Von Konkurrenzunternehmen gestohlener \ gehackter Quellcode

23

Bei einigen Unternehmen, für die ich gearbeitet habe, haben Manager eine Menge Geld für IT-Sicherheitsberater ausgegeben. Hauptsächlich, weil sie Angst haben, dass wir den Quellcode von einer Konkurrenzfirma stehlen lassen. Als Programmierer sehe ich es jedoch als unbedeutend an, dass eine Konkurrenzfirma den eigentlichen Quellcode nützlich finden würde. Schließlich reicht es aus, nur auf unsere Bewerbung zuzugreifen, und das kann getan werden, ohne gegen das Gesetz zu verstoßen. Meiner Meinung nach wären die von den Geschäftsleuten verarbeiteten Daten viel nützlicher als der Quellcode.

Meine Frage ist; Gibt es bekannte Beispiele, bei denen Quellcode gestohlen wurde UND ein konkurrierendes Unternehmen ihn ausgiebig verwendet hat?

Ich kenne einige Spiele-Engines (Beben 1 und Halbwertszeit 2, wenn ich mich richtig erinnere). Der Quellcode wurde gestohlen, aber ich kann nicht wirklich sehen, dass das ihrem Geschäft wirklich schadet.

(Ich weiß, diese Frage ist möglicherweise besser für andere Foren bei stackexchange geeignet.)

security Viktor Sehr
quelle
6
Wenn ein Quellcode bei Diebstahl eines Sicherheitsprodukts gestohlen wird, können Hacker ihn möglicherweise einfacher auf Schwachstellen analysieren und sie verwenden, um Kunden anzugreifen, die das Sicherheitsprodukt verwenden. Dies kann zwar auch durch Reverse Engineering erfolgen, es dauert jedoch viel länger, als nur den Quellcode zu überprüfen.
@Viktor, ziehen Sie in Betracht, dies auf IT-Sicherheit umzustellen .
AviD
48
Wir haben unter Kollegen immer gescherzt, dass jeder, der unseren Code gestohlen und zum Laufen gebracht hat, es verdient hat!
Benjol
1
Einige Anwendungen haben durch Quellcodeverluste mehr zu verlieren als andere. Zum Beispiel: Sie können wetten, dass, wenn der Quellcode für XRumer durchgesickert wäre, jedes Forum-Softwarepaket am nächsten Tag dagegen immun wäre. Das würde die Einnahmen seiner Betreuer schmälern, bis sie die nächste Version veröffentlichen.
user16764
1
@IAbstract - Apple hatte die Idee für eine grafische Benutzeroberfläche mit Fenstern von Xerox Park, die auch eine der ersten (wenn nicht die erste) Computermäuse hatte ... (< cultofmac.com/… >). Woher kam Xerox die Idee?
Martin S. Stoller

Antworten:

18

Das Kaspersky-Leck zu Beginn dieses Jahres ist ein gutes Beispiel. Je nachdem, wen Sie gelesen haben, war die durchgesickerte Version möglicherweise ein oder zwei Mal veraltet, und der Täter hat möglicherweise versucht, sie an Konkurrenten weiterzuverkaufen. Unabhängig davon, ob es verkauft wurde oder nicht, ist die Veröffentlichung über Torrent offensichtlich ziemlich unangenehm und könnte (hat?) Ernsthafte finanzielle Auswirkungen haben.

Es war Half Life 2, das kurz vor der Veröffentlichung im Jahr 2004 durchgesickert ist. Es gibt einen sehr guten Bericht darüber, was hier passiert ist: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- Halbwertszeit-2-Artikel

Troy Hunt
quelle
2
Faszinierender Artikel über HL2. +1
jnevelson
16

Ich denke auch, dass die Angst, dass jemand den wertvollen Quellcode von Produkt x stiehlt, stark überbewertet ist. Selbst wenn jemand den Quellcode hat, der dies in keiner Weise automatisch tut, besteht für den Dieb die Möglichkeit, diesen Code zu nutzen.

Ja, es gibt einen Wert in einem Softwareprodukt, der geschrieben wurde, aber ein viel größerer Wert liegt in den Köpfen der Leute, die diese Anwendung entwickelt haben. Dies kann angezeigt werden, wenn ein Entwickler (oder ein Entwicklerteam) ein vorhandenes Entwicklungsprojekt verlässt und durch neue Entwickler (oder Berater oder einen beliebigen Teil der Mitarbeiter im Projekt) ersetzt wird. Es ist oft sehr zeit- und arbeitsaufwendig, sie mit der derzeit verwendeten Technologie und der Architektur, unter der das Produkt entwickelt wurde, auf den neuesten Stand zu bringen. Ich habe mehr als einen Fall erlebt, in dem es viel schneller und reibungsloser war, eine Anwendung komplett von Grund auf neu zu schreiben, indem ein neues Design von einer neuen Gruppe von Personen eingeführt wurde, als in vorhandenen Code zu graben und zu verstehen, was er wirklich tut .

Der bloße Diebstahl von angereichertem Uran bietet Ihnen (zum Glück) nicht alles, was Sie für die Entwicklung eines Nuklearwafers benötigen. Beim Quellcode ist das nicht anders.

Ich glaube, es gibt nicht viele Referenzen, in denen gestohlener Quellcode verwendet wurde, um eine neue Anwendung zu entwickeln, die auf der Arbeit anderer basiert. Was getan wurde, ist, Ideen von Produkten zu stehlen und dann den Implementierungsprozess zu starten. Der sinnliche Teil besteht also darin, die Ideen zu schützen - nicht das Produkt, das diesen Ideen folgt. Das Produkt kann sehr einfach kopiert werden.

perdian
quelle
4
U-235 mit Waffenqualität ist mit relativ bescheidenen Ressourcen und technischen Talenten so gut wie ausreichend, um ein Nukleargerät herzustellen. Waffenreines Plutonium wäre eine bessere Analogie. Ich versichere Ihnen, dass ich mit der U3D-Software viel weniger Probleme haben würde, wenn der vollständige Zugriff auf den Quellcode alles wäre.
David Thornley
9

Hier sind einige Beispiele, die mir persönlich bekannt sind ...

AT & T hat den Yacc- Parser-Generator und den Lex-Lex- Analysator-Generator als Teil von Unix entwickelt. Du hättest nur Kopien der Quelle bekommen sollen, wenn du eine Unix - Quelllizenz bekommen hättest ... aber jemand hat eine Kopie vom Schreibtisch einer Person gestrichen, die hier irgendwann um 1980 anonym bleiben soll Ich, und ich bin mir nicht sicher, ob er möchte, dass sein Name aufgeschrieben wird.) Die Quelle begann zu schweben, die Leute portierten sie auf den IBM-PC, yadda yadda. Ich bekam Kopien von einem Outfit in Austin, das um 1986 Disketten mit dem Titel "Quellcode für raffinierte Programme" verkaufte.

Um 1990 hatte Microsoft einen guten Ruf dafür, obwohl ich nicht sicher bin, ob es genau die Unternehmenspolitik war. Neben dem erwähnten Stac-Fall Tangurena hat ein Beratungsunternehmen, das zuvor für Apple daran gearbeitet hatte, QuickTime auf Windows zu portieren , einige der proprietären QuickTime-Quellen in einem Projekt für Intel und Microsoft zur Beschleunigung von MS Video for Windows verwendet. Apple erhielt eine einstweilige Verfügung gegen Video für Windows. Für Außenstehende ist es sicher nicht klar, ob irgendjemand bei Intel und / oder Microsoft von diesem Diebstahl wusste.

Bei US-Unternehmen passiert das allerdings nicht so sehr - die Risiken sind viel zu hoch. Ich war zum Beispiel ein Auftragnehmer des inzwischen nicht mehr existierenden Datenbankanbieters Informix, als er sich mitten in einem Benchmark-Kampf mit Oracle befand, und Informix gewann weiter. Oracle stellte einen der wichtigsten Datenbankingenieure von Informix ein, und er zeigte sich am ersten Tag mit einer Festplatte voller Informix-Quellen zur Arbeit und dachte, sie würden ihn mit offenen Armen begrüßen. Sie hießen ihn willkommen - mit einem Sicherheitsteam, das ihn zur Polizeistation eskortierte. Sie riefen auch die Informix-Sicherheit an, um die ungeprüfte Festplatte abzurufen.

Bob Murphy
quelle
8

Gibt es bekannte Beispiele, bei denen Quellcode gestohlen wurde UND ein konkurrierendes Unternehmen ihn ausgiebig verwendet hat?

Einer, der sofort in den Sinn kommt, ist der Diebstahl von Stac Electronics-Code durch Microsoft für DoubleSpace . Es endete vor Gericht und die billigste Lösung für Microsoft war der Kauf von Stac (ursprünglich gaben sie an, dies tun zu wollen, weshalb sie Zugriff auf den Quellcode erhielten, entschieden sich dann aber, den kopierten Code als Drivespace bereitzustellen und verspotteten dann Stac mit "Was wirst du dagegen tun?").

Tangurena
quelle
und Microsoft stiehlt i4is Konzept für XML-Suchfelder / benutzerdefinierte Felder, wenn sie zusammenarbeiten.
Gbjbaanb
Das Hauptproblem, das ich sehe, wenn ein Unternehmen versucht, IP zu stehlen, ist die Komponente des Standes der Technik. Es kann keine Patentanmeldung machen, es sei denn, es unterscheidet sich deutlich vom Original
GrumpyMonkey
6

Ich denke, das hängt stark von der spezifischen Codebasis ab. Ich wäre allerdings überrascht, wenn mehr als eine winzige Minderheit von proprietärem Quellcode es wert wäre, gestohlen zu werden.

In den meisten Fällen handelt es sich beim Quellcode um eine Verbindlichkeit, nicht - wie manche Geschäftsleute gerne meinen - um einen Vermögenswert. Das Asset ist die laufende ausführbare Datei und die Personen, die wissen, wie sie an zukünftige Geschäftsanforderungen angepasst und weiterentwickelt werden können.

Abgesehen von dem hohen rechtlichen Risiko des Diebstahls von Quellcode und den direkten Kosten für dessen Beschaffung müssen Ihre eigenen Entwickler dies verstehen. Was - besonders wenn die ursprünglichen Entwickler nicht da sind, um zu helfen - ein großes Unterfangen für eine nicht triviale Codebasis ist. Peter Seibel (von Practical Common Lisp und Coders at Work ) sagte einmal, die Zeitspanne liege in der Größenordnung des ursprünglichen Entwicklungsaufwands.

Es gibt jedoch Ausnahmen, zB wenn die Codebasis ...

  • ... enthält sehr wertvolle, leicht identifizierbare, diskrete Teile (z. B. einen proprietären Algorithmus mit deutlich überlegenen Eigenschaften gegenüber allgemein bekannten Gegenstücken)
  • ... schöpft aus der Unbekanntheit einen signifikanten Wert, wie zum Beispiel einige sicherheitsbezogene Produkte
  • ... ist an sich sehr klein, mit strengen Korrektheitsanforderungen, wie sie üblicherweise in eingebetteter Software zu finden sind (dh der Wert besteht darin, ausgiebig getestet, überprüft und möglicherweise sogar formalen Nachweisen unterzogen zu werden).
  • ... enthält Hinweise auf Nachlässigkeit / Vertragsverletzung / unethische Geschäftspraktiken / Inkompetenz etc.
Alexander Battisti
quelle
2

Diese Art von Dingen ist für Produktentwickler von Interesse, bei denen es sich bei der eingebetteten Firma um das GOLD handelt, und es hat über Jahre hinweg Fälle gegeben, in denen Quell- oder Objektcode gestohlen wurde. Gelegentlich finden Sie mehr Informationen in den technischen Zeitschriften.

schnell_nun
quelle
Natürlich hindert eingebettete Firmware niemanden daran, die Systeme von Nintendo aus den 1980er Jahren zurückzuentwickeln. Ich glaube, dass viele Menschen dazu in der Lage waren. Wir haben Emulatoren auf dem iPhone, mit denen Sie 20 Jahre alte Spiele spielen können.
Ramhound
1
Ein Emulator für ein Spiel ist nicht gleichbedeutend mit dem Diebstahl der Firmware, mit der einige der am weitesten verbreiteten Produkte betrieben werden. Warum sollten Sie beispielsweise jemanden dafür bezahlen, Firmware für eine Waschmaschinensteuerung zu entwickeln, wenn Sie nur jemand anderen stehlen können? Es scheint nicht viel $ zu sein und es ist kein sehr gutes Beispiel. Es gibt jedoch auch andere Beispiele, bei denen Mikrocontroller die Firmware auslesen können (z. B. durch Abätzen des Epoxids und Prüfen des Chips), da der Inhalt die Mühe wert ist, dies alles zu tun.
quick_now
1

Ja, es gibt mehrere Beispiele, aber keine, die ich mit proprietärem Code kenne. Unter http://gpl-violations.org/ finden Sie Beispiele dafür, wo Unternehmen Open Source Code so verwendet haben, als ob es ihr eigener wäre. In diesen Fällen war das Abrufen des Quellcodes kein Problem, da es sich um Open Source handelte.

Martin Vilcans
quelle
Es stimmt nicht, dass es keine Beispiele für proprietären Code gibt. Siehe die anderen Antworten.
Bob Murphy
@ Bob Murphy: Mein Fehler. "Keine, von denen ich weiß" zu meiner Antwort hinzugefügt.
Martin Vilcans
<lacht> Geschieht mir die ganze Zeit.
Bob Murphy
1

Es hängt alles davon ab, um welche Art von Anwendung es sich handelt und wie einfach sich die Anwendung replizieren lässt. Ich bin mir sicher, Microsoft würde gerne den Quellcode für die Google-Suchmaschine in die Hände bekommen. Sie würden ihnen schwere Verluste zufügen, wenn sie dies tun würden.

Jeder erfahrene Entwickler kann jedoch das genaue Verhalten von 99% der Web- oder Desktop-Anwendungen ohne den Quellcode kopieren.

Wo es darauf ankommt, ist, wo ein Unternehmen umfangreiche Arbeit in eine Engine (dh eine Physik-Engine, eine Suchmaschine) gesteckt hat, die niemand anders machen konnte, oder in ein Betriebssystem

Das heißt, die meiste Zeit spielt es keine Rolle.

Jonathan Henson
quelle
1

Ich kann mir zwei Beispiele vorstellen:

  • Tengen hat illegal den Code für den NES-Kopierschutzchip erhalten. Sie verwendeten diesen Code dann, um nicht lizenzierte NES-Kassetten (einschließlich Tetris) herzustellen. Wie haben sie den Code erhalten? Durch Social Engineering aus dem US Copyright Office. Mit anderen Worten, sie behaupteten fälschlicherweise, dass sie von Nintendo angeklagt wurden und dass sie den Quellcode brauchten, um ihre Verteidigung vorzubereiten. Es funktionierte.
  • Siehe ARJ vs PK-ZIP.
user16764
quelle
1

Im Allgemeinen lohnt es sich nicht, Code zu stehlen, als ob Sie ein Unternehmen wären. Wenn Sie den Code einer anderen Person ohne deren Erlaubnis verwenden, kann diese Person Sie vor Gericht stellen.

Das einzige Problem, das ich wirklich sehe, wenn Ihr Code gestohlen wird, sind A) Leute im Internet, nicht Firmen, die ihn kostenlos nutzen und modifizieren, und B) wenn sie weit genug gehen, um Ihren Quellcode für die Durchführung von Bereinigungen zu verwenden. Raum-Reverse-Engineering.

http://en.wikipedia.org/wiki/Clean_room_design

Es wäre allerdings eine enorme Anstrengung für sie, so lange Ihre Lizenzbedingungen fair sind, halte ich es nicht für machbar.

SpacePrez
quelle