对于很多人来说,很恼火的是自己辛辛苦苦写的代码被别人用来商业用途,卖钱。 近日,业内资深网络安全专家Patrick Wardle在Black Hat分享称,他的开源代码在不知情的情况下被至少3家独立公司使用。
代码被至少三个不同的公司“窃取”
Patrick Wardle 是一位出色的 macOS 安全研究员和 Apple 重点 OBTS 安全会议的组织者。 他还是 Objective-See 基金会的创始人,这是一个为 macOS 创建开源安全工具的非营利组织,这意味着 Wardle 的大部分软件代码现在可以免费下载和修改,但这也允许使用他自己的代码未经许可的一些人。 科技公司拿走了,他也是多年后才发现的。
Wardle 被称为 Mac 恶意软件专家,曾担任国家安全局的恶意软件分析师。 在此期间公司 源码,他分析了攻击国防部计算机系统的代码,并创建了 OverSight,这是一款 macOS 工具,可以查看摄像头和麦克风是否被恶意软件操纵,并通过 Objective-See 免费分发该工具。
那是 2016 年,媒体披露网络犯罪分子正在使用恶意软件通过用户的 macOS 网络摄像头和麦克风秘密监视人们。 其中,一名黑客使用一种名为“Fruitfly”的恶意软件劫持了笔记本电脑的网络摄像头,目的是监视儿童。 经过几个月对新病毒的分析,帕特里克·沃德尔解密了部分代码,并设置了一个服务器来拦截来自受感染计算机的流量。
然而多年后,在为客户分析可疑代码时,沃德尔发现客户自己设备上的工具存在问题。 该工具由一家大型科技公司开发,提供与 OverSight 类似的功能,包括监控 macOS 网络摄像头和麦克风。
通过筛选程序,沃德尔发现了他非常熟悉的代码,以至于他的整个“监督”算法,包括他没有删除的错误公司 源码,都包含在这个程序中。 他最终意识到,一名开发人员对他的工具进行了逆向工程,窃取了他的成果,并将其重新用于名称不同但功能几乎相同的产品中。
“这就像有人抄袭了你写的东西,抄袭了你的拼写和语法错误,”沃德尔说。 随后,Wardle 的客户立即联系该公司,提醒其开发人员 Wardle 的代码被盗。
这并不是沃德尔最后一次找到使用他的代码的公司。 后来,沃德尔发现另外两家大公司也在自己的产品中使用了他的算法。 沃德尔没有透露这些公司的名称。
“你联系这些公司并说,‘嘿,你们这些家伙,你们偷了我的大部分东西。你们对我的工具进行了逆向工程并重新实现了算法——这在法律上是非常......呃,它是灰色的。但是在欧盟,有一条规则规定你这样做是非法的。我有一个非营利组织,你实际上从非营利组织窃取信息并将其放入你自己的商业代码中,然后从中获利。这非常好沃德尔说,“这是不恰当的,但这些公司的反应不同。”
“有些回复很友好,我收到了一位首席执行官的电子邮件,他承认了这一点,并询问如何解决它。但有人首先回复说需要三周时间进行内部调查,然后说他们没有看到任何情况同样的代码,操我,”沃德尔说。 当面对后者时,沃德尔不得不要求提供更多证据。
证明代码被盗很难
但事实上,要证明对方的代码被盗是非常困难的。 沃德尔表示,他必须使用自己的闭源软件并采用逆向工程来了解这些公司的代码是如何工作的,并证明它与他自己的代码相似。 此外,Wardle 还与非营利性电子前沿基金会 (EFF) 合作,该基金会为独立安全研究人员提供无偿法律服务。
沃德尔之所以能够确定代码是否被盗,是因为他自己编写了工具和逆向工程软件,并且拥有这两种专业知识使他更容易找到证据。 但像Wardle这样拥有技术背景、在社区有一定影响力的开发者并不多,在维护权益方面往往处于不利地位。
去年,一位名叫 Brendan Gregg 的开发人员透露,他编写的 DTrace 项目相关的开源代码被 Sun“窃取”。 那是在2005年早些时候,当Gregg忙于编写和发布DTrace相关的高级性能工具时,他发现Sun发布的相关工具比他自己发布的要少。
Gregg不是Sun员工,对公司内部运作一无所知,但他还负责为Sun提供培训和咨询支持。 有一次,Sun展示了一款基于DTrace的新产品。 在这个过程中,Gregg发现有些工具是自己写的脚本,而且这些工具非常不成熟。 ,里面有很多奇怪的组合,带有很强的个人风格。 格雷格还发现孙也删除了他作为作者的名字。 但格雷格最终没有得到任何补偿。
与Sun的举动相比,苹果和甲骨文的举动让格雷格舒服多了。 Gregg表示,几年后,苹果在OS X系统中添加了他的数十种工具,并完全保留了作者的姓名、版权和CDDL开源许可证,甚至改进和增强了功能。 多年后,Oracle 采用了同样的方法,在 Oracle Solaris 11 上吸收开源成果,在 FereBSD 上吸收 BSD 社区的成果。
事实上,盗用他人开源代码谋取自身利益的案例还有很多。 去年,特朗普支持的社交媒体平台Truth被Mastodon创始人起诉。 Mastodon 的创始人 Eugen Rochko 表示,该应用程序声称从自己的开源项目中提取了大量代码。 当时,网友们发现Truth测试版的界面与Mastodon基本相同,网站的一些代码与其他社交网络的代码没有什么不同。
特朗普媒体与科技集团(TMTG)此前也称Truth为“专有软件”,并试图掩盖Truth基于Mastodon的事实。 事件曝光后,其相关股价暴跌。
结论
事实上,开源软件本身允许其他平台使用自己的代码,但开源软件的许可证要求用户将其源代码以及他们所做的任何修改向公众公开。 但很多公司使用代码后并没有任何说明。
Wardle认为,这种现象的本质是,开发者的任务是找到某种解决方案,比如监控麦克风和摄像头,然后找到相应的工具来进行逆向工程和窃取算法,而公司的目的就是要解决,它不会询问代码来自哪里。
“我认为这是一个系统性问题,因为当我开始寻找时,我发现不仅仅是一家公司,而是几家公司,所有这些公司都完全无关。” 沃德尔表示,代码盗窃现象十分普遍。
对此,沃德尔建议,对于软件开发人员来说,任何编写代码(无论是开源还是闭源)的人都应该假设代码会被盗,并学习有助于他们发现这一点的技术。 对于公司来说,管理者应该教育员工或开发人员不要偷窃,并让他们认真研究有关对产品进行逆向工程以获取商业利益的法律规范,否则将整个组织置于法律风险之中。
此类事件的发生也在不断提醒人们,开源软件代码的使用必须受到规范,否则对公司的声誉和实际利益都没有任何好处。
参考链接:
