Комментарии 93
утечка исходных кодов произошла от одной из компаний или исследовательских организаций правительств некоторых стран, которые ранее получили доступ от Microsoft к этой информации с целью аудита безопасности
Теперь можно со спокойной душой никому исходники не давать. А если сильно хотят ознакомиться, то пусть приезжают в офис Microsft и там смотрят.
Если какие баги энтузиасты найдут и поправят это хорошо, но утечка таких масштабов может навредить пользователям актуальным версиям ОС.
Чем она может навредить? Исходники Linux/*BSD и кучи других проектов свободно доступны уже больше 20 лет — многим это навредило?
Проанализировать код такого объёма на предмет возможных уязвимостей — это просто чудовищные затраты по времени, к тому же требующие хорошей квалификации, а если учесть что на данные момент у того что работает на этом коде пользовательская база очень мала (и в основном без подключения к интернету) — это просто неэффективно.
Многие подсистемы, например, print spooler, не переписывались и через их уязвимости давно проходит эксплоиты, теперь их поиск и эксплуатация облегчаются. С линуксом это несоавнимо, ибо там исходники были изначально и подрбные уязвимости устранялись эволюционно.
Есть. Не 20 лет, но 17, к тому же это не просто дыра, это огромный кратер.
Можно и ещё нарыть, но найти такие дыры чисто изучением исходников очень непросто, особенно если не знать где искать.
Впрочем, надо отдать им должное — хоть и со скрипом, но ситуация с патчами улучшилась, а сами дыры… в продукте такой сложности, над которым работают тысячи разработчиков, неудивительно их наличие, а весьма широкая пользовательская база только способствует их нахождению — как злоумышленниками, так и самими пользователями.
Исходники Linux/*BSD и кучи других проектов свободно доступны
Если говорить о потребительском рынке, то фактически они не используются. Если говорить о серверах, то безопасностью обычно заведуют люди с пониманием того, что надо делать. Утечки винды опасны тем, что она широко используется большим кругом людей, которые знать ничего не знали о безопасности. К тому же майкрософт не спешит закрывать дыры в безопасности даже в актуальных версиях винды, не говоря уже о легаси
С учётом рынка мобильных устройств говорить, что Linux (Android, который, кстати, и сам по себе в основном опенсорсный) и *BSD (iOS, да и MacOS тоже) "на потребительском рынке фактически не используются" — ну, это такое. У iOS и MacOS, конечно, с опенсорсностью все не очень, но уязвимости в ядре у них вполне могут оказаться общими со, скажем, FreeBSD, не говоря уж о том, что в них хватает и других опенсорсных библиотек и сервисов типа openssh.
люди, утверждающие что линукс вокруг нас и всё работает, упускают важный момент — там где лугкс успешно рабоатет, он максимально изолирован от живого человека до степени фактического отсутствия этого самого линукса.
Все эти стиральные машины, роутеры и камеры используют линукс как низовую систему (загрузка, память, файловая система, сети, драйвера устройств). А вот интерфейс, обновление, половина прикладных модулей — всё максимально избавлено от линукса.
В андроиде тоже самое — только как базовый ввод-вывод. И гугл усиленно работает над тем, чтобы выпилить его оттудова.
Грубо говоря, аргумент «в опенсорсе проблемы с безопасностью менее страшны потому, что им пользуются только люди с пониманием и только на серверах» абсолютно несостоятелен.
андроид в целом все равно останется опенсорсным, даже если вместо линукса будет какая-нибудь фуксия
ТОлько вот гугл очень активно многие фичи перетаскивает в гуглсервисы, которые открывать никак не обязан, AOSP и так уже не особо юзабельный. если телефон нужен больше чем для позвонить. СЛишком много софта уже завязано на гугл сервисы.
Кстати, чтоб дважды не вставать — расскажите мне скорее, как вообще это всё можно изолировать, если оно изначально входит в состав системы. У меня ощущение, что Вы вообще не понимаете смысл слов, составляющих Ваши фразы.
Причем с линуксоидами оч весело, когда надо им — андроид это линукс, вон же как много кругом. А когда что то негативное — так сразу открещиваются — это не линукс.
К тому же майкрософт не спешит закрывать дыры в безопасности даже в актуальных версиях винды, не говоря уже о легаси— примеры есть?
Проанализировать код такого объёма на предмет возможных уязвимостей — это просто чудовищные затраты по времени, к тому же требующие хорошей квалификации
Баг найти и пофиксить это и правда сложно, а вот уязвимость найти и гадость сделать — так специалисты находятся.
Чтобы пофиксить, баг сначала нужно найти, но наличие исходного кода этому поможет только если поиском будут заниматься суровые эксперты, причём явно не один день и даже не год. Простой пример — Heartbleed, 4 года прошло с момента когда уязвимость появилась до её обнаружения, хотя код доступен всем.
Менее опасный баг в OpenSSH вообще почти 20 лет не был обнаружен (CVE-2018-15473), хотя казалось бы, занимаются этим совсем не школьники.
Так что нет, простая публикация кода — плохое подспорье, чтобы его прочитать, понять и найти уязвимость — нужны очень серьёзные усилия, знания и опыт, в то время как для "бытового" хакинга вполне можно фаззингом обойтись, а также пониманием того как безответственно относятся некоторые разработчики и админы к валидации данных и вообще к безопасности.
Ладно бы речь шла про конкретный модуль, где кода кот наплакал, но целая ось… миллионы строк кода, и каждую нужно "помыть, завернуть" — это не для кулхацкеров, а те у кого есть ресурсы уже и так давно имели этот код.
Вспомните попытку ввести backdoor в ядро Linux — если нечто подобное присутствует в коде Windows, то найти его "с нуля" — это совсем не то же самое что обнаружить модификацию нескольких строк кода в системе контроля версий.
Простой пример — Heartbleed, 4 года прошло с момента когда уязвимость появилась до её обнаружения, хотя код доступен всем.
Всё, что мы знаем, это что прошло четыре года до её публикации. А как давно она была обнаружена и начала использоваться, мы, к сожалению, не знаем. Это обратная сторона открытых исходников, если продукт популярный, то людей, которые там целенаправленно ищут уязвимости, чтобы исправить, намного меньше, чем людей, которые ищут, чтобы использовать.
Чем она может навредить?
Тем, что исследуют исходники в первую очередь те, кому это выгодно. То есть парочке энтузиастов и множеству профессиональных хакеров.
Причем у энтузиастов особо инструментов для исправления ошибок нет, так как исходники не публичны — слать пулл реквесты некуда. Можно только слать письма в Microsoft или писать в бложиках. Но крупное комьюнити на этом организовать не получится.
P.S. IMHO совсем не случайно именно через полгода-год после утечки, появились довольно неприятные вирусы/черви, которые использовали уязвимость ОС, а не социальное распространение через почту — типа Blaster, LoveSun и др.
Intel утечка пока ничем особо не навредила.
Что за ерунда? Публикация исходников дизайна ничем не может навредить компании
утечка таких масштабов может навредить пользователям актуальным версиям ОС.
Windows XP и Windows Server 2003 как-то не назвать актуальной версией во1х и во2х М$ это будет как раз только выгодно — чтобы занать на w10 тех кто еще сидит на старых…
Ранее 24 сентября на портале 4chan был опубликован торрент-файл размером 42,9 Гб, в составе которого находились исходные коды Windows XP и Windows Server 2003.Если речь про «Microsoft leaked source code archive_2020-09-24», то исходники XP/2003 там лишь в отдельном перепакованном архиве nt5src.7z, занимающем 2,54 ГБ. Всё остальное — иные, более ранние утечки вроде NT 4, CE и Xbox, которые на форчане искались и собирались в один торрент ещё за пару недель до внезапной утечки XP. Плюс всякие видео и архив с патентами на 27,5 ГБ.
Есть ещё зашифрованный windows_xp_source.rar, датированный 2008 годом.
Checksum error in the encrypted file windows_xp_source.rar. Corrupt file or wrong password.
ERRORS:
Unexpected end of archive
WARNINGS:
There are data after the end of archive
Path = windows_xp_source.rar
Type = Rar
ERRORS:
Unexpected end of archive
WARNINGS:
There are data after the end of archive
Physical Size = 20
Tail Size = 384951680
Characteristics = BlockEncryption
Solid = -
Blocks = 0
Multivolume = -
Volumes = 1
No files to process
Archives with Errors: 1
Warnings: 1
Open Errors: 1
Хотя если подумать, то всё вполне однозначно — пустой обрезанный архив и 300 мегабайт какого-нибудь рандома.Balling в вашей статье тоже пароль лучше поменять
Как собрать. youtu.be/8IyW-bwGQTQ
tools\razzle.cmd и создать файлы, которые потребует скрипт
tools\buildx.cmd /z
tools\postbuild.cmd
Сборка 3 часа на Windows XP. Ограничено cl.exe, он медленный.
Мечты, разумеется. На самом деле, правоторговцы костьми лягут, но не позволят такого создать, да и подводных камней в такой идее немало (хотя бы возможные утечки данных с хранилища), но… Пока что-то похожее не будет сделано — они так и будут сидеть собаками на сене.
Есть"версия", что множество кода кочукт из версии в версию ПО либо вообще без изменений, либо с минимальными. Так в вин10 может оказаться много кода из XP, часть из которого пришла туда из NT4, а то и 3.
Во-вторых, нельзя просто «отдать исходники». В продуктах такой сложности нет просто репозитория, к которому можно дать публичный доступ. Например, в своё время, разработчики из Opera это не осилили (как одна из причин).
В-третьих, там может находится большое количество стороннего кода, который открывать они не имеют права. И его нужно либо вычищать (что займёт много времени/денег/сил и сделает исходники неработоспособными) либо переписывать (что вообще адски дорого, сложно и нереально). Или разнообразные сторонние системы сборки, препроцессинга, запуска и пр.
В-четвёртых, есть так называемая «расширенная поддержка», за которую огромные компании платят огромные деньги. И в её рамках даже XP поддерживается.
Что именно в «совокупности систем» не даёт МС открыть исходники? (это ваше «во-первых»)
2. Если венду канпеляют и выпускают на DVD, значит есть чёткий процесс сборки сорсов — неважно, один там реп или много.
3. Какой в задницу «сторонний код, который нельзя открывать»?? Хоть один пример! Хоть один АКТУАЛЬНЫЙ пример того, что 30 лет назад писанные либы внезапно не принадлежат MS и имеют значние сейчас?
Строго говоря, ничего кроме жадности и тупости не мешает открыть исходники 7-ки. При этом эксплойты прекрасно создаются и эксплуатируются и БЕЗ исходников(!). Отсюда вывод: мелкомягкие ничего не потеряют, если откроют свой говнокод — наоборот, куча энтузазистов может найти дыры, которые MS и не снились.
Скрывать сорсы могут лишь лживые твари, потому что внезапно прямо в сорсах может сидеть что-то вроде «if (user == „FBI“) authorized = true;» :) Тогда да, MS всеми ягодицами прикрывает свои же бэкдоры и сколько их понаписано — одному богу известно.
Скрывать сорсы могут лишь лживые твари
Ага, а ещё отпетые негодяи не пускают переночевать к себе домой, а низкие подонки не дают покататься на своих машинах.
Мне кажется, коллега, у вас передозировка опенсурса. Нет ничего плохого в том, что кто-то не делится своими исходниками. Это личное дело каждого, и отнюдь не тупость.
А «личное дело каждого» — она перестала им быть как только стала доминирующей десктопной ОСью. Сейчас Венда — не просто «купил ОСь и поставил» — сейчас это целая инфраструктура и общий знаменатель взаимодействия. Поэтому из компанейского продукта она превратилась в проблему мирового масштаба. Как видишь, ни о каком «опенсорсе» тут даже речи не идёт — проблема куда глубже.
Просто M$ ещё до конца не понимает жалкость своих потуг держать всех за яйца в «облаках».
Здравствуйте, дорогой geekmetwice. Рады, что вы вышли из 20-летней комы, хочу вам кратко рассказать, что творится в современном мире:
1. Интернет поделен между крупными корпорациями. Почти весь поиск подмял под себя Google, и даже многие альтернативные поисковики вроде DDG работают через него. Есть ещё, правда, Яндекс и несколько аутсайдеров, но хрен редьки не слаще.
2. Мы уже не делаем странички-хомяки, рынок домашнего хостинга съел Фейсбук (а в Рунете — Мэйл.ру)
3. Телефоны бывают только двух видов, от Google и от Apple.
4. Крупнейший американский онлайн-магазин — Амазон, впрочем, он ещё не съел всех конкурентов, хотя активно движется в этом направлении.
Так что очнитесь и посмотрите, в каком мире вы оказались. И отвалите наконец от Майкрософт. Винда — не продукт жизненной необходимости вроде хлеба или там инсулина, и они действительно никому ничем не обязаны. Они не отбирают ни у кого купленную семёрку, и дали ей десятилетие поддержки. Что вам ещё надо? Передачу в общественное достояние коммерческого продукта, в разработку которого были вложены сотни миллиардов долларов за столько лет, подрывая продажи своих актуальных продуктов, и всё это просто ради того, чтобы некоторые чуваки были довольны, что могут пользовать ОС десятилетней давности на современном железе? Узколобость, говорите? ;)
Я бы позволил себе усомниться с вложением сотен миллиардов в разработку Windows, с учетом того, что капитализация MS только в этом году превысила 1 триллион USD. И хотя эти цифры едва ли сравнимы, всё же несколько сотен миллиардов это слишком большая сумма даже для такого монстра как десктопная операционная система от MS.
И хотя эти цифры едва ли сравнимы, всё же несколько сотен миллиардов это слишком большая сумма даже для такого монстра как десктопная операционная система от MS.
Сейчас операционные расходы виндового подразделения составляют порядка 30 лярдов в год. В предыдущие годы, конечно, меньше, но вы думаете, за 35 лет разработки они на несколько сотен миллиардов не набрали, что ли?
Вы бы хоть ссылкой снабжали свои утверждения, что ли… Но учтите, что операционные расходы — это не только расходы на разработку.
Вы бы хоть ссылкой снабжали свои утверждения, что ли…
Я просто погуглил «годовой отчет Майкрософт». Там не было конкретно издержек по подразделению, выпускающему винду, но был указан оборот по компании, чистая прибыль по компании, и оборот по виндовому подразделению. Простой пропорцией прикинул, что будет около 30 млрд. Понятное дело, что не точно, но меня интересовал порядок, а не точная цифра.
Но учтите, что операционные расходы — это не только расходы на разработку.
Не только, но это не суть важно. Это всё себестоимость продукта, и все они пойдут лесом, если продукт перестанет продаваться.
У M$ нет никаких продаж актуальных продуктов (Win10) — это говно впаривается под любыми предлогами и каналами, от предустановленной на ноуты, до БЕСПЛАТНОГО(!) обновления с семёрки — что за ерунду вы говорите про «продажи»? И факт тот, что даже забесплатно засовывая в рот и в зад юзерам своё говноподелие, MS едва достигла 50% установок десятки. ЭТО ПОЗОР. Коммерческий провал. Шляпа.
В свете этого эпик фэйла, очевидно, что семёрка останется ещё на очень много лет единственным надёжным другом на десктопе. Со всеми ляпами и дырами в ОС. И если быть честными с покупателями, то M$ не имеет никакого морального права «прекращать поддержку» этой ОС. Ну а если прекращает, то она обязана (опять же, чисто по-совести) отдать то, чем не пользуется и даже не собирается улучшать.
Просто помяните моё слово, запишите на стикер — M$ ещё со слезами на глазах вернётся к семёрке! Может, объявят что-то вроде 7.5 или «Extended edition», но им ПРИДЁТСЯ взять старые исходники и запиливать «улучшеную семёрку». В мире много идиотов и леммингов, создающих статистику для «активных юзеров 10ки», но громадная толпа профи категорически не согласна и с ними придётся считаться.
PS
Сии слова пишу с 7x64 и в ближайшие годы не слезу с неё даже под дулом.
А причём тут вся эта пурга про кем поделён тырнет?! :))
Да притом, что ругать майков, в свете того, что все вокруг, и вы в том числе, давно пляшут под дудки десятка подобных корпораций — занятие откровенно дурацкое. Майкрософт давно не монополист, и отнюдь не самая плохая среди них.
У M$ нет никаких продаж актуальных продуктов (Win10)
Это тех нет, которых в прошлом году на 40 миллиардов долларов было продано? Да, однозначно коммерческий провал.
В мире много идиотов и леммингов, создающих статистику для «активных юзеров 10ки», но громадная толпа профи категорически не согласна и с ними придётся считаться.
Даже если закрыть глаза на то, что вы называете идиотами и леммингами ваших пользователей, благодаря которым, кстати, у вас есть работа, то их соотношение к громадной толпе профи примерно 1000:1. У ваших ретроградных профи нет ни единого шанса :)
Сии слова пишу с 7x64 и в ближайшие годы не слезу с неё даже под дулом.
Слезете, как только для вашей очередной пишущей машинки не найдётся какого-нибудь важного драйвера.
Я, честно, не смотрел исходники винды, но уверен, что большая их часть писалась в лохматых годах, когда самого понятия open source как такового не было, интернет был богатой причудой по телефону, а библиотеки распространялись в виде исходных кодов, в каждом файле в комментариях в самом начале была указана лицензия и правообладатель кода. Тогда даже CVS было чем-то невероятно продвинутым. А уж сборка всего этого была сложнейшим делом и под каждую систему приходилось использовать свою специальную версию компилятора.
К тому же, даже если исходники будут открыты, Вы не сможете утверждать, что они именно от той версии, которая есть у Вас (и которая якобы с бэкдорами) — так что это Вам ничем не поможет. Да и эти бэкдоры вполне определяются и без исходников. А hearthbleed даже с исходниками 5 лет не находили.
И опять же, не забываем, что авторскими правами обладают не только исходные коды, но и графика, тексты и пр. Вплоть до патентов на оформление и поведение отдельных элементов на экране. А благодаря Микки-Маусным законам копирайт на это всё может быть под сотню лет.
Похоже этот "слив" хорошая новость для разработчиков ReactOS и Wine
Нет, они же должны игнорировать этот и другие сливы, чтобы сохранить легальность своих продуктов.
Это не проблема. Один программист смотрит коды и ставит задачу (но не программирует). Другой программист НЕ смотрит коды, но получает задачу от первого и программирует.
По-моему, тут можно прийти к довольно размытой границе, и в гипотетическом споре победит уже тот, у кого адвокат дороже. Поэтому, чтобы не идти по этой скользкой дороге, ReactOS и Wine разрабатываются по принципу "чистой комнаты". Но я бы с удовольствием послушал, что они сами об этом скажут.
Ох, лучше бы кто-нибудь исходник Windows 7 слил. Система отличная, а поддерживать перестали. Было бы здорово, кто-нибудь обязательно бы сделал годный форк.
«6 августа 2020 года разработчик и IT-консультант из Швеции Тилли Коттманн (Tillie Kottmann) выложил в сети ссылки на файлообменный сервис MEGA и магнет ссылку на торрент с 20 ГБ исходных кодов прошивок процессоров и внутренней документации компании Intel, включая отладочные инструменты, схемы, драйверы, обучающие видео.»
Это не соучастие в сговоре по шпионажу?
Соучасти надо доказать.
Соучастие — сознательный и умышленный процесс вроде как. И общий умысел, желание конкретный результат получить. Вот если мы, например, договорились, что я ломаю, а вы обнародуете, то это соучастие нас во взломе и обнародовании. А если я сломал, выложил в даркнете, вы купили и обнародовали, то я виновен во взломе, а вы нет. С обнародованием отдельно нужно разбираться. В частности, если авторские права не нарушены (информация не является произведением, например), то вроде и предъявить вам особо нечего в теории.
Для оценки возможного ущерба была создана комиссия, включавшая представителей ФБР и АНБ. Согласно выводов комиссии, в исходные коды готовившейся к выпуску новой Windows 7 вероятнее всего изменений хакером внесено не было.
На их месте я бы официально выложил исходники на GitHub, чтобы принимать исправления, раз уж так получилось и раз уж некоторые компоненты могут использоваться в Win10.
Между утечкой и официальной публикацией есть принципиальная разница — вбелую утечку использовать нельзя.
Не понял. Нельзя пользоваться утёкшими исходниками, даже если они теперь официально открыты?
Патенты живут 20 лет (это про технические решения в коде, в РФ такое не существует, в США — существует). Это, грубо говоря, защита от «подсмотреть как сделано, и написать своими словами». Исключительные права же сохраняются 50 лет и более (в зависимости от страны) после смерти автора. Это про «использовать код как есть, без переписывания», в том числе и в РФ.
А кто их официально открыл?
Утечкой пользоваться нельзя законно. А вот официально открытым можно. Поэтому не открывают после утечек.
Раз уж вы не первый, кто не понял мной написанное, попробую снова.
В этой серии ОС находили так много уязвимостей (не имея исходников), что часто тут на Хабре встречал кличку "решето".
Теперь злоумышленникам доступны исходники, и раз в Win10 много чего используется с предыдущих версий ОС, то новые уязвимости злоумышленникам станет находить легче.
Вы хотите, чтобы Микрософт всё так и оставила будто ничего не было?
Исходники полагаю всем не одинаковые раздали, так что найти откуда утекло проблем не составит
Если же весь этот шмот исподников будет ещё и компиляться без проблем, можно и на Шекспира замахнуться — сделать ОДНОЮЗЕРСКУЮ ось (какой она и должна была быть), попутно выкинув говённую секурити и написав нормальную.
Короче, глупо «замораживать» коды, которые люди будут использовать ещё минимум лет 10! Нам нужна надёжная ось, без FBI-вставок и тупых бэкдоров.
Microsoft начала внутреннее расследование утечки исходных кодов Windows XP и Windows Server 2003