Microsoft的Windows XP和Windows Server 2003操作系统的源代码以torrent文件的形式发布在公告板网站4chan上。4chan即那个因为完全匿名而备受欢迎的实时消息论坛。这是微软拥有19年历史的操作系统的源代码第一次在网上泄露。
此次事件的泄密者以绰号名为“billgates3”在网上高调宣称近几个月一直暗中收集源码,为这次泄密事件做准备。此外,他们还透露,多个Microsoft操作系统的源代码在黑客社区中已经流传了多年。
我为社区创建了这股‘洪流’,因为我认为信息应该是免费的,并且每个人都可以使用,我并不认可对自己的信息保密。既然他们(微软)说喜欢开源,所以我想他们也会喜欢通过BitTorrent来传播源代码。
此次泄漏在网络上的torrent文件的大小总为43GB,其中包括Windows Server 2003和Microsoft开发的其他较旧操作系统的源代码,包括:
- Windows 2000
- Windows CE 3
- Windows CE 4
- Windows CE 5
- Windows Embedded 7
- Windows Embedded CE
- Windows NT 3.5
- Windows NT 4
- MS-DOS 3.30
- MS-DOS 6.0
根据多处消息源表示,泄漏的Windows XP代码与SP1版本有关。torrent文件夹还包括一些Windows 10内部构建的源代码以及5月首次在线泄漏的第一个Xbox OS的源代码。
除了包含源代码外,该文件中还包含一个和比尔·盖茨的阴谋论有关的媒体文件夹(文件和视频)。但实际上不足为奇,从微软的历史上来看,确实有过利用公司运行的特殊政府安全程序(GSP)向全球政府提供其操作系统源代码的历史,该程序允许政府和组织控制对源代码的访问。
尽管Windows XP寿命已尽,于2014年正式停用,但是源码泄露可能导致更多尚未修复的漏洞被发现或者利用。然而,在全球目前仍约有1%的计算机运行该系统,存在一定的安全风险。
比如,攻击者可利用Windows XP源代码查找0day漏洞,并里用该漏洞劫持目前还在使用这一操作系统的PC,尽管只有1%,但数量还是不可忽视的。
一位Windows内部专家称已经在其中找到了微软的NetMeeting用户证书根签密钥。
对此,微软官方回应,正在积极调查此事。源码事件泄露之殇,可谓是大小企业“通吃”。就在今年7月底,曝出的全球50多家科技公司源码泄露事件也让人“抖三抖”,冷静之余,我们需要思考的是企业应该如何加强源码保护?
- 对源码进行分级,确保和明确重要源码的保护措施
- 精细化访问控制,对于员工的权限进行限制
- 做好监控和安全审计
