Microsoft пытается разобраться, каким образом файл, содержащий защищенный исходный код Windows 2000, оказался опубликованным на нескольких подпольных сайтах и в чатах.

В четверг представитель компании Том Пилла сообщил, что отдельные фрагменты кода Windows 2000 и Windows NT нелегально опубликованы в интернете. «Третьи стороны не имеют права публиковать исходный код Microsoft, — сказал он. — Можете не сомневаться, что мы отнесемся к этому очень серьезно».

Microsoft ищет источник утечки и работает с правоохранительными органами. «Когда проведем расследование, мы примем все надлежащие юридические меры», — сказал Пилла. По его словам, компания не располагает свидетельствами того, что постинг стал результатом взлома корпоративной сети Microsoft, и заверил, что заказчики пострадать не должны. Что касается долгосрочных последствий, то Пилла отметил, что «это не компонуемый и не рабочий (buildable or executable) код… и это не весь исходный код».

Файл размером 203 Мбайт действительно содержит код корпоративной операционной системы Microsoft, но он явно неполный, говорит Драгос Руйу, консультант по безопасности и организатор секьюрити-конференции CanSecWest, изучивший листинг файла. «Сегодня он присутствует в сетях peer-to-peer и IRC (Internet relay chat). Он получил широкое распространение и теперь доступен каждому».

По его словам, 203-Мбайт файл разархивируется почти в 660-Мбайт, что почти в точности соответствует емкости типичного CD-ROM. Весь исходный код, по его оценке, должен иметь объем около 40 Гбайт, так что файл, распространенный в четверг, это лишь часть общей базы кода. «Он выглядит подлинным, — говорит Руйу. — Однако Windows из него скомпоновать нельзя. Это всего лишь фрагменты операционной системы».

Тем временем Microsoft изучает сообщения о том, что принадлежащий ей исходный код стал достоянием участников сетей обмена файлами. В четверг утром один источник обнаружил файл с кодом на веб-сайте, но прежде чем он успел его загрузить, этот файл убрали из интернета.

Публикация исходного кода привела в восторг интернет-сообщество, но насторожила экспертов. «В том, что исходный код попадет в случайные руки, нет ничего хорошего, — говорит старший менеджер центра экстренного реагирования антивирусной компании Symantec Оливер Фридрихс. — Его смогут изучать злоумышленники, и у секьюрити-экспертов не будет возможности находить уязвимости заранее».

Однако Microsoft отрицает возможность любых проблем безопасности. В заявлении компании говорится, что ее больше всего беспокоит возможность кражи результатов ее труда, а не угроза безопасности, создаваемая этой утечкой. «Если небольшой фрагмент исходного кода Windows становится общедоступным, то это проблема защиты прав интеллектуальной собственности, а не безопасности».

Microsoft старательно защищает исходный код разных версий операционной системы Windows, предоставляя его только университетам и госучреждениям, подписавшим соглашение о нераспространении кода. Рабочие версии операционной системы Microsoft не раз оказывались в интернете, но утечка действующего исходного кода случалась редко.

Билл Гейтс публично бравировал безопасностью Windows, однако компания боится раскрывать свой исходный код. В свидетельских показаниях на антимонопольном процессе старший вице-президент по Windows Джим Оллчин сказал, что открытие исходного кода может стать разрушительным для безопасности операционной системы. «Чем больше создатели вирусов узнают об антивирусных механизмах Windows, тем легче им будет создавать вирусы или выводить эти механизмы из строя», — сказал он в мае 2002 года. Оллчин сделал свои заявления, защищая компанию от юридических мер, поддерживаемых девятью штатами, которые требовали от Microsoft открыть исходный код Internet Explorer.

Опасения Оллчина не безосновательны, считает старший специалист по безопасности консалтинговой фирмы PiVX Solutions Тор Лархольм. «Посмотрите, сколько уязвимостей обнаружено в исходном коде, — говорит он. — Большинство Windows-серверов все еще работает под Windows 2000. Более того, в Windows 2000 много общего кода, перешедшего в Windows ХР и Windows Server 2003».

Однако другие эксперты уверены, что опасения по поводу того, что утечка приведет к массовому выявлению уязвимостей в коде, безосновательны. «Теоретически для хорошего инженера-аналитика весь код является открытым», — говорит секьюрити-консультант Microsoft, попросивший не называть его имени. Он добавил, что размер архивного файла, распространившегося в интернете, правдоподобен.

В конечном счете ошибка, сделавшая код Microsoft всеобщим достоянием, может привести к созданию преимуществ, аналогичных преимуществам кода open-source, говорит Руйу. «В краткосрочной перспективе это (выход багов на поверхность) проблема, но в долгосрочной может обернуться благом, — сказал он. — Код Microsoft может стать надежнее».

Роберт Лемос (Robert Lemos), CNET News.com

13 февраля, 2004, 11:51

ZDNET Россия