El código de este hacker de Mac es tan bueno que las empresas lo siguen robando

Únete a nuestra comunidad en Telegram

Patrick Wardle es conocido por ser un especialista en malware para Mac, pero su trabajo ha viajado más lejos de lo que creía.

Ex empleado de la NSA y la NASA, también es el fundador de la Fundación Objective-See: una organización sin fines de lucro que crea herramientas de seguridad de código abierto para macOS. Este último rol significa que gran parte del código de software de Wardle ahora está disponible gratuitamente para descargar y descompilar, y parte de este código aparentemente ha llamado la atención de las compañías de tecnología que lo están utilizando sin su permiso.

SE DESCUBRIÓ QUE TRES COMPAÑÍAS DIFERENTES ESTABAN INCORPORANDO TÉCNICAS DEL TRABAJO DE WARDLE.

Wardle expondrá su caso en una presentación el jueves en la conferencia de ciberseguridad Black Hat con Tom McGuire, investigador de ciberseguridad de la Universidad Johns Hopkins. Los investigadores encontraron que el código escrito por Wardle y lanzado como código abierto se ha abierto camino en una serie de productos comerciales a lo largo de los años, todo sin que los usuarios lo acrediten o le otorguen licencias y paguen por el trabajo.

El problema, dice Wardle, es que es difícil probar que el código fue robado en lugar de implementarse de manera similar por coincidencia. Afortunadamente, debido a la habilidad de Wardle en el software de ingeniería inversa, pudo progresar más que la mayoría.

«Solo pude averiguar [el robo de código] porque escribo herramientas y hago ingeniería inversa de software, lo cual no es muy común», dijo Wardle . «Debido a que estoy a caballo entre estas dos disciplinas, podría encontrar que le sucede a mis herramientas, pero otros desarrolladores independientes podrían no ser capaces de hacerlo, que es la preocupación».

Los robos son un recordatorio del precario estado del código de código abierto, que sustenta enormes porciones de Internet. Los desarrolladores de código abierto suelen hacer que su trabajo esté disponible bajo condiciones de licencia específicas, pero dado que el código a menudo ya es público, hay pocas protecciones contra los desarrolladores sin escrúpulos que deciden aprovecharse. En un ejemplo reciente, la aplicación Truth Social respaldada por Donald Trump supuestamente levantó porciones significativas de código del proyecto mastodonte de código abierto, lo que resultó en una queja formal del fundador de Mastodon.

Uno de los ejemplos centrales en el caso de Wardle es una herramienta de software llamada OverSight, que Wardle lanzó en 2016. La supervisión se desarrolló como una forma de monitorear si alguna aplicación de macOS accedía subrepticiamente al micrófono o la cámara web, con mucho éxito: fue efectiva no solo como una forma de encontrar malware para Mac que vigilaba a los usuarios, sino también para descubrir el hecho de que una aplicación legítima como Shazam siempre estaba escuchando en segundo plano.

Wardle, cuyo primo Josh Wardle creó el popular juego Wordle, dice que creó OverSight porque no había una forma sencilla para que un usuario de Mac confirmara qué aplicaciones estaban activando el hardware de grabación en un momento dado, especialmente si las aplicaciones estaban diseñadas para ejecutarse en secreto. Para resolver este desafío, su software utilizó una combinación de técnicas de análisis que resultaron ser inusuales y, por lo tanto, únicas.

Pero años después del lanzamiento de Oversight, se sorprendió al encontrar una serie de aplicaciones comerciales que incorporaban una lógica de aplicación similar en sus propios productos, incluso hasta replicar los mismos errores que tenía el código de Wardle.

Una diapositiva de la presentación de Wardle y McGuire en Defcon.

Se descubrió que tres compañías diferentes estaban incorporando técnicas extraídas del trabajo de Wardle en su propio software vendido comercialmente. Ninguna de las compañías infractoras se nombra en la charla de Black Hat, ya que Wardle dice que cree que el robo de código fue probablemente el trabajo de un empleado individual, en lugar de una estrategia de arriba hacia abajo.

Las compañías también reaccionaron positivamente cuando se enfrentaron al respecto, dice Wardle: los tres proveedores a los que se acercó reconocieron que su código había sido utilizado en sus productos sin autorización, y todos finalmente le pagaron directamente o donaron dinero a la Fundación Objective-See.

El robo de código es una realidad desafortunada, pero al llamar la atención sobre ella, Wardle espera ayudar tanto a los desarrolladores como a las empresas a proteger sus intereses. Para los desarrolladores de software, aconseja que cualquier persona que escriba código (ya sea de código abierto o cerrado) debe asumir que será robado y aprender a aplicar técnicas que pueden ayudar a descubrir instancias en las que esto ha sucedido.

Para las corporaciones, sugiere que eduquen mejor a los empleados sobre los marcos legales que rodean la ingeniería inversa de otro producto para obtener ganancias comerciales. Y, en última instancia, espera que dejen de robar.

Últimas noticias