Patrick Wardle, bir Mac kötü amaçlı yazılım uzmanı olarak bilinir – ancak çalışmaları tahmin ettiğinden çok daha fazla yol kat etti.
NSA ve NASA’nın eski bir çalışanı, aynı zamanda NSA’nın da kurucusudur. Amaç-Bakınız Vakfı: macOS için açık kaynaklı güvenlik araçları oluşturan kar amacı gütmeyen bir kuruluş. İkinci rol, Wardle’ın birçok yazılım kodunun artık ücretsiz olarak indirilebileceği ve kaynak koda dönüştürülebileceği anlamına geliyor – ve bu kodun bir kısmı, görünüşe göre, onu izni olmadan kullanan teknoloji şirketlerinin dikkatini çekti.
Wardle, Johns Hopkins Üniversitesi’nde bir siber güvenlik araştırmacısı olan Tom McGuire ile Perşembe günü Black Hat siber güvenlik konferansında bir sunum yapacak. Araştırmacılar, Wardle tarafından yazılan ve açık kaynak olarak yayınlanan kodun, yıllar içinde bir dizi ticari ürüne girdiğini buldular – bunların hepsi, kullanıcılar ona kredi vermeden veya çalışma için lisans vermeden ve ödeme yapmadan.
Wardle’a göre sorun, kodun tesadüfen benzer bir şekilde uygulanmasından ziyade çalındığını kanıtlamanın zor olmasıdır. Neyse ki Wardle’ın tersine mühendislik yazılımındaki becerisi sayesinde, çoğundan daha fazla ilerleme kaydetmeyi başardı.
“Sadece anlayabildim [the code theft] çünkü hem araçlar hem de tersine mühendislik yazılımı yazıyorum, ki bu çok yaygın değil, ”dedi Wardle Sınır konuşmadan önce bir aramada. “Bu disiplinlerin her ikisinde de yer aldığım için, araçlarımda bunun olduğunu görebiliyorum, ancak diğer bağımsız geliştiriciler bunu yapamayabilir, bu da endişe kaynağı.”
Hırsızlıklar, internetin muazzam bölümlerini destekleyen açık kaynak kodunun istikrarsız durumunu hatırlatıyor. Açık kaynak geliştiriciler genellikle çalışmalarını belirli lisans koşulları altında kullanıma sunarlar – ancak kod genellikle zaten herkese açık olduğundan, avantaj elde etmeye karar veren vicdansız geliştiricilere karşı çok az koruma vardır. Yakın tarihli bir örnekte, Trump destekli Truth Social uygulamasının açık kaynaklı Mastodon projesinden önemli kod bölümlerini kaldırdığı ve bunun Mastodon’un kurucusundan resmi bir şikayetle sonuçlandığı iddia edildi.
Wardle’ın durumundaki merkezi örneklerden biri, adı verilen bir yazılım aracıdır. GözetimOversight, herhangi bir macOS uygulamasının mikrofona veya web kamerasına gizlice erişip erişmediğini izlemenin bir yolu olarak çok başarılı bir şekilde geliştirildi: yalnızca bulmanın bir yolu olarak etkili değildi. Kullanıcıları gözetleyen Mac kötü amaçlı yazılımıaynı zamanda Shazam gibi meşru bir uygulamanın olduğu gerçeğini de ortaya çıkarın. her zaman arka planda dinliyordu.
Kuzeni Josh Wardle’ın popüler Wordle oyununu yarattığı Wardle, OverSight’ı kurduğunu çünkü bir Mac kullanıcısının, özellikle uygulamalar çalışacak şekilde tasarlanmışsa, belirli bir zamanda hangi uygulamaların kayıt donanımını etkinleştirdiğini onaylamasının basit bir yolu olmadığını söylüyor. gizlice. Bu zorluğu çözmek için yazılımı, olağandışı ve dolayısıyla benzersiz olduğu ortaya çıkan analiz tekniklerinin bir kombinasyonunu kullandı.
Ancak Oversight’ın piyasaya sürülmesinden yıllar sonra, kendi ürünlerinde benzer uygulama mantığını içeren bir dizi ticari uygulama bulmasına şaşırdı – Wardle’ın kodundaki aynı hataların kopyalanmasına kadar.
Wardle’ın çalışmalarından alınan teknikleri ticari olarak satılan kendi yazılımlarında birleştiren üç farklı şirketin bulundu. Wardle, kod hırsızlığının yukarıdan aşağıya bir stratejiden ziyade muhtemelen bireysel bir çalışanın işi olduğuna inandığını söylediği gibi, Black Hat konuşmasında rahatsız edici şirketlerin hiçbirinin adı geçmiyor.
Wardle, şirketlerin bu konuda karşı karşıya kaldıklarında da olumlu tepki verdiğini söylüyor: Ulaştığı üç satıcının da, kodunun ürünlerinde izinsiz kullanıldığını kabul ettiği ve nihayetinde hepsi kendisine doğrudan ödeme yaptı veya Objective See Vakfı’na para bağışladı.
Kod hırsızlığı talihsiz bir gerçektir, ancak Wardle buna dikkat çekerek hem geliştiricilerin hem de şirketlerin çıkarlarını korumalarına yardımcı olmayı umuyor. Yazılım geliştiriciler için, kod yazan herkesin (ister açık ister kapalı kaynak olsun) çalınacağını varsaymasını ve bunun gerçekleştiği örnekleri ortaya çıkarmaya yardımcı olabilecek tekniklerin nasıl uygulanacağını öğrenmesini tavsiye ediyor.
Şirketler için, çalışanları ticari kazanç için başka bir ürünün tersine mühendislikle ilgili yasal çerçeveler konusunda daha iyi eğitmelerini önerir. Ve nihayetinde, çalmayı bırakacaklarını umuyor.