Vijesti

Kod ovog Mac hakera je toliko dobar da ga korporacije stalno kradu

Patrick Wardle je poznat po tome što je stručnjak za Mac malver – ali njegov rad je otišao dalje nego što je mislio.

Bivši zaposlenik NSA i NASA-e, on je također osnivač Objective-See Foundation: neprofitne organizacije koja stvara sigurnosne alate otvorenog koda za macOS. Posljednja uloga znači da je mnogo Wardleovog softverskog koda sada slobodno dostupno za preuzimanje i dekompajliranje — a dio ovog koda je očigledno zapeo za oko tehnološkim kompanijama koje ga koriste bez njegove dozvole.

Wardle će izložiti svoj slučaj u prezentaciji u četvrtak na konferenciji o sajber sigurnosti Black Hat s Tomom McGuireom, istraživačem kibernetičke sigurnosti na Univerzitetu Johns Hopkins. Istraživači su otkrili da je kod koji je napisao Wardle i objavljen kao open source ušao u brojne komercijalne proizvode tokom godina – sve bez da su mu korisnici pripisali zasluge ili licencirali i platili rad.

Problem je, kaže Wardle, što je teško dokazati da je kod ukraden, a ne slučajno implementiran na sličan način. Srećom, zbog Wardleove vještine u softveru obrnutog inženjeringa, uspio je da napreduje više od većine.

„Samo sam mogao da pretpostavim [the code theft] jer i pišem alate i softver za obrnuti inženjering, što nije baš uobičajeno”, rekao je Wardle The Verge u razgovoru pre razgovora. “Budući da se bavim obje ove discipline, mogao bih otkriti da se to dešava mojim alatima, ali drugi indie programeri možda neće moći, što je briga.”

Krađe su podsjetnik na nesiguran status otvorenog koda, koji pokriva ogromne dijelove interneta. Programeri otvorenog koda obično čine svoj rad dostupnim pod određenim uslovima licenciranja — ali pošto je kod često već javan, postoji malo zaštite od beskrupuloznih programera koji odluče da iskoriste prednost. U jednom nedavnom primjeru, aplikacija Truth Social koju podržava Donald Trump navodno je povukla značajne dijelove koda iz projekta Mastodon otvorenog koda, što je rezultiralo formalnom žalbom osnivača Mastodon-a.

Jedan od centralnih primjera u Wardleovom slučaju je softverski alat pod nazivom OverSight, koji je Wardle objavio 2016. godine. Oversight je razvijen kao način za praćenje da li bilo koja macOS aplikacija potajno pristupa mikrofonu ili web kameri, s mnogo uspjeha: bio je efikasan ne samo kao način da se pronađe Mac malver koji je nadgledao korisnike, ali i da se otkrije činjenica da je legitimna aplikacija poput Shazama uvijek slušala u pozadini.

Wardle – čiji je rođak Josh Wardle kreirao popularnu Wordle igru ​​– kaže da je napravio OverSight jer nije postojao jednostavan način da korisnik Mac-a potvrdi koje aplikacije aktiviraju hardver za snimanje u datom trenutku, posebno ako su aplikacije dizajnirane za pokretanje u tajnosti. Da bi riješio ovaj izazov, njegov softver je koristio kombinaciju tehnika analize koje su se pokazale neobičnim i stoga jedinstvenim.

Ali godinama nakon što je Oversight objavljen, bio je iznenađen otkrivši brojne komercijalne aplikacije koje uključuju sličnu logiku aplikacija u svoje proizvode – čak i do repliciranja istih grešaka koje je imao Wardleov kod.

Slajd iz Wardle i McGuireove Defcon prezentacije.
Slika: Patrick Wardle

Utvrđeno je da tri različite kompanije uključuju tehnike preuzete iz Wardleovog rada u vlastiti softver koji se prodaje na komercijalnoj osnovi. Nijedna od kompanija koje su prekršile nije navedena u razgovoru o Black Hat-u, jer Wardle kaže da vjeruje da je krađa koda vjerovatno djelo pojedinačnog zaposlenika, a ne strategija odozgo prema dolje.

Kompanije su također pozitivno reagirale kada su se suočile s tim, kaže Wardle: sva tri dobavljača kojima se obratio navodno su priznala da je njegov kod korišten u njihovim proizvodima neovlašteno, i svi su mu na kraju platili direktno ili donirali novac Fondaciji Objective-See.

Krađa koda je nesretna stvarnost, ali skretanjem pažnje na nju, Wardle se nada da će pomoći i programerima i kompanijama da zaštite svoje interese. Za programere softvera, on savjetuje da svako ko piše kod (bilo otvoreni ili zatvoreni izvor) treba da pretpostavi da će biti ukraden i naučiti kako primijeniti tehnike koje mogu pomoći u otkrivanju slučajeva u kojima se to dogodilo.

Za korporacije, on predlaže da bolje educiraju zaposlene o pravnim okvirima koji okružuju obrnuti inženjering još jednog proizvoda za komercijalnu dobit. I na kraju, nada se da će jednostavno prestati krasti.

Leave a Reply

Your email address will not be published.