Twaalf landen krijgen inzage broncode Windows

Microsoft heeft afgelopen donderdag een twaalftal nationale overheden toegang gegeven tot de broncode van Windows, zo is te lezen bij Reuters. Eerder dit jaar was Microsoft het Government Software Program begonnen om overheden toegang te geven tot de broncode van Windows. Verschillende overheden hadden hierom gevraagd. Ze willen op deze manier controleren hoe veilig het OS is in relatie tot de veiligheidsstandaarden die zij zelf eisen. Op dit moment hebben twaalf landen toegang tot de code, waronder Rusland, China en het Verenigd Koninkrijk. Met een 35-tal andere landen wordt nog overlegd. Een paar jaar geleden zou het nog ondenkbaar geweest zijn dat de broncode ingezien zou mogen worden.

Microsoft Shared Source Logo Verschillende omstandigheden, waaronder de opkomst van Linux en open source, hebben Microsoft er echter toe gedwongen om de gevraagde openheid te geven. Overheden die de code mogen inzien, krijgen echter niet alles te zien. Volgens Jason Matusow, manager van het shared source program bij Microsoft, is hetgeen de overheden nu te zien krijgen het meest vergaande wat het bedrijf uit Redmond ooit heeft willen laten zien. "This isn't dipping a toe into the water", aldus Matusow. Ook bedrijven kunnen inzicht krijgen in de code van onder andere Windows 2000, XP en Server 2003. Hier is echter wel de voorwaarde aan verbonden dat het bedrijf minimaal 1.500 medewerkers moet hebben. Eerder had Microsoft al een speciaal licentieprogramma opgezet voor de broncode van Windows CE.NET en ASP.NET.

Reacties (42)

traviandus 1 augustus 2003 19:08

Ik kan me haast niet voorstellen dat de bij die overheden ook daadwerkelijk die code uit gaan pluizen op zoek naar fouten.

Als je achterdeurtjes e.d. wilt vinden kun je toch beter je traffic monitoren (op opbekende poorten) ipv de sources door te spitten.

Countess @traviandus • 1 augustus 2003 19:44

en jij denk zo een slime hacker te kunnen zien werken? dacht het niet.
als hij een veel gebruikte port open krijgt (80 BV, door een IE securatie gat) zie jij dat ECHT niet terug op je server.

en waarschijnlijk huren ze hiervoor experts in.

boesOne @Countess • 1 augustus 2003 19:53

Ik vind het juist wel een leuk idee van traviandus.
Je kan toch een windows box in een kamertje zetten, verse windows install erop. En dan elk pakket gaan sniffen en analyseren. Kom je vanzelf de rare info tegen, of de zwaar encryped info die schijnbaar richting de MS server moet...

gooddaddy @boesOne • 1 augustus 2003 21:46

Dan weet je tenminste dat het naar MS gaat. Waar die zware encrypted info van een Linux bak heengaat is mij nog onbekend

Arnout @traviandus • 1 augustus 2003 20:02

Iedereen kan packetsniffen, dus je kan er zowat vanuit gaan dat elk mogelijk pakketje allang gezien, geanalyseerd en gehacked is.

Verwijderd @traviandus • 1 augustus 2003 20:14

Als je achterdeurtjes e.d. wilt vinden kun je toch beter je traffic monitoren (op opbekende poorten) ipv de sources door te spitten.

Op alle ports, niet gebruik makende van Windows. Als er gebruik wordt gemaakt van encryptie heeft 't weinig nut. Tja en dan zul je zelfs met XP rare connects naar *.microsoft.com zien...

tweakerbee 1 augustus 2003 18:53

Kan de OSS wereld niet een soort van bedrijf oprichten met >1.500 'werknemers' zodat ze eindelijk fatsoenlijke win32 support in GNU/Linux in kunnen bouwen?

Verwijderd @tweakerbee • 1 augustus 2003 19:10

zodat ze eindelijk fatsoenlijke win32 support in GNU/Linux

Kan Microsoft zich niet eens aan standaarden houden? (Voorbeelden: ISO... RTF, MSIE, Encoding characters, CSS, Java, Joliet, non-POSIX, whitespaces/directory structuur, en vele anderen)

Waar precies doel jij op met 'fatsoenlijke win32 support' wat precies wil je supported hebben dat niet werkt?

PS: OSS wereld is meer dan GNU/Linux

msteggink: ja, en ze houden zich niet aan hun eigen standaard? Waarom Joliet als er al andere standaards zoals RockRidge zijn? Als men zich systematisch niet aan standaarden houdt en eigen standaarden ontwikkelt die niet gespecificeerd en gedocumenteerd zijn, is 't nogal lastig voor anderen om 't te implementeren.

tweakerbee: of dat belangrijk is, is behoorlijk subjectief. Waarom niet native? Er is meer dan enkel WINE. Daarnaast is het de vraag aan wie 't ligt dat dat niet snel gaat of niet goed werkt. En wat heeft dat met dit onderwerp te maken?

tweakerbee @Verwijderd • 1 augustus 2003 20:35

Gebruik van Windows programma's. De mensen van WINE strugglen nogal om die win32 API aan de gang te krijgen.
Met OSS bedoel ik natuurlijk meer dan GNU/Linux, was maar een voorbeeld OS.

msteggink @Verwijderd • 1 augustus 2003 22:33

Microsoft heeft Joliet uitgevonden =)

chris 1 augustus 2003 18:50

goede zaak.

ik denk dat waarschijnlijk wel stukken code zullen gaan uitlekken, helaas voor microsoft, en het zal deze ontwikkeling ook niet ten goede komen. Ik ben ook benieuwd of er nog bijzondere dingen aan het licht komen....

Mac_Cain13

@chris • 1 augustus 2003 22:02

Ik denk dat dat tegen gaat vallen, want alles wat schokkend is is meestal ook slecht voor de naam. Dus dat deel stript MS echt wel uit de code voor die openvaar word. Ze zijn daar echt niet gek en ik denk dat delen code die ze niet kwijt willen (te veel research of zoiets dergelijks) er ook wel uit worden gestript! Dat is natuurlijk niet helemaal netjes maar past wel bij het huidige beleid.
Het is een goed begin, maar ik ben niet direct overtuigt!

The Noid 1 augustus 2003 22:20

Als de code die ze te zien krijgen niet te compileren is tot exact dezelfde binaries als op de windows cd staat is het hele shared-source gebeuren zinloos. Er is dan namelijk helemaal geen garantie dat de source die je te zien krijgt ook echt de source is die gebruikt is voor het maken van de binary die op al je systemen draait. Ook al zou die source dan veilig lijken, dan zegt dat niet of de code die op je machines draait ook veilig is.

beetje wassen neus dus...

zaphod_b 2 augustus 2003 00:13

Gumkop blaatte zonder na te denken:

Wie bij de overheid gaat dat dan controlleren??? Gaan ze er een commissie opzetten ... Die domboos die ken bij de overheid weten amper wat een share is, echte it-ers zitten toch in het bedrijfsleven.

Onder welke steen leef jij? Ik vind dit nogal een flame naar de goede IT'ers die ook bij de overheid werken hoor

. Beetje nutteloos en kortzichtig. (ik werk zelf niet bij de overheid maar ken binnen de overheid prima IT'ers)

Anyway, ik vind het best dat Microsoft dit doet. Ik zie er weinig heil in. Ze geven alleen maar de code die intern door Microsoft driedubbel gedubbelcheckt is, nogal wiedus. Kortom, een wassen neus inderdaad.

Op zich best komisch om te zien hoe de reus uit Redmond zich in allerlei bochten wringt in een poging het OSS-tij te keren... Wat mij betreft een gevecht tegen de bierkaai, maar best lachen om te zien

stunn0r @zaphod_b • 2 augustus 2003 11:04

mjah gewoon weer een stukje marketing.. de overheden willen source code zien.. dan geef je ze toch wat source code.. effe oppoetsen en klaar

Verwijderd 2 augustus 2003 00:14

Wmah...

Wie controleert of die broncode ook exact hetzelfde compileerd ?

Het doel van de inzage in de code is immers meer duidelijkheid en veiligheid voor die overheden. Niet het aanpassen\hercompileren vd code. En MS zal hercompileren natuurlijk niet gemakkelijker maken.

Daar zullen ze vast niet aan beginnen. En MS kan zo diverse twijfelachtige spy en sabotage functies verwijderen uit de code. En voor degenen die beweren dat MS die niet implementeerd --> waarom krijg ik steeds pogingen tot verbinding op een hoge tcp of udp poort naar wustats.microsoft.com, crl.microsoft.com, en diverse rare ip adressen door explorer en Generic Host Process ? Ik heb op het internet daarnaar gezocht en vond NIKS. IK pingde ze, NIKS. Ik blockte ze uiteraard in mijn firewall, eerst eenmalig later permanent - en... vreemdgenoeg geen enkel probleem....

Het lijkt er toch wel heel erg op dat ze deze verbindingen willen verbergen cq op de achtergrond willen houden. En in ieder geval zijn die verbindingen niet nodig aangezien er geen probleem optrad toen ik specifiek díe dingen blockte, ook niet tijdens windows update. Ik kreeg niet eens een fout berichtje...

Dus: go figure....

Edit:

Ik zie in m'n logs ook nog c.microsoft.com staan, zo kun je wel doorgaan met vreemde hosts.....

Verwijderd @Verwijderd • 2 augustus 2003 07:51

Wie controleert of die broncode ook exact hetzelfde compileerd ?
Niemand, want het is al overduidelijk - én door Microsoft gepubliceert dat dát niet het geval zal zijn.

wustats = Web Log Analysis Counter
oa voor loadbalancing etc gebruikt imo.

Er zijn miljoenen hosts die je nog niet kent of niet met www beginnen, om daar een securitypunt van te maken zie ik het nut niet van in.
Bovendien heeft dat niets met source inzien te maken, want wie zegt jou dat het komt door Windows en niet door 3rdpartysoftware of de sites die jij bezoekt? Dan kun je beter een FW/sniffer neerzetten en kijken WIE de traffic maakt.

Verwijderd 2 augustus 2003 14:18

Wie controleert of die broncode ook exact hetzelfde compileerd ?
Niemand, want het is al overduidelijk - én door Microsoft gepubliceert dat dát niet het geval zal zijn.

Mag ik vragen wat jij dan denkt te hebben aan "de broncode" ?

Er zijn miljoenen hosts die je nog niet kent of niet met www beginnen, om daar een securitypunt van te maken zie ik het nut niet van in.
Bovendien heeft dat niets met source inzien te maken, want wie zegt jou dat het komt door Windows en niet door 3rdpartysoftware of de sites die jij bezoekt? Dan kun je beter een FW/sniffer neerzetten en kijken WIE de traffic maakt.

Daar zie ik het nut wel van in. Welke informatie word er dan daarnaar toe gezonden ? En waarom vraagt MS dit niet gewoon dmv een berichtboxje oid ? Waarom proberen ze de host te verbergen door geen ICMP binnen te laten ?

En als je mijn post eens beter had gelezen had je gezien dat dat verkeer door onderdelen van Windows word gegenereend (Generic Host Process, Explorer, en SYSTEM). Oook is het onzin te stellen dat dat door sites komt die ik bezoek, want die kunnen (gelukkig !) niet willekeurig sockets listen en/og connects uitvoeren op mijn pc ! Hooguit dmv een applet, maar dan voer je in feite al zelf een programma uit en de gevolgen zijn voor jezelf.

wustats = Web Log Analysis Counter
oa voor loadbalancing etc gebruikt imo.

Hoezo loadbalancing ? Dat heb ik toch niet niet voor mijn netwerkloze desktopje, en nogmaals: waarom krijg je niet gewoon de keuze en informatie waaróm, en hóe dit word gebruikt ?

maali 2 augustus 2003 23:33

krijgen ze er dan ook gratis een debugger bij?

Verwijderd 1 augustus 2003 20:00

[Ze willen op deze manier controleren hoe veilig het OS is in relatie tot de veiligheidsstandaarden die zij zelf eisen./i]

Is dit iets dat overheden doen?????

Verwijderd @Verwijderd • 1 augustus 2003 20:23

Ze willen natuurlijk wel weten of het veilig genoeg is om het voor overheden te gebruiken.

Verwijderd @Verwijderd • 2 augustus 2003 07:44

Ja, voor aanschaf van gegevenssystemen wordt gekeken of het wel voldoet aan de veiligheidseissen die gesteld worden.
Lijkt mij wel belangrijk ook, tenslotte wil je niet dat het opvragen van persoonlijke/burgelijke info niet even makkelijk opvraagbaar is voor een buitenstaander als het telefoonboek. Tenslotte heb je niet voor niets privacywetgeving (en om die te waarborgen zijn er veiligheidseissen)....

Of dit door de overheden zelf gebeurt of uitbesteed is meer een kostenvraag.

himlims_ @Verwijderd • 1 augustus 2003 20:24

die zullen zo iets uitbesteden aan bedrijfje x verw8 ik

EdwinG 1 augustus 2003 18:56

En toen stond in de 'vrijgegeven' code een regel commentaar met de naam "L Torvalds"

Op dit item kan niet meer gereageerd worden.

Twaalf landen krijgen inzage broncode Windows

Lees meer

Reacties (42)

Sorteer op:

Weergave: