Kode sumber dicuri \ diretas oleh perusahaan saingan


23

Pada beberapa perusahaan tempat saya bekerja, manajer telah menghabiskan cukup banyak uang untuk itu - konsultan keamanan. Terutama karena mereka takut kita akan mendapatkan kode sumbernya dicuri oleh perusahaan saingan. Namun, sebagai seorang programmer, saya melihatnya sebagai kekhawatiran kecil bahwa perusahaan saingan akan menemukan kode sumber yang sebenarnya bermanfaat. Bagaimanapun, hanya memiliki akses ke aplikasi kita sudah cukup, dan itu bisa dilakukan tanpa melanggar hukum. Menurut pendapat saya, data yang ditangani oleh para pelaku bisnis akan jauh lebih berguna daripada kode sumber.

Pertanyaanku adalah; Adakah contoh yang diketahui di mana kode sumber telah dicuri DAN perusahaan saingan telah menggunakannya secara luas?

Saya tahu beberapa mesin game (gempa 1 dan setengah kehidupan 2 jika saya ingat dengan benar) kode sumber telah dicuri, tetapi saya tidak dapat benar-benar melihat bahwa itu benar-benar merusak bisnis mereka.

(Saya tahu, pertanyaan ini mungkin lebih cocok untuk forum lain di stackexchange)


6
Jika kode sumber jika beberapa produk keamanan dicuri, ini memungkinkan peretas untuk lebih mudah menganalisis kelemahannya dan menggunakannya untuk menyerang pelanggan yang menggunakan produk keamanan tersebut. Sementara hal yang sama dapat dilakukan melalui teknik reverse engineering, dibutuhkan lebih banyak waktu untuk melakukannya daripada hanya meninjau kode sumber.

@ Viktor, pertimbangkan untuk memindahkan ini ke Keamanan IT .
AviD

48
Kami sering bercanda di antara kolega bahwa siapa pun yang mencuri kode kami dan bisa membuatnya berfungsi layak mendapatkannya!
Benjol

1
Beberapa aplikasi kehilangan lebih banyak dari kebocoran kode sumber daripada yang lain. Misalnya: Anda dapat bertaruh bahwa jika kode sumber untuk XRumer bocor, maka setiap paket perangkat lunak forum akan kebal terhadapnya pada hari berikutnya. Itu akan mengurangi pendapatan pengelola sampai mereka merilis versi berikutnya.
user16764

1
@Abstract - Apple mendapat ide untuk GUI berjendela dari Xerox Park, yang juga memiliki salah satu mouse komputer pertama (jika bukan yang pertama) ... (< cultofmac.com/… >). Sekarang dari mana Xerox mendapatkan ide itu?
Martin S. Stoller

Jawaban:


18

Kebocoran Kaspersky awal tahun ini adalah contoh yang baik. Bergantung pada siapa yang Anda baca, versi yang bocor mungkin merupakan siklus satu atau dua yang kedaluwarsa dan pelaku mungkin telah mencoba menjualnya kepada pesaing. Terlepas dari apakah itu dijual atau tidak, pengungkapan pada akhirnya melalui torrent jelas merupakan hal yang sangat buruk dan dapat (memang?) Memiliki dampak keuangan yang serius.

Itu adalah Half Life 2 yang bocor sebelum rilis pada tahun 2004. Ada laporan yang sangat bagus tentang apa yang terjadi di sini: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- half-life-2-article


2
Artikel menarik tentang HL2. +1
jnevelson

16

Saya juga berpikir bahwa rasa takut seseorang mencuri kode sumber yang berharga dari produk x sangat berlebihan. Bahkan jika seseorang memiliki kode sumber yang tidak dengan cara apa pun secara otomatis mengarah pada peluang bagi pencuri untuk menggunakan kode itu.

Ya, ada nilai dalam produk perangkat lunak yang telah ditulis tetapi nilai yang jauh lebih besar ada di kepala orang-orang yang telah mengembangkan aplikasi itu. Ini dapat dilihat ketika pengembang (atau tim pengembang) meninggalkan proyek pengembangan yang ada dan digantikan oleh pengembang baru (atau konsultan, atau bagian apa pun yang dimiliki orang dalam proyek). Seringkali membutuhkan banyak waktu dan upaya untuk membawa mereka pada kecepatan pada teknologi yang saat ini digunakan dan arsitektur di mana produk telah dikembangkan. Saya telah melihat lebih dari satu kasus, di mana menulis ulang aplikasi sepenuhnya dari awal dengan membawa desain baru dari sekelompok orang baru jauh lebih cepat dan jauh lebih lancar daripada mencoba menggali kode yang ada dan mencoba memahami apa yang sebenarnya dilakukannya. .

Hanya mencuri uranium yang diperkaya tidak akan (untungnya) memberi Anda semua yang Anda butuhkan untuk mengembangkan waepon nuklir. Tidak jauh berbeda dengan kode sumber.

Jadi saya pikir tidak ada banyak referensi di mana kode sumber curian telah digunakan untuk mengembangkan aplikasi baru berdasarkan pekerjaan yang telah dilakukan orang lain. Yang telah dilakukan adalah mencuri ide produk dan kemudian memulai proses implementasi. Jadi, bagian yang sensitif adalah melindungi ide - bukan produk yang mengikuti ide-ide ini. Produk dapat disalin dengan sangat mudah.


4
Senjata kelas-U-235 cukup banyak untuk membuat perangkat nuklir, mengingat sumber daya yang cukup sederhana dan bakat teknik. Plutonium tingkat senjata akan membuat analogi yang lebih baik. Saya meyakinkan Anda bahwa, jika akses penuh ke kode sumber adalah segalanya, saya akan mengalami jauh lebih sedikit masalah dengan perangkat lunak U3D.
David Thornley

9

Berikut adalah beberapa contoh yang secara pribadi saya sadari ...

AT & T mengembangkan yacc generator parser, dan lex leksikal analyzer Generator, sebagai bagian dari Unix. Anda seharusnya hanya mendapatkan salinan sumber jika Anda mendapatkan lisensi sumber Unix ... tetapi seseorang menggeser salinan dari meja dari meja orang yang akan tetap anonim di sini sekitar tahun 1980. (Itu bukan saya, dan saya tidak yakin dia ingin namanya dirusak.) Sumber mulai melayang-layang, orang-orang memindahkannya ke PC IBM, yadda yadda. Saya mendapat salinan dari pakaian di Austin yang menjual floppy disk "kode sumber untuk program bagus" sekitar tahun 1986.

Kembali sekitar tahun 1990, Microsoft memiliki semacam reputasi untuk ini, walaupun saya tidak yakin itu adalah kebijakan perusahaan. Selain kasus Stac, Tangurena menyebutkan, sebuah perusahaan konsultan yang sebelumnya telah melakukan pekerjaan untuk Apple untuk mem-port QuickTime ke Windows menggunakan kembali beberapa sumber QuickTime yang dipatenkan dalam sebuah proyek untuk Intel dan Microsoft untuk mempercepat Video MS untuk Windows. Apple akhirnya mendapatkan perintah stop-ship terhadap Video untuk Windows. Jelas tidak jelas bagi orang luar apakah ada orang di Intel dan / atau Microsoft yang tahu tentang pencurian ini.

Ini tidak benar-benar terjadi terlalu banyak, dengan perusahaan-perusahaan AS - risikonya terlalu tinggi. Sebagai contoh, saya adalah seorang kontraktor di vendor database Informix yang sekarang tidak berfungsi ketika mereka berada di tengah pertempuran benchmark dengan Oracle, dan Informix terus menang. Oracle menyewa salah satu insinyur basis data inti Informix, dan dia muncul di tempat kerja pada hari pertama dengan hard drive penuh dengan sumber-sumber Informix, berpikir mereka akan menyambutnya dengan tangan terbuka. Mereka menyambutnya, baik-baik saja - dengan tim keamanan untuk mengawalnya ke kantor polisi. Mereka juga memanggil keamanan Informix untuk datang dan mengambil hard drive yang belum diperiksa.


8

Adakah contoh yang diketahui di mana kode sumber telah dicuri DAN perusahaan saingan telah menggunakannya secara luas?

Salah satu yang segera muncul adalah Microsoft mencuri kode Stac Electronics untuk DoubleSpace . Itu berakhir di pengadilan dan solusi termurah untuk Microsoft adalah membeli Stac (awalnya mereka mengklaim ingin melakukannya, itulah sebabnya mereka mendapat akses ke sumbernya, tetapi kemudian memilih untuk menggunakan kode yang disalin sebagai Drivespace dan kemudian mengejek Stac dengan "apa yang akan kamu lakukan?")


dan juga Microsoft mencuri konsep bidang pencarian / kustom xml i4i ketika mereka berkolaborasi bersama.
gbjbaanb

Masalah utama yang saya lihat jika sebuah perusahaan mencoba mencuri ip adalah komponen sebelumnya. Itu tidak dapat membuat aplikasi paten kecuali itu sangat berbeda dari aslinya
GrumpyMonkey

6

Saya pikir ini sangat tergantung pada basis kode tertentu. Saya akan terkejut meskipun jika lebih dari minoritas kecil kode sumber berpemilik layak untuk dicuri.

Dalam kebanyakan kasus, kode sumber adalah suatu kewajiban, bukan - seperti yang dikatakan sebagian pebisnis - sebagai aset. Aset adalah menjalankan executable dan orang-orang yang tahu bagaimana beradaptasi dan berevolusi sepanjang persyaratan bisnis masa depan.

Terlepas dari risiko hukum yang tinggi untuk mencuri kode sumber dan biaya langsung untuk mendapatkannya, pengembang Anda sendiri perlu memahaminya. Yang - terutama jika pengembang asli tidak ada untuk membantu - adalah upaya besar untuk basis kode non trivial. Peter Seibel (dari Praktis Common Lisp dan Coders at Work fame) pernah mengatakan jumlah waktu dalam urutan yang sama besarnya dengan upaya pengembangan asli.

Ada beberapa pengecualian, misalnya jika basis kode ...

  • ... mengandung bagian diskrit yang sangat bernilai, mudah diidentifikasi, (mis. algoritma berpemilik dengan karakteristik yang jauh lebih unggul daripada rekan yang dikenal secara umum)
  • ... menarik nilai signifikan dari 'ketidakjelasan', seperti beberapa produk terkait keamanan
  • ... itu sendiri sangat kecil, dengan persyaratan kebenaran yang ketat, seperti yang biasa ditemukan dalam perangkat lunak yang disematkan (yaitu nilai yang sedang diuji, ditinjau ulang secara luas dan mungkin bahkan menjadi bukti formal)
  • ... berisi bukti pengabaian / pelanggaran kontrak / praktik bisnis yang tidak etis / ketidakmampuan dll.


2

Hal semacam ini menarik bagi pengembang produk, di mana firma tertanam adalah EMAS, dan ada kasus selama bertahun-tahun kode sumber atau objek dicuri. Anda akan menemukan tulisan sesekali lebih banyak di majalah teknik.


Tentu saja, firmware yang tertanam tidak pernah menghentikan orang untuk mencoba membalikkan sistem insinyur Nintendo dari tahun 1980-an. Saya percaya banyak orang dapat melakukan hal itu. Kami memiliki emulator yang berjalan di iPhone yang memungkinkan Anda memainkan game berusia 20 tahun.
Ramhound

1
Emulator untuk gim tidak sama dengan mencuri firmware yang menjalankan beberapa produk yang lebih umum - misalnya, mengapa membayar seseorang untuk mengembangkan firmware untuk pengontrol mesin cuci jika Anda bisa mencuri orang lain. Itu mungkin tidak tampak seperti banyak $, dan itu bukan contoh yang sangat bagus. Ada beberapa contoh lain di mana mikrokontroler dapat membaca firmware (misalnya dengan menghilangkan epoksi dan memeriksa cetakan), karena isinya sepadan dengan kesulitan melakukan semua ini.
quick_now

1

Ya, ada beberapa contoh, tetapi tidak ada yang saya ketahui dengan kode kepemilikan. Lihat http://gpl-violations.org/ untuk contoh di mana perusahaan telah menggunakan kode sumber terbuka seolah-olah itu milik mereka. Dalam kasus ini, mendapatkan kode sumber tidak menjadi masalah karena merupakan open source.


Itu tidak benar, tidak ada contoh dengan kode berpemilik. Lihat jawaban lainnya.
Bob Murphy

@ Bob Murphy: Kesalahan saya. Menambahkan "tidak ada yang saya tahu" ke jawaban saya.
Martin Vilcans

[Tertawa] Terjadi pada saya sepanjang waktu.
Bob Murphy

1

Itu semua tergantung pada jenis aplikasi apa itu dan seberapa mudah perilaku aplikasi itu untuk ditiru. Saya yakin Microsoft akan senang mendapatkan kode sumber untuk mesin pencari Google. Mereka akan menimbulkan kerugian besar pada mereka jika mereka melakukannya.

Namun, setiap pengembang yang berpengalaman dapat menyalin perilaku tepat 99% dari aplikasi web atau desktop tanpa kode sumber.

Yang menjadi masalah adalah di mana perusahaan telah melakukan pekerjaan yang luas ke dalam salah satu mesin (yaitu mesin fisika, mesin pencari) yang tidak ada orang lain yang mampu membuat juga atau OS

Yang mengatakan, sebagian besar waktu, itu tidak terlalu penting.


1

Saya dapat memikirkan dua contoh:

  • Tengen secara ilegal memperoleh kode untuk chip perlindungan salinan NES. Mereka kemudian menggunakan kode itu untuk membuat kartrid NES tanpa izin (termasuk Tetris). Bagaimana mereka mendapatkan kodenya? Dengan rekayasa sosial itu keluar dari Kantor Hak Cipta AS. Dengan kata lain, mereka secara keliru mengklaim bahwa mereka dituntut oleh Nintendo dan bahwa mereka membutuhkan kode sumber untuk menyiapkan pertahanan mereka. Itu berhasil.
  • Lihat ARJ vs PK-ZIP.

1

Umumnya, mencuri kode tidak berharga seperti jika Anda bisnis, dan Anda menemukan menggunakan kode seseorang tanpa izin, mereka bisa menuntut isi badan hidup dari Anda.

Satu-satunya masalah yang saya benar-benar lihat dengan mencuri kode Anda adalah A) orang di internet, bukan perusahaan, menggunakannya secara gratis dan memodifikasinya, dan B) jika mereka pergi cukup jauh untuk menggunakan kode sumber Anda untuk kemudian melakukan pembersihan- reverse-engineering kamar.

http://en.wikipedia.org/wiki/Clean_room_design

Ini akan menjadi usaha yang luar biasa pada bagian mereka, jadi selama persyaratan lisensi Anda adil maka saya tidak melihat itu menjadi layak.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.