı doğruluk gereksinimleri vardır (yani, değer kapsamlı bir şekilde test edilmekte, gözden geçirilmekte ve hatta resmi kanıtlara tabi tutulmaktadır).
  • ... ihmal / sözleşmenin ihlali / etik olmayan iş uygulamaları / yetersizlik vb.


2

Bu tür bir şey, gömülü firmanın GOLD olduğu ve yıllarca kaynak veya nesne kodunun çalındığı durumlar olan ürün geliştiricileri için bir miktar ilgi çekmektedir. Ara sıra yazılanları daha fazla mühendislik dergisinde bulabilirsiniz.


Elbette yerleşik yazılımın gömülmesi, insanların Nintendo'nun sistemlerini 1980'lerden geri çevirmeye çalışmalarını asla durdurmaz. Birçok insanın bunu yapabildiğine inanıyorum. İPhone'da çalışan ve 20 yıllık oyunlar oynamanıza izin veren emülatörlerimiz var.
Ramhound

1
Bir oyun için bir emülatör, çok daha yaygın ürünlerden bazılarını çalıştıran ürün yazılımını çalmakla aynı şey değildir - örneğin, neden yalnızca başkalarını çalabiliyorsanız, neden bir çamaşır makinesi kontrolörü için ürün yazılımı geliştirmesi için birisini ödeyesiniz? Çok fazla dolar gibi görünmeyebilir ve çok iyi bir örnek değil. Mikrodenetleyicilerin bellenim okumasını alabileceği başka örnekler de var (örneğin epoksi aşındırarak ve kalıbı inceleyerek), çünkü içerikler tüm bunları yapmakta zorlanıyor.
hızla_ben

1

Evet, birkaç örnek var, ancak hiçbiri özel kodla bilmiyorum. Şirketlerin açık kaynak kodunu kendi başlarına kullandıkları gibi kullandıkları örnekleri için http://gpl-violations.org/ adresine bakın . Bu durumlarda, kaynak kodunu almak, açık kaynak olması nedeniyle bir sorun değildi.


Özel kodlu hiçbir örnek olmadığı doğru değildir. Diğer cevaplara bakınız.
Bob Murphy,

@Bob Murphy: Benim hatam. Cevabıma "bildiğim hiçbiri" eklendi.
Martin Vilcans

<chuckle> Bana her zaman olur.
Bob Murphy,

1

Her şey, uygulamanın ne tür olduğuna ve uygulamanın davranışının ne kadar kolay olduğuna bağlıdır. Microsoft’un Google’ın arama motoru için kaynak kodunu bulmaktan mutluluk duyacağından eminim. Öyle yaparlarsa onlara ağır kayıplar getirirler.

Bununla birlikte, deneyimli bir geliştirici, web veya masaüstü uygulamalarının% 99'unun davranışını kaynak kodu olmadan da kopyalayabilir.

Önemli olan, bir şirketin, başka hiç kimsenin yapamadığı veya bir işletim sisteminin yapamadığı bir motora (yani bir fizik motoru, arama motoru) yoğun bir şekilde iş yaptığı yer.

Bu, çoğu zaman, gerçekten önemli olmadığını söyledi.


1

İki örnek düşünebilirim:

  • Tengen, NES kopya koruma çipinin kodunu yasa dışı olarak aldı. Daha sonra bu kodu, lisanssız NES kartuşları (Tetris dahil) yapmak için kullandılar. Kodu nasıl aldılar? Sosyal mühendislik ile ABD Telif Hakkı Bürosu'ndan çıkardı. Başka bir deyişle, yanlış bir şekilde Nintendo tarafından dava edildiğini ve savunmasını hazırlamak için kaynak koduna ihtiyaç duyduklarını iddia etmişlerdir. İşe yaradı.
  • Bkz. ARJ - PK-ZIP.

1

Genel olarak, kod çalmak bir işmişsiniz gibi bir işe yaramaz ve birisinin kodunu izinsiz kullandığınızda bulursunuz, yaşayan günışığını sizden dava edebilirler.

Kodunuzun çalınması ile ilgili gerçekten gördüğüm tek sorun, A) İnternette insanlar değil, şirketler için değil, ücretsiz olarak kullanılması ve değiştirilmesi ve B) kaynak kodunuzu daha sonra temiz bir şekilde kullanmanız için yeterince ileri gitmeleriydi. oda tersine mühendislik.

http://en.wikipedia.org/wiki/Clean_room_design

Ancak, lisanslama koşullarınız adil olduğu sürece, uygulanabilir olduğunu görmüyorum, bu onların kendi adına büyük bir çaba olacaktır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.