Qué hacer si una gran empresa de tecnología robó su código

Imagen del artículo titulado Qué hacer si una gran empresa de tecnología roba tu código

imagen: acento antiguo (lucha de acciones)

En 2016, el experto en seguridad cibernética Patrick Wardle escuchó una historia que lo inquietó profundamente: los ciberdelincuentes estaban usando malware para espiar a las personas de manera subrepticia a través de sus cámaras web y micrófonos en macOS. En un caso particularmente alarmante, un hacker usó un malware llamado “mosca de la fruta” Para secuestrar las cámaras web de las computadoras portátiles con el objetivo de espiar a los niños.

Wardle tenía experiencia en el descubrimiento de este tipo de programas. Antes de ingresar al sector privado, trabajó como analista de malware en la Agencia de Seguridad Nacional, analizando el código utilizado para atacar los sistemas informáticos del Departamento de Defensa. Con su experiencia jugando a la defensa digital, Wardle decidió hacer algo con respecto a la amenaza del spyware: creó Vigilancia, una herramienta de macOS que le permite monitorear su cámara web y micrófono en busca de signos de manipulación de malware. Dijo sobre la herramienta que lanzó de forma gratuita en su sitio web de TI sin fines de lucro. objetivo ver.

Sin embargo, dos años después, Wardle estaba analizando un código sospechoso para un cliente y encontró algo extraño dentro de una herramienta descargada en la propia máquina del cliente. La herramienta fue creada por una empresa importante, pero ofrecía una funcionalidad similar a OverSight, incluida la capacidad de monitorear su cámara web y micrófono macOS. Examinando el software, Wardle encontró un código familiar. Muy familiar. Todo el algoritmo OverSight, incluidos los errores que no pudo eliminar, se incluyó en el otro software. Un desarrollador realizó ingeniería inversa de su herramienta, robó su trabajo y lo reutilizó para un producto diferente pero casi idéntico.

“La analogía que me gusta usar es el plagio: alguien copió lo que escribiste y copiaron tus errores ortográficos y gramaticales”, dijo Wardle. “Siempre digo que hay muchas maneras de azotar al gato proverbial, pero esto era un copyright tan descarado. [infringement]. “

El desarrollador se sorprendió. Póngase en contacto con la empresa de inmediato e intente alertarlos sobre el hecho de que un desarrollador ha secuestrado su código. Desafortunadamente, esta no fue la última vez que encontró una compañía que escogió su negocio, dijo Wardle. Durante los próximos dos años, encontrará pruebas de que otras dos grandes empresas han utilizado su algoritmo para sus propios productos.

Esta semana, Wardle hizo una presentación sobre sus experiencias en sombrero negro, Conferencia Anual de Seguridad Cibernética en Las Vegas. Junto con el profesor de John Hopkins Tom McGuire, Wardle probado ¿Cómo puede la ingeniería inversa, el proceso por el cual el software se desmonta y reconstruye, revelar evidencia de tal robo?

El desarrollador se negó a identificar a las empresas que robaron su código. Dice que no se trata de venganza. Dijo que se trataba de identificar un “problema sistemático” que afecta a la “comunidad de ciberseguridad”. Para ello, Wardle aprovechó una charla esta semana para ilustrar algunas de las lecciones que aprendió al intentar notificar a las empresas sobre el caso de robo.

“Ella se acerca a estas empresas y les dice: ‘Oigan, chicos, básicamente me robaron’. Invertí el diseño de mi herramienta y volví a implementar el algoritmo; eso es bastante legal… ah, gris. En la Unión Europea hay una directiva que si…[do that] Esto es ilegal. Pero solo mala óptica. Dirijo una organización sin fines de lucro. Básicamente estás robando de una organización sin fines de lucro, poniendo esto en tu ley comercial y luego beneficiándote de ello. “Mala pinta”, dice riéndose.

Las respuestas que recibió Wardle a menudo fueron mixtas. “Depende de la empresa”, dijo. “Algunos son geniales: recibí un correo electrónico del director ejecutivo reconociéndolo y preguntando: ‘¿Qué podemos arreglar?'” ” Fabuloso…[With] Otros, es una investigación interna de tres semanas, y luego regresan y te piden que des un paseo porque no ven ninguna consistencia interna”. En esos casos, Wardle tuvo que proporcionar más evidencia de lo que había sucedido.

¿Por qué sucede este tipo de cosas en primer lugar? Wardle dice que sus puntos de vista han cambiado con el tiempo. “Pensé que estas eran compañías malvadas para aplastar al desarrollador independiente. Pero en cada caso, fue básicamente un desarrollador engañoso o crédulo el que fue asignado. [finding a way to] Supervisar el micrófono y la cámara web… y luego aplicar ingeniería inversa a mi herramienta y robar el algoritmo… Entonces nadie en la empresa preguntará: “Oye, ¿dónde conseguiste esto?”

En los tres casos, después de que Wardle presentó su caso a una empresa, los ejecutivos finalmente admitieron haber actuado mal y se ofrecieron a rectificar la situación. Sin embargo, para presentar su caso de manera efectiva, Wardle a menudo tenía que mostrarles la evidencia. Dijo que tuvo que tomar su propio software de código cerrado e ingeniería inversa para comprender cómo funcionaba su código y demostrar que era similar al suyo. Para promover su causa, Wardle también se asoció con Electronic Frontier Foundation (EFF), una organización sin fines de lucro que brinda servicios legales gratuitos a investigadores de seguridad independientes. “Tenerlos a mi lado me dio mucha credibilidad”, dijo, y señaló que otros desarrolladores también están usando una estrategia similar.

“Estoy en una buena posición porque me he asociado con EFF y tengo una gran audiencia en la comunidad porque lo he estado haciendo durante mucho tiempo”, dijo Wardle. “Pero, si esto me sucede a mí, le sucederá a otros desarrolladores que podrían no serlo. [the same standing]…y en estos casos, las empresas pueden simplemente pedirles que hagan un viaje. Entonces, lo que realmente estoy tratando de hacer es hablar sobre esto y mostrar que, “Oye, eso no es bueno”.

En términos de qué tan extendida está la práctica del robo de algoritmos, Wardle cree que es igual de frecuente. “Creo que es un problema sistémico porque una vez que comencé a buscar no encontré solo uno, encontré varios. Y hmm [the companies] Todos estaban completamente ajenos”.

“Una de las cosas que estoy tratando de impulsar es que, si eres una empresa, realmente necesitas educar a tus empleados o a tus desarrolladores. [not to steal]. Si lo hace, pone a toda su organización en riesgo legal. Y de nuevo, la óptica se ve muy mal”.

Leave a Reply

Your email address will not be published. Required fields are marked *