Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 138
С нетерпением ждем утечек исходников в интернеты ))
с нетерпением ждём выхода отечественной ОС, о которой так много говорят )
Ну зачем, зачем спецслужбам, темб олее российским, исходные коды? Там что алгоритмы супер-шифрования зашиты?
Исходники начали открывать уже с 200х годов, но что-то торрентов с ними до сих пор не видно.
Большинство будет смотреть на эти коды как баран на золотые ворота.
я знаю чем мы потом займемся всем офисом в свободное время (:
Исходники ядра (или основная их часть по крайней мере), насколько я знаю, доступны легально.
Картинки у них на 192.168.11.2/images/images/
Молодцы, ага.
Молодцы, ага.
Скоро на всех трекерах рунета...
А где линк на торренты?
Завтра будет на горбухе! :)
странно, что с 2002 еще никто исходники XP не спер)
исходники помечены, так что MS сразу узнает, кто слил. Потому и нет их в интернетах.
Ну узнают, что это были «российские спецслужбы» — и что делать с этим знанием?
наверняка был заключен некий договор на передачу, подразумевающий какие-то санкции в таком случае. Возможен иск в суд и т.п.
В суд? На фсб?
Почему нет? Да хоть на правительство страны. Для того и существуют международные суды. Кроме того, наверняка в договоре закреплена личная ответственность конкретного человека/чина. Не сомневайтесь, уж кто-то, а юристы у MS шикарные, не валенки какие-нибудь, просто так интеллектуальную собственность не отдадут, что косвенно подтверждается тем, что исходников предыдущих продуктов в интернете нет, хотя они были у многих стран, в т.ч. и у Китая.
Оракл однажды пытался проверить лицензионность. Их чуваки на проходной с автоматами решили не пустить. А ещё есть великолепная ось, которая есть линукс с порезанными копирайтами (нет, не та, о которой вы подумали, а МСВС) и суд как-то тоже не особо чешется.
А если ФСБ их пошлет? США войну объявит? Прям троянский сюжет вырисовывается ))))
просветите, каким образом их метят? Незаметные комментарии в гуще кода?
или комментарии, или какие-нибудь ничего не делающие куски кода или еще как. Точно не знаю, да и никто не знает. Но т.к. процесс передачи исходников штучный, никто не мешает MS подойти творчески к этому делу.
ну можно найти два разных набора исходников и сделать diff =) что б оценить что они там поменяли.
Во втором наборе будут какие-то свои уникальные изменения, возможно еще часть пересекающихся. Вы же не знаете, какие из них были в оригинальном исходном коде.
Ну и что? Если сделать diff и стереть различия, нельзя будет понять откуда произошла утечка.
дело за малым, осталось договориться с спецслужбами сша/китая/гондураса, дабы те рассекретили свои копии.
Что значит «стереть различия»? Допустим в моем коде есть некоторые 5 строчек, в вашем их нет. Пусть в оригинале они тоже есть. Если я их удалю, то подставлю вас. Если это допустимо, то зачем тогда что-то мутить — можно просто слить чужие исходники.
Пусть есть K версий кода, имеющие N блоков с различным кодом. Из каждой версии возьмем произвольные N/K блоков кода (т.е. выполоним произвольное разбиение N на K частей). После этого уже будет невозможно определить кто именно является источником. Хотя можно заявить что источники — все. Но! Если источников от 4 и больше, то всегда (AFAIK) можно подобрать фрагменты так, что итоговый текст мог бы быть получен на основе данных менее чем K источников. То есть при 4-х источниках можно сформировать такой код, который потенциально мог быть получен любыми 3-мя из 4-х источников, то есть будет известно, что как минимум трое в сговоре, но не будет известно какие именно 3-е и нельзя будет ничего надежно доказать в суде.
Хм… тогда не проще ли слить чужие исходники?)
Да стотыщь вариантов :) Copyright Easter Eggs можно воткнуть куда угодно.
Например табами или пробелами отбить в разных файлах шифровку морзянкой, которая будет гласить «исходный код для передачи в фсб».
Вот яркий пример в картографии: wiki.openstreetmap.org/wiki/Copyright_Easter_Eggs
Посмотрите Examples — куча ссылок на несуществующие улицы, некоторые с говорящими названиями.
Что при попытке срисовать карту — однозначно идентифицирует факт кражи и источник.
Например табами или пробелами отбить в разных файлах шифровку морзянкой, которая будет гласить «исходный код для передачи в фсб».
Вот яркий пример в картографии: wiki.openstreetmap.org/wiki/Copyright_Easter_Eggs
Посмотрите Examples — куча ссылок на несуществующие улицы, некоторые с говорящими названиями.
Что при попытке срисовать карту — однозначно идентифицирует факт кражи и источник.
Атлас патчи слать будут? :)
вот интересно — похоже с 2002 года никаких исходников МС нам не давала, а все это время на винду выходила куча апедйтов, откуда мы можем знать что в апдейтах небыло соответствующих закладок? спустя рукава работают СБ шники:)
В госструктурах вообще работают?
Устройтесь туда и узнаете.
В филиал в Магадане… web.stcnet.ru/subsidiaries/
Старый анекдот, но…
Идет мужик по улице, подходит к телефону автомату, набирает КГБ, говорит: «плохо работаете». Через 5 минут доходит до следующего телефона, поднимает трубку, набирает номер: «плохо...», тут ему на плечо ложится рука: «как умеем, так и работаем» :)
Идет мужик по улице, подходит к телефону автомату, набирает КГБ, говорит: «плохо работаете». Через 5 минут доходит до следующего телефона, поднимает трубку, набирает номер: «плохо...», тут ему на плечо ложится рука: «как умеем, так и работаем» :)
ну исходники можно собрать и посмотреть, хотя сомневаюсь что в атласе это осилили но теоретическая возможность есть, а вот апдейты неуязвимы
можно же бинарно сравнить файлы, которые получились после сборки и в релизной версии. можно также ставить в гос органы и саму сборку.
Где то в статьях проскакивала тема про пиратский сервер не помню какой игры, дак вот там одна контора сравнивала бинарно HEX код к Excel ))))
первая ссылка из google
>> И в завершение «разбора» этого документа приведу еще один довод в пользу того, что вы прямо-таки обязаны его скачать и прочитать. При сравнении файлов в каталогах двух игр эксперт использовал три программы: файловый менеджер «Total Commander», бинарный редактор «UltraCompare» и (держитесь) «Microsoft Excel»… Как говорилось в одном пошлом анекдоте, «Таких номеров я и в цирке не видел».
>> И в завершение «разбора» этого документа приведу еще один довод в пользу того, что вы прямо-таки обязаны его скачать и прочитать. При сравнении файлов в каталогах двух игр эксперт использовал три программы: файловый менеджер «Total Commander», бинарный редактор «UltraCompare» и (держитесь) «Microsoft Excel»… Как говорилось в одном пошлом анекдоте, «Таких номеров я и в цирке не видел».
Бинарный код сильно различается от кучи факторов — версии компилятора, флагов, дефайнов, выставленных оптимизаций, упаковки, и много-много еще чего. MS не давала обязательств собирать свои продукты со строго заданными флагами, настройками и определенной версией компилятора. Так что всегда можно отмазаться «да это тоже самое, мы просто их хитро собрали».
К тому же теоретически закладки может и не быть в исходном коде, она может вставляться самим компилятором, причем этот факт можно скрыть, даже если у вас есть исходники компилятора:
cm.bell-labs.com/who/ken/trust.html
cm.bell-labs.com/who/ken/trust.html
Ещё windows постоянно проверяет цифровые сигнатуры своих компонентов, сильно сомневаюсь, что майкрософт светит китаю и фсб свои закрытые ключи. Получается, что получить рабочую версию, после компилятора возможно, только если бинарный код будет эквивалентным + добавить подписи от оригинального дистрибутива.
Смотрел доклад по этому поводу. В ФСБ сами собирают исходники. Предварительно оттуда вырезают все забугорные системы защиты информации и вставляют российские. Вырезают весь лишний код, который может сливать инфу в Инет (тот же проигрыватель Windows Media, например).
Затем эти сборки поставляются в ГосОрганы, обычные пользователи никогда их не получат, т.к. компания должна написать личный запрос в ФСБ с описанием, зачем она им и какую ГосТайну им защищать. И то не факт, что дадут. А стоит такая винда дороже обычной, т.к. приходиться платить за сертифицирование её.
Кстати обновления тоже проходят через ФСБ, и уже затем, сертифицируются и идут для обновления.
Затем эти сборки поставляются в ГосОрганы, обычные пользователи никогда их не получат, т.к. компания должна написать личный запрос в ФСБ с описанием, зачем она им и какую ГосТайну им защищать. И то не факт, что дадут. А стоит такая винда дороже обычной, т.к. приходиться платить за сертифицирование её.
Кстати обновления тоже проходят через ФСБ, и уже затем, сертифицируются и идут для обновления.
Тут возникает вопрос:
— А зачем там вообще винда?
— А зачем там вообще винда?
Вы серьезно думаете, что ФСБшники перехватят анекдот про Путина, который Вы рассказали соседу по аське, и пришлют за Вами пативэн? Думаете, им нечем больше заняться?
Вы серьёзно думаете, что США Вас не достанет, если хорошо зададутся целью?
сказки
Потому у них у всех IE6 и стоит.
Зачем? Пусть им дадут сертификат от freebsd.
ну вот, а вы переживали за мандриву) национальная ОСь, она рядом ;)
Наверное, все помнят, какие комментарии были в исходниках Windows 2000 :)
Очередной распил бабла, этому «Атласу» дали исходники, но только никому неизвестно, сколько там реально спецов, и сколько спецов в структурах, они вообще читают там код, понимают, что они читают? Я думаю, что это просто так для галочки, чтобы получить бабла, это формальная операция, на которой заработают миллионы, выписав бумажку майкрософту, что разрешено, и всё, при этом какой-то чиновник получит откат в 10ки лямов рублей… так происходит в Питере на сертификациях Линуксов и других ОС. Так что ребята, не думайте, что будет что-то особенное, в нашей стране ничего не делается без финансовой поддержки.
никто не читает гигабайты кода MS. Есть специализированные инструменты, которые в автоматическом режиме инспектируют код. Насколько они хорошо работают — вопрос отдельный.
Инструменты, небось, тоже предоставляет MS.
> никто не читает гигабайты кода MS
>специализированные инструменты которые в автоматическом режиме инспектируют код.
Напишу просто: толку от этого ноль, но деньги за сертификацию мы все равно возьмем.
>специализированные инструменты которые в автоматическом режиме инспектируют код.
Напишу просто: толку от этого ноль, но деньги за сертификацию мы все равно возьмем.
Кроме инспектирования кода, применяются специализированные виртуальные машины, которые анализируют поведение запущенных ОС и программ, выявляя подозрительную активность. Так что толк, хоть и небольшой, но есть.
Боже. Исходники. Атласу. Атласу. Исходники. Не, руки у них, большей частью, золотые, но, опять же, большей частью, и штаны им требуются с рукавами. Хотя, исключения есть.
ни одно ПО не может быть поставлено на компы обрабатывающие гостайну без предоставления исходных кодов на сертификацию отсутствия НДВ
Я бы спрогнозировал не то, что исходники появятся на торрентах, а то, что появятся новые приватные искплоиты для указанных систем.
Я очень поверхностно знаком, как работают с сорцами винды в одной подобной организации.
Там отдельное помещение, полностью экранированное. Сеть там только внутренняя и сервер с сорцами стоит там же. Все порты опечатаны, корпуса рабочих станций тоже. Входить с носителями информации запрещается. Ведется круглосуточная видеорегистрация. Очень строгий доступ только ограниченных людей. Белые столы, на которых ничего не спрячешь. Личные предметы на них лежать не могут.
И так далее.
В MS не дураки сидят.
Там отдельное помещение, полностью экранированное. Сеть там только внутренняя и сервер с сорцами стоит там же. Все порты опечатаны, корпуса рабочих станций тоже. Входить с носителями информации запрещается. Ведется круглосуточная видеорегистрация. Очень строгий доступ только ограниченных людей. Белые столы, на которых ничего не спрячешь. Личные предметы на них лежать не могут.
И так далее.
В MS не дураки сидят.
очень поверхностно
ну винда пока утекла вообще всего лишь только один раз за всю историю. Так что все же не дураки.
И под столом в удобной позе ловкача сразу шустрые ребята ловят.
Что бы открутить блок питания, надо сначала открутить видеорегистратор, сигнализацию и ответственных за помещение наблюдателей.
А открутив все можно вдруг обнаружить внутри порты тоже демонтирвоаны и залиты эпоксидкой :]
А открутив все можно вдруг обнаружить внутри порты тоже демонтирвоаны и залиты эпоксидкой :]
Это у вас блоки питания еще не приклеивали на резинки с герметиком… чтобы не шумели… О_о
А это вообще реально разобраться?
Учитывая, что в Windows бэкдор можно накатить первым же апдейтом через WU, смысл ковыряться в тех исходниках?
Учитывая, что в Windows бэкдор можно накатить первым же апдейтом через WU, смысл ковыряться в тех исходниках?
На машинах с гостайной инета быть не может. Установка любого софта должна быть согласована. Соответственно WU врятли присутствует.
На гостайне свет клином не сошёлся.
Зато представьте на минутку, что в случае конфликта вдруг откажутся работать ВСЕ компы в государственных (и не только) учереждениях. Что это значит? А это значит, что работа ВСЕХ этих организаций окажется парализована.
По сравнению с последствиями возникшего хаоса какая-то там гостайна покажется полной фигнёй.
Зато представьте на минутку, что в случае конфликта вдруг откажутся работать ВСЕ компы в государственных (и не только) учереждениях. Что это значит? А это значит, что работа ВСЕХ этих организаций окажется парализована.
По сравнению с последствиями возникшего хаоса какая-то там гостайна покажется полной фигнёй.
каждый апдейт на такие ОС также проходит инспекцию, и только потом одобряется. WU пользоваться нельзя, если хочешь сохранить «сертифицированность» ОС.
Т.е. пользователи сертифицированных версий не имеют возможности оперативно исправлять уязвимости в своем ПО
именно так. Такова цена за «сертифицированность». На мой взгляд — маразм, но ничего не поделаешь, пока у нас не будет собственной ОС, хотя бы доработанная до приличного уровня МСВС.
что изменит наличие собственной ОС?
Не потребуется инспектирование каждого апдейта, если разработчик ОС будет сертифицирован по ФСТЭК и ФСБ.
интересно есть сейчас такие разработчики которые могут выпускать апдейты без сертификации?
Вы не правы. Инспектирование каждого апдейта будет требоваться абсолютно всегда. Схема сертификации в России требует наличие некоторой независимой от разработчика софта структуры. Т.е. если некоторая испытательная лаборатория, имеющая лицензию для проведения сертификационных испытаний по ФСБ и ФСТЭК, делает какой-то софт, то она сама его не может сертифицировать ни при каких условиях.
Наличие собственной ОС позволит только использовать ее в более «крутых» структурах, как например МО, поскольку производитель такого софта обязательно должен быть отечественным.
Наличие собственной ОС позволит только использовать ее в более «крутых» структурах, как например МО, поскольку производитель такого софта обязательно должен быть отечественным.
Вот он какой — вендекапец.
а компилятор? на него исходники дадут?
гдето я видел уже срач по этому поводу…
гдето я видел уже срач по этому поводу…
месть за IPhone 4G, который запалил наших шпионов. Ждите облавы на шпионов в России :D
Вот интересно, сколько людей унесло флешки из Атласа в первый же день? :)))
Что-то сомнения у меня, что знания сотрудников Атласа достаточны для работы с ТАКИМ исходным кодом…
Билли вроде не дурак? Может они решили отдать им исходники на ассемблере?
А не проще хардварный файрволл с белым списком к компьютерам, которые надо защитить, приладить?
Может Майкрософт не настоящие коды дала, а переделанные или урезанные.
На самом деле исходники винды мало что дадут… разве что хакеры тут же найдут кучу багов и напишут пачку эксплойтов. А так всё равно те кто хочет крякнутой виндой пользоваться те пользуются… и исходники посмотреть не жаждут.
Ждём Wine 2.0 Ultimate
и на все апдейты тоже исходники шлют?
ФГУП «Научно-технический центр «Атлас» решает:
main page
линки на изображения вида:
main page
линки на изображения вида:
http://192.168.11.2/images/images/11/3/image.jpeg
В любом случае даже, если MS предоставит исходные коды всех платформ это просто фикция и распил бабла. Ибо к исходным кодам предоставляется доступ в режиме чтения на стороне MS через VPN-соединение, ни о каких сборочных серверах внутри Аталаса речь не идет. Вы представляете возможно ли вообще просмотреть сырки хотя бы одной видны и найти там уязвимость или закладку? В лучшем случае, если там еще остались люди с мозгом и знающие толк в обратном анализе, они будут использовать эти сырки для прояснения некоторых мутных мест при анализе бинарей в IDA. Я уверен, что это просто способ втюхивать беспрепятственно софт от MS органам госвласти и все.
Еще порадовал комментарий гражданина Алферова «в том числе для создания «электронного правительства»», ох и веселое нас ждет будущее, если электронное правительство будет реализовываться на этой платформе, да еще и Атласом, который уже провалил кучу проектов и во много показал уже свою не состоятельность.
Еще порадовал комментарий гражданина Алферова «в том числе для создания «электронного правительства»», ох и веселое нас ждет будущее, если электронное правительство будет реализовываться на этой платформе, да еще и Атласом, который уже провалил кучу проектов и во много показал уже свою не состоятельность.
че-то бред, не понимаю смысла. там где нужно используются свои протоколы и свои операционные системы, естевственно на линкусовых исходниках. зачем им понадобились глючные и странные продукты мелкософта не понимаю. интересно, зачем в действительности это все нужно
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Microsoft открыла российским спецслужбам все исходные коды