Ką daryti, jei didelė technologijų įmonė pavogė jūsų kodą

Straipsnio, pavadinto Ką daryti, jei didelė technologijų įmonė pavogs jūsų kodą, vaizdas

Vaizdas: Senovinis tonas (Shutterstock)

2016 m. kibernetinio saugumo specialistas Patrickas Wardle’as išgirdo istoriją, kuri jį labai sujaudino: kibernetiniai nusikaltėliai naudojo kenkėjiškas programas, kad slapta šnipinėtų žmones per savo MacOS internetines kameras ir mikrofonus. Vienu ypač nerimą keliančiu atveju įsilaužėlis panaudojo kenkėjišką programą, vadinamą “Vaisinė muselė” užgrobti nešiojamųjų kompiuterių internetines kameras, siekiant šnipinėti vaikus.

Wardle’as turėjo patirties pastebėdamas tokias programas. Prieš pradėdamas dirbti privačiame sektoriuje, jis dirbo kenkėjiškų programų analitiku Nacionalinėje saugumo agentūroje, kur analizavo kodus, naudojamus Gynybos departamento kompiuterinėms sistemoms. Turėdamas skaitmeninės gynybos patirties, Wardle’as nusprendė ką nors padaryti dėl šnipinėjimo programų grėsmės: jis ją sukūrė Priežiūra, „MacOS“ įrankis, leidžiantis stebėti, ar internetinėje kameroje ir mikrofone nėra manipuliavimo kenkėjiška programa požymių. „Tai buvo tikrai populiarus, visiems patiko“, – sakė jis apie įrankį, kurį nemokamai išleido per savo IT ne pelno siekiančią įmonę. Tikslas-Žr.

Tačiau po poros metų Wardle’as analizavo įtartiną kliento kodą ir aptiko kažką keisto įrankyje, kuris buvo atsisiųstas į kliento įrenginį. Įrankį sukūrė didelė įmonė, tačiau jis pasiūlė panašias funkcijas kaip „OverSight“, įskaitant galimybę stebėti „MacOS“ internetinę kamerą ir mikrofoną. Naršydamas programą Wardle rado pažįstamą kodą. Per daug pažįstamas. Visas jo „OverSight“ algoritmas, įskaitant klaidas, kurių jam nepavyko pašalinti, buvo kitoje programoje. Kūrėjas apgręžė savo įrankį, pavogė jo darbą ir panaudojo jį kitam, bet beveik identiškam produktui.

„Analogija, kurią mėgstu naudoti, yra plagiatas: kažkas nukopijavo tai, ką parašėte, ir nukopijavo jūsų rašybos ir gramatikos klaidas“, – sakė Wardle’as. „Visada sakau, kad yra daug būdų nulupti patarlių katę, bet tai buvo kaip akivaizdžios autorių teisės [infringement].

Kūrėjas buvo grąžintas. Jis nedelsdamas susisiekė su įmone ir bandė įspėti, kad kūrėjas užgrobė jo kodą. Deja, Wardle’as sakė, kad tai nebuvo paskutinis kartas, kai jis pastebėjo, kad įmonė pasirinko jo darbą. Per ateinančius porą metų jis ras įrodymų, kad dvi kitos didelės įmonės naudojo jo algoritmą savo produktams.

Šią savaitę Wardle’as pristatė savo patirtį Juoda kepurė, kasmetinėje kibernetinio saugumo konferencijoje Las Vegase. Kartu su Johno Hopkinso universiteto profesoriumi Tomu McGuire’u, Wardle’u pademonstravo kaip atvirkštinė inžinerija – procesas, kurio metu programa išskaidoma ir atkuriama – gali atskleisti tokios vagystės įrodymų.

Kūrėjas atsisakė nustatyti įmones, kurios pavogė jo kodą. Tai ne apie kerštą, sako jis. Kalbama apie „sisteminės problemos“, turinčios įtakos „kibernetinio saugumo bendruomenei“, nustatymą“, – sakė jis. Norėdami tai padaryti, Wardle pasinaudojo šios savaitės pokalbiu, kad apibūdintų kai kurias pamokas, kurias išmoko bandydamas pranešti įmonėms apie vagystės problemą.

„Jūs susisiekiate su šiomis įmonėmis ir sakote:„ Ei, jūs, vaikinai, jūs iš esmės pavogėte iš manęs. Tu sukūrei mano įrankį ir iš naujo įdiegei algoritmą – teisiškai tai labai… ai, pilka. ES galioja direktyva, kad jeigu tu…[do that] tai nelegalu. Bet ir tik optika bloga. Aš vadovauju ne pelno organizacijai. Jūs iš esmės vagiate iš ne pelno ir įtraukiate tai į savo komercinį kodą, o tada iš to gaunate pelno. Bloga išvaizda“, – sako jis juokdamasis.

Wardle’o atsakymai dažnai buvo prieštaringi. „Tai priklauso nuo įmonės“, – sakė jis. „Kai kurie yra puikūs: gaunu el. laišką iš generalinio direktoriaus, kuris tai pripažįsta ir klausia: „Ką galime pataisyti? Nuostabu…[With] kiti – tai trijų savaičių vidinis tyrimas, o tada jie grįžta ir liepia pasivaikščioti, nes nemato jokio vidinio nuoseklumo“. Tais atvejais Wardle turėjo pateikti daugiau įrodymų apie tai, kas atsitiko.

Kodėl apskritai tokie dalykai nutinka? Wardle’as sako, kad laikui bėgant jo požiūriai pasikeitė. „Manau, kad tai piktos korporacijos, kurios siekia sutramdyti nepriklausomą kūrėją. Tačiau kiekvienu atveju tai iš esmės buvo suklydęs arba naivus kūrėjas, kuriam buvo pavesta užduotis [finding a way to] stebėti mikrofoną ir internetinę kamerą… o tada jis arba ji apversdavo mano įrankį ir pavogdavo algoritmą… ir tada niekas korporacijoje neklaustų: „Ei, iš kur tai gavai?“.

Visais trimis atvejais Wardle’ui pateikus savo atvejį įmonei, vadovai galiausiai pripažino kaltę ir pasiūlė ištaisyti situaciją. Tačiau norėdamas veiksmingai pareikšti savo ieškinį, Wardle’as dažnai turėjo parodyti jiems įrodymus. Jis sakė, kad turėjo pasiimti savo uždarojo kodo programinę įrangą ir panaudoti atvirkštinę inžineriją, kad suprastų, kaip veikia jų kodas, ir parodytų jo panašumą į jo paties. Siekdamas sustiprinti savo bylą, Wardle taip pat bendradarbiavo su ne pelno siekiančiu elektroniniu pasienio fondu (EFF), kuris nepriklausomiems saugumo tyrinėtojams siūlo pro-bono teisines paslaugas. „Jų buvimas mano pusėje suteikė man daug patikimumo“, – sakė jis, teigdamas, kad kiti kūrėjai taip pat taiko panašią strategiją.

„Esu geroje padėtyje, nes bendradarbiavau su EFF, turiu didelę auditoriją bendruomenėje, nes tai darau ilgą laiką“, – sakė Wardle. „Tačiau jei taip nutinka man, tai atsitinka ir kitiems kūrėjams, kurie gali to nedaryti [the same standing]…ir tokiais atvejais įmonės gali tiesiog liepti leistis į žygį. Taigi, ką aš iš tikrųjų stengiuosi padaryti, tai kalbėti apie tai ir parodyti, kad „Ei, tai negerai“.

Kalbant apie tai, kaip plačiai paplitusi algoritmų vagystė, Wardle mano, kad tai gana paplitusi. „Manau, kad tai sisteminė problema, nes kai tik pradėjau ieškoti, radau ne vieną, o keletą. Ir jie [the companies] visi buvo visiškai nesusiję“.

„Vienas iš atsakymų, į kurį stengiuosi stumti, yra tai, kad jei esate korporacija, jums tikrai reikia mokyti savo darbuotojus ar kūrėjus. [not to steal]. Jei tai padarysite, visai jūsų organizacijai iškils teisinė rizika. Ir vėlgi, optika atrodo tikrai prastai“, – sakė jis.

Leave a Reply

Your email address will not be published.