На конференции Black Hat 2022 выступил известный эксперт по безопасности macOS, основатель Objective-See Foundation Патрик Уордл (Patrick Wardle). Вместе со своим коллегой Томом Магуайром (Tom McGuire), ИБ-исследователем из Университета Джона Хопкинса, он рассказал о том, что коммерческие продукты для кибербезопасности используют чужие алгоритмы без разрешения.
В качестве примера Уордл привел свой инструмент OverSight. Этот инструмент, который бесплатно предлагает Objective-See Foundation, позволяет пользователям контролировать микрофон и веб-камеру в Mac, каждый раз предупреждая о том, что микрофон активируется или к камере обращается какой-либо процесс.
Цель исследования заключалась в том, чтобы побудить других разработчиков выяснить, не был ли украден их код. Дело в том, что исследователи полагают, что практика воровства интеллектуальной собственности распространена куда шире, чем принято считать. При этом Уордл подчеркивает, что для выявления такой кражи понадобится не только сам разработчик программного обеспечения, но и компетентный реверс-инженер.
В результате проведенного расследования исследователи обнаружили, что как минимум три ИБ-инструмента, разработанные тремя разными компаниями, использовали алгоритмы OverSight без разрешения. Подчеркивается, что OverSight доступен бесплатно с 2016 года, однако опенсорсным он стал только в 2021 году. То есть, до недавнего времени реверс-инжиниринг этой разработки с целью создания коммерческих продуктов было не только неэтичным, если еще не незаконным.
Используя Google и правила Yara, исследователи идентифицировали коммерческие продукты, где используются те же имена методов, пути, строки, недокументированные ключи реестра и парсинговая логика, что и в OverSight.
В итоге с компаниями-нарушителями связались и предоставили им доказательства того, что алгоритмы OverSight использованы в их продуктах без разрешения. Компании признали проблему (хотя одна из фирм уделила исследователям внимание лишь после того, как осознала возможность крайне негативной реакции со стороны сообщества), пообещали удалить код и даже предложили финансовую компенсацию.
Уордл заявил, что компенсация, предложенная компаниями, была достойной, даже если для них это лишь «капля в море». Полученные средства будут потрачены Objective-See Foundation на организацию конференции Objective by the Sea, книги и бесплатные инструменты.
Хотя в своем докладе эксперты не раскрыли названия компаний, которые использовали алгоритмы OverSight без разрешения, Уордл уточняет, что это были как мелкие, так и более крупные бизнесы. По его словам, они использовали ворованную интеллектуальную собственность в различных продуктах, включая как простые утилиты, так и более серьезные решения для безопасности macOS. При этом большинство нарушителей были специализированными ИБ-компаниями.
С другой стороны, Уордл отмечает, что в большинстве случаев нарушения были делом рук всего одного разработчика, и вряд ли это можно назвать «злым корпоративным умыслом».
«Неважно, является ли ваш код закрытым, если люди захотят его украсть, они это сделают, — говорит Уордл. — Я знал, что технически это не очень сложно, но полагал, что если исходный код изначально не был опенсорсным, это четкий сигнал: “эй, это приватное, не воруй”. Очевидно, это не так».