2016’da siber güvenlik uzmanı Patrick Wardle, kendisini derinden rahatsız eden bir hikaye duydu: Siber suçlular, MacOS web kameraları ve mikrofonları aracılığıyla insanları gizlice gözetlemek için kötü amaçlı yazılımlar kullanıyordu. Özellikle rahatsız edici bir durumda, bir bilgisayar korsanı kötü amaçlı bir yazılım kullanmıştı. “Meyve sineği” çocukları gözetlemek amacıyla dizüstü bilgisayarların web kameralarını ele geçirmek.
Wardle, bu tür programları tespit etme deneyimine sahipti. Özel sektöre geçmeden önce, Savunma Bakanlığı bilgisayar sistemlerini hedeflemek için kullanılan kodu analiz ettiği Ulusal Güvenlik Ajansı’nda kötü amaçlı yazılım analisti olarak çalıştı. Dijital savunma konusunda deneyimli olan Wardle, casus yazılım tehdidi hakkında bir şeyler yapmaya karar verdi: Gözetim, kötü amaçlı yazılım manipülasyonu belirtileri için web kameranızı ve mikrofonunuzu izlemenizi sağlayan bir MacOS aracı. Kar amacı gütmeyen BT aracılığıyla ücretsiz olarak piyasaya sürdüğü araç hakkında “Gerçekten popülerdi, herkes onu sevdi” dedi. Amaç-Bkz..
Ancak birkaç yıl sonra, Wardle bir müşteri için bazı şüpheli kodları analiz ediyordu ve müşterinin kendi cihazına indirilen bir araçta garip bir şeyle karşılaştı. Araç, büyük bir şirket tarafından oluşturuldu, ancak bir MacOS web kamerasını ve mikrofonu izleme yeteneği de dahil olmak üzere OverSight’a benzer işlevler sundu. Programı gözden geçiren Wardle tanıdık bir kod buldu. Çok tanıdık. Kaldırmayı başaramadığı hatalar da dahil olmak üzere tüm OverSight algoritması diğer programın içindeydi. Bir geliştirici, aletini tersine çevirmiş, çalışmasını çalmış ve farklı ama neredeyse aynı bir ürün için yeniden kullanmıştır.
Wardle, “Kullanmaktan hoşlandığım benzetme intihaldir: Birisi yazdıklarınızı kopyalamış ve yazım ve dilbilgisi hatalarınızı kopyalamıştır” dedi. “Her zaman, meşhur kedinin derisini yüzmenin birçok yolu olduğunu söylerim ama bu, bariz bir telif hakkı gibiydi. [infringement]”
Geliştirici şaşırmıştı. Hemen şirketle iletişime geçti ve bir geliştiricinin kodunu ele geçirdiği konusunda onları uyarmaya çalıştı. Ne yazık ki Wardle, bunun bir şirketin onun işini üstlendiğini son görüşü olmadığını söyledi. Önümüzdeki birkaç yıl boyunca, diğer iki büyük şirketin algoritmasını kendi ürünleri için kullandığına dair kanıtlar bulacaktı.
G/O Media komisyon alabilir
300$’a Kadar Tasarruf Edin
Galaxy Z Fold4
Bugün Samsung, Galaxy ürünleri serisindeki yeni her şeyi açıkladı. 300 $ Samsung kredisi almak için bir çift Buds 2 Pro’yu Watch5 veya Watch5 Pro ile Z Fold4 ile paketleyin.
Bu hafta Wardle, deneyimlerini anlatan bir sunum yaptı. Siyah şapka, Las Vegas’taki yıllık siber güvenlik konferansı. John Hopkins Üniversitesi profesörü Tom McGuire, Wardle ile birlikte gösterdi Tersine mühendislik -bir programın parçalara ayrılıp yeniden kurulması süreci- böyle bir hırsızlığın kanıtını nasıl ortaya çıkarabilir?
Geliştirici, kodunu çalan şirketleri tanımlamayı reddetti. Bunun intikamla ilgisi yok, diyor. “Siber güvenlik topluluğunu” etkileyen “sistemik bir sorunu” belirlemekle ilgili” dedi. Bunu yapmak için, Wardle bu haftaki konuşmayı, şirketleri hırsızlık konusunda bilgilendirmeye çalışırken öğrendiği bazı dersleri özetlemek için kullandı.
“Bu şirketlere ulaşıyorsunuz ve ‘Hey millet, temelde benden çaldınız. Aracımı tersine çevirdiniz ve algoritmayı yeniden uyguladınız – bu yasal olarak çok… uh, gri.” AB’de bir direktif var, eğer…[do that] bu yasadışı. Ama aynı zamanda sadece optikler kötü. Kar amacı gütmeyen bir işletme yürütüyorum. Esasen kâr amacı gütmeyen bir kuruluştan çalıyorsunuz ve bunu ticari kodunuza koyuyor ve ondan kâr ediyorsunuz. Kötü görünüyor,” dedi kıkırdayarak.
Wardle’ın aldığı yanıtlar genellikle karışıktı. “Şirkete bağlı,” dedi. “Bazıları harika: CEO’dan bunu kabul eden ve ‘Neyi düzeltebiliriz?’ diye soran bir e-posta alıyorum. Mükemmel…[With] diğerleri, bu üç haftalık bir iç soruşturma ve sonra geri geliyorlar ve herhangi bir iç tutarlılık görmedikleri için zam yapmanızı söylüyorlar.” Bu durumlarda, Wardle olanlarla ilgili daha fazla kanıt sağlamak zorunda kaldı.
Neden böyle bir şey ilk etapta oluyor? Wardle, görüşlerinin zamanla değiştiğini söylüyor. “Bunların bağımsız geliştiriciyi ezmek için dışarı çıkan kötü şirketler olduğunu düşünmeye başladım. Ancak her durumda, esasen yanlış yönlendirilmiş ya da saf bir geliştiriciydi. [finding a way to] mikrofonu ve web kamerasını izle… ve sonra o benim aletimi tersine çevirecek ve algoritmayı çalacaktı… ve sonra şirketteki hiç kimse, ‘Hey, bunu nereden aldın?’ diye sormazdı.”
Her üç durumda da, Wardle davasını bir şirkete açıkladıktan sonra, yöneticiler sonunda yanlış yaptıklarını kabul ettiler ve durumu düzeltmeyi teklif ettiler. Bununla birlikte, davasını etkili bir şekilde yapmak için Wardle genellikle onlara kanıtları göstermek zorunda kaldı. Kendi kapalı kaynaklı yazılımlarını alması ve kodlarının nasıl çalıştığını anlamak ve kendisininkine benzerliğini göstermek için tersine mühendislik kullanması gerektiğini söyledi. Wardle, davasını desteklemek için bağımsız güvenlik araştırmacılarına ücretsiz hukuk hizmetleri sunan kar amacı gütmeyen Electronic Frontier Foundation (EFF) ile de işbirliği yaptı. “Onların yanımda olması bana çok fazla güvenilirlik verdi” dedi ve diğer geliştiricilerin de benzer bir strateji kullandığını öne sürdü.
Wardle, “EFF ile işbirliği yaptığım için iyi bir konumdayım, toplulukta geniş bir izleyici kitlem var çünkü bunu uzun süredir yapıyorum” dedi. “Ancak, bu bana oluyorsa, bu, tam olarak sahip olamayan diğer geliştiricilere de oluyor. [the same standing]…ve bu durumlarda şirketler onlara zam yapmalarını söyleyebilir. Yani gerçekten yapmaya çalıştığım şey bunun hakkında konuşmak ve ‘Hey bu doğru değil’ demek.”
Algoritma hırsızlığı uygulamasının ne kadar yaygın olduğuna gelince, Wardle bunun oldukça yaygın olduğuna inanıyor. “Bunun sistemik bir sorun olduğuna inanıyorum çünkü aramaya başlar başlamaz sadece bir tane değil, birkaç tane buldum. Ve onlar [the companies] hepsi tamamen ilgisizdi.”
“Zorlamaya çalıştığım çıkarımlardan biri, eğer bir şirketseniz, çalışanlarınızı veya geliştiricilerinizi gerçekten eğitmeniz gerekiyor. [not to steal]. Bunu yaparsanız, tüm kuruluşunuzu yasal riske sokar. Ve yine, optik gerçekten kötü görünüyor ”dedi.