В сеть утекли исходные коды операционной системы Windows 10 [маленькая часть]

    UPD Выяснилось, что theregister все сильно преувеличил.

    image

    По информации портала theregister.co.uk недавно произошла массивная утечка приватных билдов ОС Windows 10 и фрагментов ее исходных кодов.

    Массив из 32 терабайтов данных (в архивированном виде — 8 терабайт), состоящий из официальных и приватных образов, закрытой технической документации и исходных текстов, оказался загруженным на ресурс betaarchive.com

    Предполагается, что конфиденциальные данные в этом дампе были нелегально скопированы из внутреннего хранилища Microsoft приблизительно в марте 2017 года.

    По сообщениям людей, успевших ознакомиться с материалами внушительного архива, утекшие исходные коды в нем относятся к Microsoft's Shared Source Kit. Этот набор включает в себя исходники базовых драйверов Windows 10, стеков Wi-Fi,USB и PnP, драйверов систем хранения и ARM-версии ядра OneCore.

    На данный момент имеются все предпосылки того, что инцидент окажется не менее значительным, чем в свое время утечка исходных кодов Windows 2000.

    image

    В довершение этого «праздника», в утекшем массиве среди вполне официальных билдов Windows 10 и Windows Server 2016 были обнаружены и секретные экземпляры, которые никогда не предназначались для публичного доступа, а использовались инженерами компании для поиска багов и экспериментального тестирования.

    image

    По мнению Криса Уильямса, редактора theregister, Internet ждет новая волна эксплоитов и вирусов, использующих ранее неизвестные уязвимости в коде новейших версий Windows.

    Источник утечки и обстоятельства произошедшего пока не ясны. Представители компании Microsoft на момент публикации никак не про комментировали ситуацию.
    Поделиться публикацией

    Комментарии 98

      +6
      «No source code has been leaked other than the ARM shared source kit.»
      https://twitter.com/aionescu/status/878379371135946752

      Заявление администратора betaarchive.com
        +4

        Так они shared source и так раздают чуть ли не кому попало, только NDA подпиши. Для WinCE вообще был в свободном доступе, качай триальный platform builder да смотри.

          –10
          О, вот вовремя то как. Работу искал, а у микромягких теперь много вакансий освободится (минутка черного умора).
          +5
          А вот у большинства линуксов нет такой проблемы)
            0
            У них вообще все исходники по сети ходят.
              0

              Да не говорите, вообще кошмар. Безумные люди, ничего не боятся. Я даже процитирую кусочек статьи: "Internet ждет новая волна эксплоитов и вирусов, использующих ранее неизвестные уязвимости в коде новейших версий" (Linux).

            +2
            Незаметно украсть 8 терабайт данных… Безопасников вздрючат нехило за такой косяк.
              0
              32 Тб заметьте-с)
                0
                32 это распакованные. Вряд ли запаковали после украдывания.
                  0
                  Да, но трагедия в том, что угнано аж 32, а не 8 из… скажем… тех же 32 имеющихся вообще. Еще интересно узнать каков это процент из всего объема, судя по всему весьма и весьма ощутимый.
                    0
                    Я имел в виду, что 8 терабайт быстро не скачать и постоянная нагрузка должна была бы вызвать подозрение или у автоматики или у живых админов. Всё таки 8 терабайт даже на гигабитном канале долго тянулись.
                      –1
                      О, это да, это да, но тут от канала зависит, разумеется, лично у меня 60 мбит, и это чуть ли не минималка (!), сейчас с ходу не могу сказать сколько будет тянуться те же 8 Гб (торрентов на закачку пока нет), но, как Вы, возможно можете догадаться, минут 10-15, не более.
                        0
                        А 8 терабайт будут тянуться уже 10-15 ТЫСЯЧ минут.
                          0
                          Ах да, тут же терабайты, действительно…
                            0

                            Вполне могли качаться как раз с того же марта. За 3 месяца можно и незаметно скачать, полагаю.

                      0
                      Исходники Windows 2000 и NT4 судя по всему крали как раз в распакованном виде, так как их объём укладывался в объём болванки CD.
                      А нынешние терабайты скорее всего вынесли на жёстких, выкачивать столько по сети слишком палевно.
                        0
                        Причём одноразово на одном 8Тб винчестере.
                          0
                          Что ещё больше подталкивает на мысли об анальной каре безопасников. Хотя в UPD подписали, что ничего страшного, так что может и не украли ничего.
                    +6
                    Интересно, нет ли в этом архиве каких-нибудь закрытых ключей? Было бы интересно файлы валидной подписью MS подписывать.
                      0

                      Вы действительно думаете, что в микрософте все настолько плохо, что ключи для подписи бинарников там хранят вместе с кодом?..

                        +3
                        Я действительно думаю что если утащили одно, то могут утащить и другое. А потом заботливо добавить к архиву для полного комплекта.
                          +1
                          Одно дело — утащить исходники, к которым «по долгу службы» имеют доступ тысячи (а то и десятки тысяч) человек, в том числе на рабочих станциях (куда можно пробраться просто подарив кому-нибудь USB-вентилятор), совсем другое — утащить ключи, которые, скорее всего, живут не просто на рабочей станции, а заботливо засунуты в какой-нибудь TPM-модуль и просто так оттуда не вытаскиваются.

                          Да и потом: упыла часть (как я понимаю относительно небольшая: большая часть утекшего это бесконечные тестовые сборки Windows), то есть даже полного исходника Windows не добыли, а вы хотите, чтобы туда кто-нибудь «заботливо добавил» самое защищённое, что есть в Microsoft?

                          Ну нужно же соизмерять всё-таки…
                      +2
                      Практически каждый день происходят утечки каких-нибудь важных исходных кодов, пользовательских паролей, разного рода «приватной» информации о средствах безопасности и уязвимостях. Это навевает на мысль: вообще, есть ли ресурсы, которые аккуратно все эти архивы складируют? Возможно, в onion-е?
                        0

                        Вангую, что по примеру господина Сноудена файлы выносились кусками на флешке из сети, вообще не подключенной к интернету.

                          0
                          Был LeakedSource, собиравший утечки паролей и предоставлявший платный доступ к этим дампам, но его прикрыли.

                          Есть раздел с утечками на Leakforums, но «аккуратно» там и не ночевало.

                          В основном же, все хаотично лежит в торрентах
                          +6
                          Самое главное- ссылки то где?
                            +1
                            Давать прямые ссылки на утекшие исходники не совсем легально. Кроме того, я как участник проекта ReactOS не имею права их смотреть. Все, что я знаю, что архив слитых исходников лежал на ftp сайта betaarchive.com
                              –1
                              Это понятно, я конкретно вас и не прошу. И вообще, есть личка.
                              На betaarchive.com попасть сложно, увы, у моей учётки там нет прав на доступ к ftp.
                                –1
                                Ждем:) Надеюсь что появится на торрентах. Если кто найдет — кидайте в личку.
                                +2
                                Кроме того, я как участник проекта ReactOS не имею права их смотреть

                                В смысле?
                                  +6
                                  В прямом. Участниками проекта ReactOS внутренними правилами проекта запрещено смотреть в утекшие исходники Windows.
                                    0
                                    Спасибо, не знал
                                      –2
                                      А то вдруг сразу узнаете, как сделать что-то правильно вместо того, чтобы мучительно реверсить? :)
                                        +6
                                        В этом-то то и весь смысл Clean Room Reverse Egineering. Если потом будет обнаружено, что кто-то посмотрел как сделать «что-то правильно», вместо «мучительного реверсинга» — у проекта будут очень большие проблемы.
                                          0
                                          В этом-то то и весь смысл Clean Room Reverse Egineering.
                                          На самом деле нет. Если вы почитаете, то узнаете что смотреть можно и даже нужно — но вот только между человеком смотрящим в исходники и человеком, пишущим потом код должен сидеть адвокат. А у ReactOS денег на него нету…
                                            0

                                            Даже при наличии адвоката эти два человека не могут быть одним и тем же человеком.

                                            –2
                                            Так а зачем нужен «Clean Room Reverse Egineering» вообще как таковой? Выглядит так, что в проекте придумали себе кучу бессмысленных ограничений и теперь сами же от них гордо страдают.

                                            Напоминает тот случай с утёкшим драйвером для ExFAT. У вас теперь есть код, он работает, его можно скачать, скомпилировать и запустить, просто скажите спасибо, что он есть, и используйте его для того, чтобы сделать мир лучше. Это настолько просто.

                                            А концепция так называемой «интеллектуальной собственности» крайне несостоятельна.

                                            Давайте, минусуйте меня полностью за критический взгляд на вещи, я готов.
                                              +2
                                              У вас теперь есть код, он работает, его можно скачать, скомпилировать и запустить, просто скажите спасибо, что он есть, и используйте его для того, чтобы сделать мир лучше. Это настолько просто.
                                              Угу. А вероятность получить штраф в несколько миллиардов долларов — это вообще такая фигня, взял, открыл тумбочку, да заплатил — делов-то.

                                              А концепция так называемой «интеллектуальной собственности» крайне несостоятельна.
                                              Dūra lēx, sed lēx. Пока эта концепция носил силу закона и за её нарушение выкатыват немалые сроки — с ней приходится считаться.

                                              Давайте, минусуйте меня полностью за критический взгляд на вещи, я готов.
                                              С каких пор предложение совершить уголовное преступление с оценокой до шести лет называется «критическим взглядом на вещи»?

                                                –3
                                                Разработку можно вести и анонимно, было бы желание.
                                                  0
                                                  Вот, кстати, почему в .onion нет своего гитхаба, где можно было бы вот в таком вот анонимном порядке попиливать себе всякие оперы престо и вот такие кусочки винды, например — не понятно.

                                                  Я не к тому, что так делать хорошо, а к тому, что странно, что никто до сих пор этого не сделал, просто потому что мог.
                                                    0
                                                    В i2p есть. Ну, или был — сейчас нет под рукой запущенного i2p-роутера, чтобы проверить.
                                                      0
                                                      К сожалению, без гейта или зеркала в .onion оно для всех так и останется «вроде бы есть, но не могу проверить, потому что i2p нет». Думаю, ежели tor достаточно абьюзоустойчив для существования таких площадок как гидра, уж хозяевам даркнетового гитхаба вряд ли есть за что беспокоиться.
                                                        0
                                                        А чем Tor лучше i2p? Я и в .onion не могу проверить по точно такой же причине. Причём, если i2p у меня в своё время работал стабильно годами, то Tor, почему-то, так и не заработал. Даже в виде бандла.
                                                          0
                                                          Тем, что из нас двоих tor есть хотя бы у меня, а i2p ни у кого. Так себе репрезентативность выборки, конечно, но это, всё же, чуть лучше, чем ничего, учитывая, что это случайная выборка двух человек на профессиональном айтишном сайте.
                                                  0
                                                  взял, открыл тумбочку, да заплатил — делов-то.

                                                  Ой, можно подумать, что у вас тумбочки нет.
                                                    0
                                                    Ой, можно подумать, что у вас тумбочки нет.
                                                    Тумбочка есть, миллиардов долларов на штраф в ней нет.
                                                  0
                                                  Примерно по этой причине я никогда не буду пользоваться ReactOS.
                                                  По подобной причине я никогда не буду публиковать код под GPL-лицензией, если уж и отдавать на шару, то под BSD, MIT, As-Is.
                                              0
                                              Но реверсить не запрещено?
                                                0
                                                Запрещено писать код тем, кто реверсил. В этом и суть подхода с чистой комнатой- один реверсит и пишет спецификацию, другой по этой спецификации пишет код. В итоге придраться не к чему.
                                        +1
                                        32 терабайта (да даже 8)… и это только маленькая часть??? Хотел бы скачать, но некуда:)
                                        Ну я понимаю конечно что там еще и образы, интересно сколько весят чисто исходники и документация.
                                          –2
                                          Я теперь не удивляюсь почему Windows занимает так много места, я теперь удивляюсь почему так мало. 99.99% это видимо комментарии.
                                            0
                                            Там просто куча разных билдов разных выпусков ОС на разных языках. В МС билды собираются как минимум каждый день, счётчик билдов перевалил за 5млн. А ведь объём билдов растёт, от XPшных 600 мегабайт до современных 3,5ГБ. То есть объём всех сборок вполне может перевалить за петабайт. И хранить их для МС нет смысла, билды можно заново пересобрать по ревизии из репозитория.
                                            интересно сколько весят чисто исходники и документация

                                            Гигов 100, не больше.
                                              0
                                              И хранить их для МС нет смысла
                                              В некоторых проектах принято хранить каждый публичный билд (в т.ч. промежуточную информацию компилятора — pdb-файлы), чтобы в отладчике иметь возможность без проблем подключать присланные юзерами/телеметрией креш-дампы.
                                                +1
                                                Публичных билдов намного меньше, чем непубличных. pdb-файлы понятное дело, у МС лежат на отдельных серверах и доступны публично. Но отладочные файлы- это не сама сборка, и в сумме весят меньше.
                                              +1
                                              Тока исходники весят 300 гига у M$ даже с Git проблема из за этого было, репозиторий слишком большой был.

                                                0
                                                была недавно статья-гит репозиторий винды весит 300гигов
                                                Если в двух словах: кодовая база Windows состоит из 3.5 миллионов файлов; когда заливаешь ее на Git, получается репозиторий размером где-то в 300 гигабайт.


                                                  0
                                                  Примерно можно оценить по статье про GVFS. Статья на хабре
                                                  The Windows Git repository includes about 3.5 million files that weigh in at about 300GB when you check them into Git.


                                                  –2

                                                  Разработчики РеактОС ликуют )))

                                                    +11
                                                    Разработчики ReactOS в ужасе — теперь смеясь над качеством их проекта можно ещё добавлять: «Да вам даже исходники винды дали, а у вас за 20 лет разработки всё равно нихрена не работает»
                                                      +3
                                                      Они, очевидно, их не используют, как и прошлые утёкшие исходники и прочее, доступное по разным образовательным программам.
                                                        0
                                                        Ну и зря. Одно дело тупо копипастить (что нежелательно, да и ненужно), а другое дело посмотреть, понять как оно устроено и подумать как можно сделать лучше.
                                                          +3
                                                          как можно сделать лучше

                                                          Нельзя лучше, это сломает добрую половину win программ, если не все :)
                                                            +12
                                                            Если Вас хотя бы заподозрят в чтении исходников виндов, разработчики ReactOS не примут Ваш код, т.к. никакой Ваш код не стоит судебной тяжбы с MS.
                                                              –5
                                                              Знаете, Майкрософта бояться — реактос не писать:) Как они интересно будут узнавать что разработчик посмотрел на исходники? Как они будут определять что он посмотрел именно на исходники, а не на результат дизассемблирования например? Допросы с пристрастием или чтение мыслей?
                                                              При этом разумеется, еще раз повторю, речь идет не о тупом копировании утекших исходников в проект и даже не об их модификации.
                                                                +4
                                                                Как они будут определять что он посмотрел именно на исходники, а не на результат дизассемблирования например?
                                                                Дизассемблировать он тоже не имеет права, почитайте лицензию.

                                                                Допросы с пристрастием или чтение мыслей?
                                                                Вы Шерлока Холмса когда-нибудь читали? Чем расследование инцидента о том что кто-то, условно говоря, «спёр банан» принципиально отличается от расследования инцидентов о нарушении лицении?

                                                                При этом разумеется, еще раз повторю, речь идет не о тупом копировании утекших исходников в проект и даже не об их модификации.
                                                                Разработчики ReactOS — не Шерлоки Холмсы. Если вы все утекшие исходники выучите наизусть, но никому об этом говорить не будете, то ни Microsoft, но разработчики могут ничего не узнать. Но именно поэтому «если Вас хотя бы заподозрят в чтении исходников виндов», то вас пошлют «куда подальше».

                                                                Логика тут простая: если уж вы «наследили» достаточно для того, чтобы даже разработчики ReactOS догадались, что вы на исходники смотрели — то на самом деле следов реально существует больше и «специально обученные люди» их, скорее всего, найдут…
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                    +1

                                                                    Ну это же элементарно. У них на кончиках ушей есть специальные точки, которые активируются, если человек смотрел эти исходники.

                                                                      0
                                                                      По косвенным признакам. На кончиках ушей у них точек нет, но глаза-то у них есть?

                                                                      Фраза «тут у вас обрабатывается три случая, а в драйвере Microsoft их шесть» как бы однозначно указывают на то, что человек либо видел исходники, либо реверсил этот драйвер (что, как бы, в соответствии с лицензионным соглашением тоже низзззя).

                                                                      Но, как я уже сказал, особо копать на эту тему они не будут — им есть чем заняться и без того…
                                                                        0
                                                                        что, как бы, в соответствии с лицензионным соглашением тоже низзззя

                                                                        А если я не подписывал лицензионное соглашение и не соглашался с ним?
                                                                          0
                                                                          А если я не подписывал лицензионное соглашение и не соглашался с ним?
                                                                          Тогда вы имеете на руках контрафакт и не имеете никаких прав вообще.

                                                                          Полностью весь соответствующий раздел закона звучит так: Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения осуществлять действия, необходимые для функционирования программы для ЭВМ или базы данных (в том числе в ходе использования в соответствии с их назначением), включая запись и хранение в памяти ЭВМ (одной ЭВМ или одного пользователя сети), внесение в программу для ЭВМ или базу данных изменений исключительно в целях их функционирования на технических средствах пользователя, исправление явных ошибок, если иное не предусмотрено договором с правообладателем.

                                                                          Первый кусок выделенный жирным шрифтом запрещает вам смотреть на исходники если даже в код у вас нет на это соответствующей лицензии, второй — если у вас лицензия таки есть (все лицензии Microsoft, разумеется, «предусматривают иное», чем позволение просто брать и дизассемблировать код, которое якобы даёт вам закон).
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                    0
                                                                    А как в ReactOS определят, что присланный им код написан после просмотра исходников Windows, если участникам проекта ReactOS запрещено даже смотреть на исходники Windows? Если они не знают, как выглядит код MS, то как они смогут сравнить присланный код с кодом MS? Отказ в принятии кода под предлогом «плагиат на MS» автоматически означает знакомство с кодом MS участниками ReactOS?
                                                                      0
                                                                      Нет.

                                                                      Авторство кода легко проверяется, когда просишь разработчика объяснить, как работает указанный код, и почему он работает именно, так а не иначе.

                                                                      Плюс, в мире существуют люди которые видели утекшие исходники, при этом они не являются разработчиками проекта, их можно условно назвать «аудиторами».
                                                                        0
                                                                        Так плагиат вставляется копипастой в самом тупом случае, когда плагиатчик совсем уж неопытный. А когда программист со стажем берет код, разбирается в нем досконально, и реализует его своими руками с другими названиями переменных, классов и функций, изменив структуру кода — это плагиат? И как его доказать? Два программиста не могут придумать похожие вещи об одном и том же? Когда студенты реализуют алгоритм пузырьковой сортировки — они занимаются плагиатом или, всё-же, сами его пишут?
                                                                    –1
                                                                    а другое дело посмотреть, понять как оно устроено и подумать как можно сделать лучше.

                                                                    И тогда у них получится линукс :)
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                        0
                                                                        А чем ReactOS лучше?
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                    0
                                                                    Также надо заметить о споре, который (по полупроверенным данным) происходил в своё время между ReactOS- и Wine-командами по поводу того, можно ли использовать утёкший в своё время код 2000-й венды для своих целей. По информации из кулуаров Wine-реактосники решили, что можно смотреть, как оно там сделано, вайновцы же решили, что контачиться нельзя никак. Впрочем, информация подана на правах срача.
                                                                0
                                                                Отличное открытие автор! Отличный код. Хочу в microsoft. А критикует тот, кто ничего не делает.
                                                                  +2
                                                                  Что интересно, на заглавной фото на фоне JavaScript красуется.
                                                                    0
                                                                    Откуда сколько минусов комментаторам?
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                      0
                                                                      Как так утекли в марте, если в названии билдов 170603 — третье июня?
                                                                        0
                                                                        В USA форма даты YYDDMM, т.е. 2017 6 марта
                                                                          0
                                                                          В USA даты MMDDYY, а не YYDDMM. Я вообще не знаю ни одной страны, где YYDDMM (в японии, к примеру, YYMMDD, что удобно).

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                      Самое читаемое