Microsoft geeft lek broncode Windows toe - Update (3)

Microsoft heeft op zijn website een kort bericht geplaatst waarin wordt bevestigd dat de source code die momenteel over het internet circuleert inderdaad een gedeelte is van de Windows 2000 en de Windows NT 4.0 source code. In het bericht wordt erop gewezen dat het publiceren van gedeeltes van de code illegaal is en dat Microsoft dit erg serieus neemt. Men zegt de publicaties aan het onderzoeken te zijn en daarbij samen te werken met de nodige instanties (lees: politie en/of FBI). Volgens Microsoft lijkt het er tot dusverre op dat het lek niet het gevolg is van een gat in het eigen netwerk of van een schending van de interne beveiliging. Eventuele gevolgen voor klanten zijn Microsoft niet bekend en men zegt de situatie te blijven volgen.

Waar de source code wel vandaan komt wordt niet vermeld, maar gezien het feit dat Microsoft bijvoorbeeld tegenwoordig ook overheden en sommige universiteiten inzage geeft in de code geeft aan dat de lek inderdaad ook uit een andere hoek kan komen. In een bericht op CNN.com zegt Marc Maiffret, analist bij eEye Digital Security, zelfs verbaasd te zijn dat het zo lang heeft geduurd voordat de code is gelekt gezien het grote aantal instanties dat er toegang tot heeft.

Op het moment ziet het er niet naar uit dat de lek van de source code een grote impact zal hebben. De hoeveelheid gelekte code is 660MB terwijl de volledige codebase circa 20GB is aldus Dragos Ruiiu op News.com. Met de source code kan je dus geen werkend besturingssysteem bouwen, maar het kan kwaadwillende personen wel meer inzicht geven in de werking van het systeem. Deze kennis zou dan bijvoorbeeld gebruikt kunnen worden om nieuwe virussen te maken. Volgens News.com is Microsoft hier niet echt bang voor, het zal namelijk geen gemakkelijke klus zijn om een fout te vinden in een paar honderd megabyte aan code. Microsoft vreest meer dat intellectueel eigendom wordt overgenomen.

Ondertussen maken sommige leden van de OSS-gemeenschap zich grappig genoeg óók zorgen over het plotselinge 'vrijgeven' van Windows-broncode, afgaand op een waarschuwing op Slashdot. Daarin wordt programmeurs van open source software dringend afgeraden de broncode te bekijken omdat daardoor het OSS-project waar de programmeur aan werkt mogelijk gevaar kan gaan lopen. De auteur vreest dat men door het bekijken van de code in principe later van plagiaat kan worden beschuldigd als code afkomstig van de aan Windows-code 'blootgestelde' programmeur in zijn OSS overeenkomt met Windows-code. De schrijver adviseert niet alleen om mensen die Windows-code gezien hebben uit het project te halen, maar geeft aan dat men voor de zekerheid eigenlijk ook programmeurs die recentelijk codes van de 'besmette' programmeurs hebben gezien uit het project moet tillen.

Update: Microsoft Nederland zei ons nu geen commentaar te kunnen geven. "Het is een zaak van Microsoft Corp.", aldus Robert de Mol van Microsoft. "Wel komen we vanmiddag met een statement". Men vernam het nieuws van de gisteren gelekte source code deze ochtend.

Update #2: Ondertussen beweert men op Slashdot dat de code afkomstig is van MainSoft:

Where it was ganked from:
There is a core dump file inside the windows 2000 (sp1) archive, it clearly shows that the source was stolen from a system at Mainsoft. The following url confirms that they did have access to the leaked code. http://mainsoft.com/news/press_releases/2000_3_22_ 01.html

The actual strings which confirm this:

PWD=/usr/ms/win2k_sp1/private/security/msv_sspi
DOMAIN=mainsoft.com
REPLYTO=eyala@mainsoft.com
ORGANIZATION=Mainsoft Co. Ltd.
MWBATCH_SERVER=lod:8000
MSOFTLM_HOST=@xor
MAINSOFTLM_HOST=@xor
XAPPLRESDIR=/il2/users/eyala/app-defaults
EDITOR=vi
BASE_LIBPATH=/usr/lib
[break]In een eerder persbericht van MainSoft staat in ieder geval dat zij inzage hadden in de code:[/break]Mainsoft Corporation, the leader in cross-platform solutions for the enterprise, today announced expanded terms of their WISE agreement with Microsoft Corp. The WISE agreement, signed in 1998, provides Mainsoft access to source code for Windows NT including the recently released Windows 2000. As part of the new terms, Mainsoft will receive additional source code for Windows to provide advanced graphical capabilities for industries, specifically the CAD/CAM and Visual Simulation markets, that require this functionality on Windows and Unix. Today's announcement underscores the two companies' commitment to cross-platform support of Windows-based applications through the Win32 APIs.
[break]Update #3: Inmiddels heeft Microsoft Nederland een statement uitgebracht:[/break]Schiphol-Rijk, 13 februari 2004 - Op donderdag 12 februari is in de VS bekend geworden dat enkele incomplete delen van de broncode van twee oudere versies van Windows - Windows NT 4.0 en Windows 2000 - illegaal op Internet zijn gepubliceerd. Dit heeft niets te maken met de verspreiding van virussen of de eerder deze week aangekondigde beveiligingspatch - reparatiesoftware - voor Windows. Met 'broncode' worden de programmaregels bedoeld die door ontwikkelaars worden geschreven. Deze code is niet direct te gebruiken op een computer, maar dient slechts voor het schrijven en aanpassen van een programma. Microsoft onderzoekt momenteel om welke specifieke delen van de broncode het gaat en wie hiervoor verantwoordelijk is. Het beschikbaar komen van delen van de totale broncode van deze versies heeft geen directe gevolgen voor klanten en gebruikers.

Er zijn momenteel geen aanwijzingen dat de gelekte broncode afkomstig is van Microsoft's interne netwerk. Microsoft stelt de broncode van Windows al enkele jaren beschikbaar aan beperkte groep klanten, waaronder overheden, partners en universiteiten. Dit is het zogeheten 'Shared Source'-programma. Inmiddels hebben ruim 3000 organisaties en overheidsinstellingen over de hele wereld van deze mogelijkheid gebruikgemaakt.

Deze kwestie heeft geen enkel verband met zaken die de afgelopen weken uitgebreid in het nieuws waren, zoals de verspreiding van door criminelen gemaakte virussen of de beschikbaarheid van een nieuwe beveiligingspatch - reparatiesoftware - voor Windows. Het veilig maken en houden van een PC is ook niet afhankelijk van de beschikbaarheid van broncode, maar van het gebruik van een Internet-firewall, het up-to-date houden van de computer en het gebruik van up-to-date antivirussoftware.

De zaak wordt door Microsoft onderzocht. Hangende dit onderzoek kan Microsoft Nederland verder geen nadere uitspraken doen over deze zaak.