Mã nguồn bị đánh cắp \ bị tấn công bởi công ty đối thủ

23

Trên một số công ty tôi từng làm việc, các nhà quản lý đã chi khá nhiều tiền cho nó - các chuyên gia tư vấn bảo mật. Chủ yếu là vì họ sợ chúng tôi sẽ bị đánh cắp mã nguồn bởi một công ty đối thủ. Tuy nhiên, là một lập trình viên, tôi thấy nó là một mối quan tâm nhỏ rằng một công ty đối thủ sẽ tìm thấy mã nguồn thực sự hữu ích. Rốt cuộc, chỉ cần có quyền truy cập vào ứng dụng của chúng tôi là đủ, và điều đó có thể được thực hiện mà không vi phạm pháp luật. Theo tôi, dữ liệu được xử lý bởi những người kinh doanh sẽ hữu ích hơn nhiều so với mã nguồn.

Câu hỏi của tôi là; Có bất kỳ ví dụ đã biết nào mà mã nguồn đã bị đánh cắp VÀ một công ty đối thủ đã sử dụng nó một cách rộng rãi?

Tôi biết một số công cụ trò chơi (trận động đất 1 và nửa đời 2 nếu tôi nhớ chính xác) mã nguồn đã bị đánh cắp, nhưng tôi thực sự không thể thấy điều đó thực sự làm tổn thương doanh nghiệp của họ.

(Tôi biết, câu hỏi này có thể phù hợp hơn cho các diễn đàn khác tại stackexchange)

security 
Viktor Sehr
nguồn
6
Nếu mã nguồn nếu một số sản phẩm bảo mật bị đánh cắp, điều này có thể cho phép tin tặc dễ dàng phân tích nó hơn cho các điểm yếu và sử dụng chúng để tấn công khách hàng sử dụng sản phẩm bảo mật. Mặc dù điều tương tự có thể được thực hiện thông qua các phương tiện kỹ thuật đảo ngược, nhưng phải mất nhiều thời gian hơn để làm điều đó thay vì chỉ xem xét mã nguồn.
@Viktor, hãy xem xét chuyển cái này sang IT Security .
AviD
48
Chúng tôi thường nói đùa với các đồng nghiệp rằng bất kỳ ai lấy trộm mã của chúng tôi và có thể khiến nó hoạt động đều xứng đáng!
Stewol
1
Một số ứng dụng mất nhiều hơn từ rò rỉ mã nguồn so với các ứng dụng khác. Ví dụ: bạn có thể đặt cược rằng nếu mã nguồn cho XRumer bị rò rỉ, thì mọi gói phần mềm diễn đàn sẽ miễn nhiễm với nó vào ngày hôm sau. Điều đó sẽ đặt vào doanh thu của người bảo trì cho đến khi họ phát hành phiên bản tiếp theo.
dùng16764
1
@IAbauge - Apple đã có ý tưởng về GUI có cửa sổ từ Xerox Park, người cũng có một trong những con chuột máy tính đầu tiên (nếu không phải là đầu tiên) ... (< Cultofmac.com/ Lỗi >). Bây giờ Xerox lấy ý tưởng từ đâu?
Martin S. Stoller

Câu trả lời:

18

Vụ rò rỉ Kaspersky vào đầu năm nay là một ví dụ điển hình. Tùy thuộc vào người bạn đọc, phiên bản bị rò rỉ có thể là một hoặc hai ngày lỗi thời và thủ phạm có thể đã cố gắng bán nó cho các đối thủ cạnh tranh. Bất kể nó có được bán hay không, việc tiết lộ cuối cùng thông qua torrent rõ ràng là một thứ khá khó chịu và có thể (đã làm?) Có ảnh hưởng tài chính nghiêm trọng.

Đó là Half Life 2 đã bị rò rỉ ngay trước khi phát hành năm 2004. Có một tài khoản rất hay về những gì đã xảy ra ở đây: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- nửa đời 2 bài viết

Cuộc săn lùng thành Troia
nguồn
2
Bài viết hấp dẫn về HL2. +1
jnevelson
16

Tôi cũng nghĩ rằng nỗi sợ ai đó đánh cắp mã nguồn quý giá của sản phẩm x được đánh giá rất cao. Ngay cả khi ai đó có mã nguồn không tự động dẫn đến cơ hội cho kẻ trộm sử dụng mã đó.

Vâng, có một giá trị trong một sản phẩm phần mềm đã được viết nhưng giá trị lớn hơn nhiều nằm trong đầu của những người đã phát triển ứng dụng đó. Điều này có thể được nhìn thấy khi một nhà phát triển (hoặc một nhóm các nhà phát triển) rời khỏi một dự án phát triển hiện có và được thay thế bởi các nhà phát triển mới (hoặc các chuyên gia tư vấn, hoặc bất kỳ phần nào mà mọi người đang có trong dự án). Nó thường mất rất nhiều thời gian và công sức để đưa chúng lên tốc độ trên công nghệ hiện đang sử dụng và kiến ​​trúc mà sản phẩm đã được phát triển. Tôi đã thấy nhiều hơn một trường hợp, trong đó việc viết lại một ứng dụng hoàn toàn từ đầu bằng cách đưa vào một thiết kế mới từ một nhóm người mới nhanh hơn và trơn tru hơn nhiều so với cố gắng đào sâu vào mã hiện có và cố gắng hiểu những gì nó thực sự làm .

Chỉ cần ăn cắp uranium làm giàu sẽ không (may mắn) cung cấp cho bạn mọi thứ bạn cần để phát triển một waepon hạt nhân. Nó không khác mấy với mã nguồn.

Vì vậy, tôi nghĩ rằng không có nhiều tài liệu tham khảo nơi mã nguồn bị đánh cắp đã được sử dụng để phát triển một ứng dụng mới dựa trên công việc mà người khác đã làm. Những gì đã được thực hiện là đánh cắp ý tưởng của sản phẩm và sau đó bắt đầu quá trình thực hiện. Vì vậy, phần nhạy cảm là bảo vệ các ý tưởng - không phải là sản phẩm tuân theo những ý tưởng này. Sản phẩm có thể được sao chép rất dễ dàng.

perdian
nguồn
4
U-235 cấp độ vũ khí là khá nhiều đủ để tạo ra một thiết bị hạt nhân, với tài nguyên kỹ thuật và tài năng kỹ thuật khá khiêm tốn. Plutonium cấp vũ khí sẽ làm cho một sự tương tự tốt hơn. Tôi đảm bảo với bạn rằng, nếu quyền truy cập đầy đủ vào mã nguồn là tất cả, tôi sẽ gặp ít rắc rối hơn với phần mềm U3D.
David Thornley
9

Dưới đây là một vài ví dụ mà cá nhân tôi biết về ...

AT & T đã phát triển trình tạo trình phân tích cú pháp yacc phân tích từ vựng lex , như một phần của Unix. Bạn chỉ được yêu cầu lấy bản sao của nguồn nếu bạn đã nhận được giấy phép nguồn Unix ... nhưng ai đó đã lấy một bản sao ra khỏi bàn làm việc của một người sẽ ẩn danh ở đây vào khoảng năm 1980. (Không phải vậy tôi, và tôi không chắc anh ấy muốn tên anh ấy bị bầm dập.) Nguồn bắt đầu trôi nổi, mọi người chuyển chúng sang PC của IBM, yadda yadda. Tôi đã nhận được các bản sao từ một bộ trang phục ở Austin đang bán đĩa mềm "mã nguồn cho các chương trình tiện lợi" vào khoảng năm 1986.

Trở lại khoảng năm 1990, Microsoft đã nổi tiếng về vấn đề này, mặc dù tôi không chắc đó là chính sách của công ty. Ngoài trường hợp Stac mà Tangurena đã đề cập, một công ty tư vấn trước đây đã làm việc cho Apple để chuyển tập tin sang Windows cho Windows sử dụng lại một số nguồn của tập tin độc quyền trong một dự án cho Intel và Microsoft để tăng tốc Video của MS cho Windows. Apple cố gắng nhận lệnh cấm tàu ​​đối với Video cho Windows. Người ngoài chắc chắn không rõ liệu có ai ở Intel và / hoặc Microsoft biết về hành vi trộm cắp này hay không.

Tuy nhiên, điều này thực sự không xảy ra với các công ty Mỹ - rủi ro là quá cao. Chẳng hạn, tôi là một nhà thầu tại nhà cung cấp cơ sở dữ liệu không còn tồn tại Informix khi họ đang ở giữa một trận chiến chuẩn với Oracle và Informix tiếp tục chiến thắng. Oracle đã thuê một trong những kỹ sư cơ sở dữ liệu cốt lõi của Informix và anh ta đã bắt đầu công việc ngay ngày đầu tiên với một ổ cứng chứa đầy các nguồn của Informix, nghĩ rằng họ sẽ chào đón anh ta với vòng tay rộng mở. Họ chào đón anh ta, được rồi - với một đội an ninh hộ tống anh ta đến đồn cảnh sát. Họ cũng gọi bảo mật Informix đến và lấy lại ổ cứng chưa được xử lý.

Bob Murphy
nguồn
8

Có bất kỳ ví dụ đã biết nào mà mã nguồn đã bị đánh cắp VÀ một công ty đối thủ đã sử dụng nó một cách rộng rãi?

Một điều khiến người ta chú ý ngay lập tức là Microsoft đánh cắp mã Stac Electronics cho DoubleSpace . Nó đã bị đưa ra tòa và giải pháp rẻ nhất cho Microsoft là mua Stac (ban đầu họ tuyên bố muốn làm như vậy, đó là lý do tại sao họ có quyền truy cập vào nguồn, nhưng sau đó đã chọn triển khai mã được sao chép là Drivespace và sau đó chế nhạo Stac "Bạn sẽ làm gì về nó?").

Tangurena
nguồn
và Microsoft cũng đánh cắp khái niệm trường tìm kiếm / tùy chỉnh xml của i4i's khi họ hợp tác với nhau.
gbjbaanb
Vấn đề chính tôi thấy nếu một công ty cố gắng đánh cắp ip là thành phần nghệ thuật trước đó. Nó không thể tạo ra một ứng dụng bằng sáng chế trừ khi nó khác biệt rõ rệt so với bản gốc
GrumpyMonkey
6

Tôi nghĩ rằng điều này phụ thuộc nhiều vào cơ sở mã cụ thể. Tôi sẽ ngạc nhiên mặc dù nếu hơn một thiểu số nhỏ mã nguồn độc quyền đáng bị đánh cắp.

Trong hầu hết các trường hợp, mã nguồn là một trách nhiệm pháp lý, không phải - như một số người kinh doanh muốn nghĩ - một tài sản. Tài sản đang hoạt động thực thi và những người biết cách thích nghi và phát triển nó theo yêu cầu kinh doanh trong tương lai.

Ngoài rủi ro pháp lý cao về việc đánh cắp mã nguồn và chi phí trực tiếp để mua nó, các nhà phát triển của bạn cần phải hiểu nó. Mà - đặc biệt là nếu các nhà phát triển ban đầu không có mặt để giúp đỡ - là một cam kết rất lớn cho một cơ sở mã không tầm thường. Peter Seibel (của LispCoders phổ biến thực tế tại nơi làm việc ) đã từng nói rằng lượng thời gian theo thứ tự độ lớn như nỗ lực phát triển ban đầu.

Mặc dù vẫn có ngoại lệ, ví dụ: nếu cơ sở mã ...

  • ... Chứa các phần riêng biệt, có giá trị cao, dễ nhận biết (ví dụ: thuật toán độc quyền với các đặc điểm vượt trội đáng kể so với các đối tác thường được biết đến)
  • ... Rút ra giá trị đáng kể từ 'tối nghĩa', chẳng hạn như một số sản phẩm liên quan đến bảo mật
  • ... Bản thân nó rất nhỏ, với các yêu cầu chính xác nghiêm ngặt, như thường thấy trong phần mềm nhúng (nghĩa là giá trị đang được thử nghiệm, xem xét rộng rãi và thậm chí có thể phải chịu bằng chứng chính thức)
  • ... Chứa bằng chứng bỏ bê / vi phạm hợp đồng / thực tiễn kinh doanh phi đạo đức / không đủ năng lực, v.v.
Alexander Battisti
nguồn
2

Loại điều này được một số nhà phát triển sản phẩm quan tâm, trong đó công ty nhúng là VÀNG, và đã có trường hợp trong nhiều năm mã nguồn hoặc mã đối tượng bị đánh cắp. Thỉnh thoảng bạn sẽ thấy viết nhiều hơn trên các tạp chí kỹ thuật.

quick_now
nguồn
Tất nhiên, phần mềm nhúng không bao giờ ngăn mọi người cố gắng đảo ngược các hệ thống của Nintendo từ những năm 1980. Tôi tin rằng nhiều người đã có thể làm điều đó. Chúng tôi có các trình giả lập đang chạy trên iPhone cho phép bạn chơi các trò chơi 20 năm tuổi.
Ramhound
1
Trình giả lập cho trò chơi không hoàn toàn giống với việc đánh cắp phần sụn chạy một số sản phẩm phổ biến hơn - ví dụ, tại sao phải trả tiền cho ai đó để phát triển phần sụn cho bộ điều khiển máy giặt nếu bạn chỉ có thể ăn cắp một ai đó. Nó có vẻ không nhiều bằng $, và nó không phải là một ví dụ hay. Có một số ví dụ khác mặc dù các bộ vi điều khiển có thể đọc phần sụn (ví dụ bằng cách khắc epoxy và dò chết), bởi vì nội dung rất đáng để thực hiện điều này.
quick_now
1

Vâng, có một số ví dụ, nhưng không có ví dụ nào tôi biết với mã độc quyền. Xem http://gpl-violations.org/ để biết ví dụ về nơi các công ty đã sử dụng mã nguồn mở như thể đó là của riêng họ. Trong những trường hợp này, việc lấy mã nguồn không phải là vấn đề vì nó là nguồn mở.

Martin Vilcans
nguồn
Điều đó không đúng, không có ví dụ nào có mã độc quyền. Xem các câu trả lời khác.
Bob Murphy
@Bob Murphy: Sai lầm của tôi. Đã thêm "không tôi biết" vào câu trả lời của tôi.
Martin Vilcans
<cười khúc khích> xảy ra với tôi mọi lúc
Bob Murphy
1

Tất cả phụ thuộc vào loại ứng dụng đó là gì và mức độ dễ dàng để nhân rộng ứng dụng. Tôi chắc chắn Microsoft rất thích có được mã nguồn cho công cụ tìm kiếm của Google. Họ sẽ gây ra tổn thất nặng nề cho họ nếu họ làm như vậy.

Tuy nhiên, bất kỳ nhà phát triển có kinh nghiệm nào cũng có thể sao chép hành vi chính xác của 99% ứng dụng web hoặc máy tính để bàn mà không cần mã nguồn.

Vấn đề là ở chỗ một công ty đã đưa công việc rộng rãi vào một công cụ (tức là công cụ vật lý, công cụ tìm kiếm) mà không ai khác có thể tạo ra cũng như một hệ điều hành

Điều đó nói rằng, hầu hết thời gian, nó không thực sự quan trọng.

Jonathan Henson
nguồn
1

Tôi có thể nghĩ về hai ví dụ:

  • Tengen đã lấy được mã bất hợp pháp cho chip bảo vệ bản sao NES. Sau đó, họ đã sử dụng mã đó để tạo ra các hộp mực NES không có giấy phép (bao gồm cả Tetris). Làm thế nào mà họ có được mã? Bằng kỹ thuật xã hội, nó ra khỏi Văn phòng Bản quyền Hoa Kỳ. Nói cách khác, họ tuyên bố sai rằng họ đang bị Nintendo kiện và họ cần mã nguồn để chuẩn bị phòng thủ. Nó đã làm việc.
  • Xem ARJ vs PK-ZIP.
người dùng16764
nguồn
1

Nói chung, việc đánh cắp mã không có giá trị như thể bạn là một doanh nghiệp và bạn bị phát hiện sử dụng mã của ai đó mà không được phép, họ có thể kiện bạn ra khỏi ánh sáng ban ngày.

Vấn đề duy nhất tôi thực sự thấy khi mã của bạn bị đánh cắp là A) mọi người trên internet, không phải các công ty, sử dụng nó miễn phí và sửa đổi nó, và B) nếu họ phải đi đủ xa để sử dụng mã nguồn của bạn để thực hiện sạch phòng kỹ thuật đảo ngược.

http://en.wikipedia.org/wiki/Clean_room_design

Tuy nhiên, đó sẽ là một nỗ lực to lớn, vì vậy miễn là điều khoản cấp phép của bạn công bằng thì tôi không thấy nó khả thi.

SpacePrez
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.