Code source volé \ piraté par une entreprise rivale

23

Dans certaines entreprises pour lesquelles j'ai travaillé, les managers ont dépensé beaucoup d'argent en consultants en sécurité informatique. Principalement parce qu'ils ont peur que le code source soit volé par une entreprise rivale. Cependant, en tant que programmeur, je considère comme une préoccupation mineure qu'une entreprise rivale trouve le code source réel utile. Après tout, il suffit d’avoir accès à notre application, et cela peut se faire sans enfreindre la loi. À mon avis, les données traitées par les gens d'affaires seraient beaucoup plus utiles que le code source.

Ma question est; existe-t-il des exemples connus où le code source a été volé ET une entreprise rivale l'a largement utilisé?

Je connais un moteur de jeu (tremblement de terre 1 et demi-vie 2 si je me souviens bien) le code source a été volé, mais je ne vois pas vraiment qui a vraiment nui à leur entreprise.

(Je sais, cette question pourrait être plus appropriée pour d'autres forums sur stackexchange)

security Viktor Sehr
la source
6
Si un code source si un produit de sécurité est volé, cela peut permettre aux pirates d'analyser plus facilement les faiblesses et de les utiliser pour attaquer les clients utilisant le produit de sécurité. Bien que la même chose puisse être effectuée via la rétro-ingénierie, cela prend beaucoup plus de temps pour le faire que de simplement revoir le code source.
@Viktor, envisagez de le déplacer vers la sécurité informatique .
AviD
48
Nous avions l'habitude de plaisanter entre collègues que quiconque avait volé notre code et pouvait le faire fonctionner le méritait!
Benjol
1
Certaines applications ont plus à perdre des fuites de code source que d'autres. Par exemple: vous pouvez parier que si le code source de XRumer était divulgué, tous les logiciels du forum en seraient immunisés le lendemain. Cela mettrait à rude épreuve les revenus de son mainteneur jusqu'à la sortie de la prochaine version.
user16764
1
@IAbstract - Apple a eu l'idée d'une interface graphique fenêtrée de Xerox Park, qui avait également l'une des premières (sinon la première) souris d'ordinateur ... (< cultofmac.com/… >). D'où Xerox a-t-il eu l'idée?
Martin S.Stoller

Réponses:

18

La fuite de Kaspersky au début de cette année en est un bon exemple. Selon la personne que vous lisez, la version divulguée peut être périmée d'un cycle ou deux et l'auteur peut avoir tenté de la revendre à des concurrents. Peu importe qu'il ait été vendu ou non, sa divulgation éventuelle via torrent est évidemment assez méchante et pourrait (a?) Avoir un impact financier sérieux.

C'est Half Life 2 qui a été divulgué juste avant sa sortie en 2004. Il y a un très bon compte rendu de ce qui s'est passé ici: http://www.eurogamer.net/articles/2011-02-21-the-boy-who-stole- demi-vie-2-article

Troy Hunt
la source
2
Article fascinant sur HL2. +1
jnevelson
16

Je pense également que la crainte que quelqu'un vole le précieux code source du produit x est très surfaite. Même si quelqu'un possède le code source, cela n'entraîne en aucun cas automatiquement la possibilité pour le voleur d'utiliser ce code.

Oui, il y a une valeur dans un produit logiciel qui a été écrit mais une valeur beaucoup plus grande se trouve dans la tête des personnes qui ont développé cette application. Cela peut être vu lorsqu'un développeur (ou une équipe de développeurs) quitte un projet de développement existant et est remplacé par de nouveaux développeurs (ou consultants, ou quelle que soit la partie que les gens ont dans le projet). Il faut souvent beaucoup de temps et d'efforts pour les mettre au courant de la technologie actuellement utilisée et de l'architecture sous laquelle le produit a été développé. J'ai vu plus d'un cas, où réécrire une application complètement à partir de zéro en apportant un nouveau design à partir d'un nouvel ensemble de personnes était beaucoup plus rapide et beaucoup plus fluide que d'essayer de creuser dans le code existant et d'essayer de comprendre ce qu'il fait vraiment .

Le simple fait de voler de l'uranium enrichi ne vous donnera pas (heureusement) tout ce dont vous avez besoin pour développer un waepon nucléaire. Ce n'est pas si différent avec le code source.

Je pense donc qu'il n'y a pas beaucoup de références où le code source volé a été utilisé pour développer une nouvelle application basée sur le travail que quelqu'un d'autre a fait. Ce qui a été fait, c'est de voler des idées de produits, puis de lancer le processus de mise en œuvre. Ainsi, la partie sensible protège les idées - pas le produit qui suit ces idées. Le produit peut être copié très facilement.

perdian
la source
4
Le U-235 de qualité militaire est à peu près suffisant pour créer un appareil nucléaire, compte tenu des ressources et des talents d'ingénieur assez modestes. Le plutonium de qualité militaire ferait une meilleure analogie. Je vous assure que si l'accès complet au code source était tout, j'aurais beaucoup moins de problèmes avec le logiciel U3D.
David Thornley
9

Voici quelques exemples que je connais personnellement ...

AT&T a développé le générateur d'analyseur yacc et le générateur d'analyseur lexical lex , dans le cadre d'Unix. Vous n'étiez censé obtenir des copies de la source que si vous aviez obtenu une licence source Unix ... mais quelqu'un a fait glisser une copie du bureau sur le bureau d'une personne qui restera anonyme ici vers 1980. (Ce n'était pas moi, et je ne suis pas sûr qu'il voudrait que son nom soit divulgué.) La source a commencé à flotter, les gens les ont portés sur le PC IBM, yadda yadda. J'ai obtenu des copies d'une tenue à Austin qui vendait des disquettes "code source pour des programmes astucieux" vers 1986.

Vers 1990, Microsoft avait une sorte de réputation pour cela, même si je ne suis pas sûr que c'était exactement la politique de l'entreprise. En plus de l'affaire Stac mentionnée par Tangurena, une société de conseil qui avait précédemment travaillé pour Apple pour porter QuickTime vers Windows a réutilisé certaines des sources QuickTime propriétaires dans un projet pour Intel et Microsoft pour accélérer la vidéo de MS pour Windows. Apple a finalement obtenu une injonction d'arrêt à l'encontre de Video for Windows. Les étrangers ne savent certainement pas si quiconque chez Intel et / ou Microsoft était au courant de ce vol.

Cela n'arrive pas vraiment beaucoup, cependant, avec les entreprises américaines - les risques sont beaucoup trop élevés. Par exemple, j'étais entrepreneur chez le fournisseur de base de données désormais disparu Informix alors qu'ils étaient au milieu d'une bataille de référence avec Oracle, et Informix continuait de gagner. Oracle a embauché l'un des principaux ingénieurs de la base de données d'Informix, et il s'est présenté au travail le premier jour avec un disque dur plein de sources Informix, pensant qu'ils l'accueilliraient à bras ouverts. Ils l'ont accueilli, très bien - avec une équipe de sécurité pour l'escorter au poste de police. Ils ont également appelé la sécurité Informix pour venir récupérer le disque dur non examiné.

Bob Murphy
la source
8

existe-t-il des exemples connus où le code source a été volé ET une entreprise rivale l'a largement utilisé?

Un qui me vient immédiatement à l'esprit est que Microsoft vole le code Stac Electronics pour DoubleSpace . Il s'est retrouvé devant les tribunaux et la solution la moins chère pour Microsoft a été d'acheter Stac (à l'origine, ils prétendaient le faire, c'est pourquoi ils ont eu accès à la source, mais ont ensuite choisi de déployer le code copié en tant que Drivespace, puis ont nargué Stac avec "Qu'allez-vous faire à ce sujet?").

Tangurena
la source
et aussi le concept de recherche xml / champs personnalisés d'i4i de Microsoft lorsqu'ils ont collaboré ensemble.
gbjbaanb
Le principal problème que je vois si une entreprise essaie de voler de l'IP est le composant de l'état de la technique. Il ne peut pas déposer de demande de brevet à moins qu'il ne soit nettement différent de l'original
GrumpyMonkey
6

Je pense que cela dépend fortement de la base de code spécifique. Je serais surpris si plus d'une infime minorité de code source propriétaire valait la peine d'être volée.

Dans la plupart des cas, le code source est un passif, et non - comme certains hommes d'affaires aiment le penser - un atout. L'atout est l' exécutable en cours d' exécution et les personnes qui savent l'adapter et le faire évoluer en fonction des besoins futurs de l'entreprise.

Outre le risque juridique élevé de vol de code source et le coût direct de son acquisition, vos propres développeurs doivent le comprendre. Ce qui - surtout si les développeurs d'origine ne sont pas là pour vous aider - est une entreprise énorme pour une base de code non triviale. Peter Seibel (de renommée Practical Common Lisp and Coders at Work ) a dit une fois que la quantité de temps était du même ordre de grandeur que l'effort de développement original.

Il existe cependant des exceptions, par exemple si la base de code ...

  • ... contient des pièces discrètes de grande valeur, facilement identifiables (par exemple, un algorithme propriétaire avec des caractéristiques nettement supérieures à celles de ses homologues connus)
  • ... tire une valeur significative de «l'obscurité», comme certains produits liés à la sécurité
  • ... est en soi très petit, avec des exigences de correction strictes, comme on le trouve couramment dans les logiciels embarqués (c'est-à-dire que la valeur réside dans le fait d'être largement testé, examiné et peut-être même soumis à des preuves formelles)
  • ... contient des preuves de négligence / rupture de contrat / pratiques commerciales contraires à l'éthique / incompétence, etc.
Alexander Battisti
la source
2

Ce genre de chose présente un certain intérêt pour les développeurs de produits, où le firmare intégré est l'OR, et il y a eu des cas au cours des années de vol de code source ou d'objet. Vous trouverez plus d'informations occasionnelles dans les magazines d'ingénierie.

vite_maintenant
la source
Bien sûr, le micrologiciel intégré n'empêche jamais les gens d'essayer de désosser les systèmes Nintendo des années 1980. Je crois que beaucoup de gens ont pu faire exactement cela. Nous avons des émulateurs fonctionnant sur l'iPhone qui vous permettent de jouer à des jeux vieux de 20 ans.
Ramhound
1
Un émulateur pour un jeu n'est pas tout à fait la même chose que de voler le firmware qui exécute certains des produits les plus omniprésents - par exemple, pourquoi payer quelqu'un pour développer le firmware d'un contrôleur de machine à laver si vous pouvez simplement voler quelqu'un d'autre. Cela peut ne pas sembler beaucoup, et ce n'est pas un très bon exemple. Il existe d'autres exemples où les microcontrôleurs peuvent obtenir la lecture du firmware (par exemple en gravant l'époxy et en sondant la matrice), car le contenu en vaut la peine.
quick_now
1

Oui, il existe plusieurs exemples, mais je n'en connais aucun avec du code propriétaire. Voir http://gpl-violations.org/ pour des exemples de cas où les entreprises ont utilisé du code open source comme s'il était le leur. Dans ces cas, obtenir le code source n'était pas un problème car il était open source.

Martin Vilcans
la source
Ce n'est pas vrai qu'il n'y a pas d'exemples avec du code propriétaire. Voir les autres réponses.
Bob Murphy
@Bob Murphy: Mon erreur. Ajout de "aucun que je sache" à ma réponse.
Martin Vilcans
<chuckle> Ça m'arrive tout le temps.
Bob Murphy
1

Tout dépend du type d'application et de la facilité de réplication du comportement de l'application. Je suis certain que Microsoft aimerait mettre la main sur le code source du moteur de recherche de Google. Ils leur infligeraient de lourdes pertes s’ils le faisaient.

Cependant, tout développeur expérimenté peut de toute façon copier le comportement exact de 99% des applications Web ou de bureau sans le code source.

Là où cela importe, c'est où une entreprise a consacré beaucoup de travail à un moteur (c.-à-d. Un moteur physique, un moteur de recherche) que personne d'autre n'a pu faire également ou un système d'exploitation

Cela dit, la plupart du temps, cela n'a pas vraiment d'importance.

Jonathan Henson
la source
1

Je peux penser à deux exemples:

  • Tengen a illégalement obtenu le code de la puce de protection contre la copie NES. Ils ont ensuite utilisé ce code pour fabriquer des cartouches NES sans licence (y compris Tetris). Comment ont-ils obtenu le code? Par ingénierie sociale, il est sorti du US Copyright Office. En d'autres termes, ils ont prétendu à tort qu'ils étaient poursuivis par Nintendo et qu'ils avaient besoin du code source pour préparer leur défense. Ça a marché.
  • Voir ARJ vs PK-ZIP.
user16764
la source
1

En général, le vol de code ne vaut pas la peine, comme si vous étiez une entreprise, et que vous vous retrouvez à utiliser le code de quelqu'un sans autorisation, il peut vous poursuivre en plein jour.

Le seul problème que je vois vraiment avec le vol de votre code est A) les gens sur Internet, pas les entreprises, qui l'utilisent gratuitement et le modifient, et B) s'ils devaient aller assez loin pour utiliser votre code source pour effectuer ensuite un nettoyage- rétro-ingénierie de pièce.

http://en.wikipedia.org/wiki/Clean_room_design

Ce serait un énorme effort de leur part, donc tant que vos conditions de licence sont équitables, je ne pense pas que ce soit faisable.

SpacePrez
la source