Patrick Wardle Spesialis Malware di Mac yang Karyanya Dipakai Tanpa Izin

JAKARTA - Patrick Wardle dikenal sebagai spesialis malware di Mac. Namun karyanya di perusahaan asal Cupertino ini telah melakukan perjalanan lebih jauh dari yang dia sadari.

Selain mantan karyawan NSA dan NASA, dia juga pendiri Objective-See Foundation, yakni sebuah organisasi nirlaba yang menciptakan alat keamanan sumber terbuka untuk macOS. Dalam perannya ini  banyak kode perangkat lunak Wardle sekarang tersedia secara bebas untuk diunduh dan didekompilasi. Bahkan beberapa dari kode ini tampaknya menarik perhatian perusahaan teknologi yang menggunakannya tanpa izinnya.

Wardle akan memaparkan kasusnya dalam presentasi pada  Kamis, 12 Agustus di konferensi keamanan siber Black Hat dengan Tom McGuire, seorang peneliti keamanan siber di Universitas Johns Hopkins.

Para peneliti menemukan bahwa kode yang ditulis oleh Wardle dan dirilis sebagai open source telah masuk ke sejumlah produk komersial selama bertahun-tahun. Namun semua pengguna tidak memberikan kredit pada dirinya  atau melisensikan dan membayar untuk pekerjaan itu.

Masalahnya, kata Wardle,  sulit untuk membuktikan bahwa kode tersebut dicuri daripada diimplementasikan dengan cara yang sama secara kebetulan. Untungnya, karena keahlian Wardle dalam perangkat lunak rekayasa balik, dia mampu membuat lebih banyak kemajuan daripada kebanyakan orang.

“Saya hanya bisa mengetahui [pencurian kode] karena saya menulis alat dan perangkat lunak rekayasa balik, yang tidak terlalu umum,” kata Wardle kepada The Verge. “Karena saya mengangkangi kedua disiplin ini, saya dapat menemukannya terjadi pada alat saya, tetapi pengembang indie lain mungkin tidak dapat melakukannya, yang menjadi perhatiannya.”

Pencurian adalah pengingat status genting kode sumber terbuka, yang menopang sebagian besar internet. Pengembang sumber terbuka biasanya membuat pekerjaan mereka tersedia di bawah kondisi lisensi tertentu.

Namun karena kode tersebut sering kali sudah bersifat publik, hanya ada sedikit perlindungan terhadap pengembang yang tidak bermoral yang memutuskan untuk mengambil keuntungan.

Dalam satu contoh baru-baru ini, aplikasi Truth Social yang didukung Donald Trump diduga mengangkat sebagian besar kode dari proyek sumber terbuka Mastodon, yang mengakibatkan keluhan resmi dari pendiri Mastodon.

Salah satu contoh utama dalam kasus Wardle adalah alat perangkat lunak yang disebut OverSight, yang dirilis Wardle pada tahun 2016. Pengawasan dikembangkan sebagai cara untuk memantau apakah ada aplikasi macOS yang diam-diam mengakses mikrofon atau webcam, dengan banyak keberhasilan: itu efektif tidak hanya sebagai cara untuk menemukan malware Mac yang mengawasi pengguna tetapi juga untuk mengungkap fakta bahwa aplikasi yang sah seperti Shazam selalu mendengarkan di latar belakang.

Wardle, yang sepupunya Josh Wardle menciptakan permainan Wordle yang populer, mengatakan dia membangun OverSight karena tidak ada cara sederhana bagi pengguna Mac untuk mengonfirmasi aplikasi mana yang mengaktifkan perangkat keras perekaman pada waktu tertentu, terutama jika aplikasi dirancang untuk dijalankan diam diam.

Untuk mengatasi tantangan ini, perangkat lunaknya menggunakan kombinasi teknik analisis yang ternyata tidak biasa dan, karenanya, unik.

Namun bertahun-tahun setelah Oversight dirilis, dia terkejut menemukan sejumlah aplikasi komersial yang menggabungkan logika aplikasi serupa dalam produk mereka sendiri. Bahkan hingga mereplikasi bug yang sama dengan kode Wardle.

Tiga perusahaan berbeda ditemukan menggabungkan teknik yang diangkat dari karya Wardle dalam perangkat lunak mereka sendiri yang dijual secara komersial. Tak satu pun dari perusahaan yang menyinggung disebutkan dalam pembicaraan Black Hat, seperti yang dikatakan Wardle bahwa dia yakin pencurian kode kemungkinan merupakan pekerjaan seorang karyawan, bukan strategi top-down.

“Perusahaan juga bereaksi positif ketika dihadapkan dengan hal itu,” kata Wardle. Ketiga vendor yang dia dekati dilaporkan mengakui bahwa kodenya telah digunakan dalam produk mereka tanpa izin, dan semua akhirnya membayarnya secara langsung atau menyumbangkan uang ke Objective-See Foundation.

Pencurian kode adalah kenyataan yang tidak menguntungkan, tetapi dengan memperhatikannya, Wardle berharap dapat membantu pengembang dan perusahaan melindungi kepentingan mereka.

Untuk pengembang perangkat lunak, ia menyarankan bahwa siapa pun yang menulis kode,  baik open source atau closed source,  harus menganggap itu akan dicuri dan belajar bagaimana menerapkan teknik yang dapat membantu mengungkap kasus di mana hal ini terjadi.

Untuk perusahaan, ia menyarankan agar mereka mendidik karyawan dengan lebih baik tentang kerangka hukum seputar rekayasa balik produk lain untuk keuntungan komersial. Pada akhirnya, dia berharap mereka berhenti mencuri.