В сеть слили говнокод Windows 10 — ожидается лавина вирусов и эксплоитов
Рукожопые программисты из Microsoft превзошли самих себя и умудрились профукать сборки Windows 10 для внутреннего применения и — что гораздо печальнее — исходный код штатных драйверов к Windows 10.
Shared Source Kit
Как случилась утечка? Работники MS просто взяли и выложили пакет Shared Source Kit, который выкладывать было нельзя, ибо он предназначен сугубо для внутреннего использования «спецами» фирмы. Разумеется, сторонние специалисты покопались во всём этом добре и ужаснулись — в руках хакеров такая информация приведет к беде.
Дело в том, что качество кода Windows и без того на печально известном уровне. Теперь создатели вирусов-вымогателей смогут найти дыры в штатных драйверах. А дровишки-то установлены на всех компьютерах с Windows 10! На сотнях миллионов компьютеров! После этого заражать и скрывать присутствие вредоносного софта станет значительно проще. Например, антивирусы уже не смогут легко обнаружить такой вирус, ибо полномочия работы в системе у вируса и антивируса будут равны.
Версия Windows 10 с отладочной информацией
Чтобы еще сильнее упростить работу вирусописателям, программисты Microsoft профукали специальную отладочную версию Windows 10. В ней оставлена символьная информация для отладчика. Вооружившись дебагером, злоумышленник сможет быстро, легко и в комфортных условиях находить многочисленные дыры в Windows 10 и использовать их для создания новых типов вирусов, троянов и иной киберзаразы. Спасибо, Microsoft!
Комментарии
Platon
24 июня, 2017 - 11:20
Microsoft будет вынуждена, либо:
1) срочно выпустить полностью переписанную с нуля Windows 11 - что маловероятно.
2) обьявить Windows 10 проектом с открытым исходным индо-кодом)))
reflexius
24 июня, 2017 - 23:41
Трудно представить, чтобы Microsoft открыла код последней системы добровольно :) Но, как говорится, шило в мешке не утаишь... И это такой неожиданный подарок всем независимым от АНБ и ЦРУ вирусописателям! Просто куча подарков под елку. Теперь любителям Windows стоит ожидать множество новых "сюрпризов".
Чингачгук
25 июня, 2017 - 10:37
Микрософту наплевать на эти пустяки.
Чингачгук
24 июня, 2017 - 14:53
Молодцы, товарищи капиталисты! :D
Чингачгук
24 июня, 2017 - 15:56
я не совсем понимаю логику.. Ну посмотрят код и что? Кстати некоторые считают линукс и решения с открытым кодом более опасными из-за того что взломщик может прочитать код.
И считают проприетарные системы более безопасными. То есть логически я могу сделать вывод из этой новости что открытый код более опасен так как злоумышленнику легче продумать взлом системы. То есть надо как то определиться — что более безопасно, открытый код или проприетарный?
Platon
25 июня, 2017 - 12:33
Разница в том, что код Linux/FreeBSD открывают для совместной отладки и аудита, исходный код в этом случае шлифуется как основным разработчиком, так и целым сообществом , мейнтейнеры сверяют аутентичность того, что попадает в бинарные пакеты — в этом залог коллективной безопасности и отлаженности систем с открытым исходным кодом.
В проприетарной модели доступ к исходникам имеет ограниченное число разработчиков и в этом есть основная проблема, с точки зрения защиты копирайта — плюс, с точки зрения безопасности — жирный минус, поскольку уязвимости могут быть скрыты годами, более того, разработчик специально может оставлять закладки для нужд разведывательных служб или сторонних заказчиков и данный факт остается скрыт. Когда такой код случайно публикуют, возникает угроза, достаточно вспомить, что пандемия криптора WannaCry получила распространение из-за использования эксплойта намерено созданного и сохраненного для нужд АНБ.
Одно дело - сознательно опубликовать исходный код и отслеживать все правки сделанные сообществом, другое дело по халатности просрать исходники проприетарных драйверов с дебагером и отчетами по уязвимостями и закладкам, которые сами разработчики тщательно скрывают.
Пользователь
25 июня, 2017 - 20:04
"пандемия криптора WannaCry получила распространение из-за использования эксплойта" — вообще-то история была из-за незакрытой уязвимости в Samba. Кстати, примерно такая же уязвимость была и в Linux.
BeLKa
27 июня, 2017 - 17:07
только в Linux не было пандемии... хотя серверов под управлением Linux много больше)))
Чингачгук
24 июня, 2017 - 19:30
Приведите примеры массового заражения открытых систем за всю их историю
Чингачгук
24 июня, 2017 - 20:04
андроид же открытый код и для него много вредоносных программ. Кажется руководитель сбербанка Греф назвал андроид самой небезопасной ОС, что меня удивило.
Некоторые утверждали что только винда дырявая а с линукс все будет ок.
Но с безопасностью на андроид тоже не все благополучно.
А некоторые специалисты прямо утверждают что открытые системы небезопасны, что их легче взломать так как код открыт
Platon
24 июня, 2017 - 21:11
Упрощенно, что такое Android — это ядро Linux в оболочке Java окружения.
Google создало собственный дизайн и инструментарий для разработки / портирования программ, но о повышенной безопасности речи не шло. Заражаемость Android определяется политикой проверки разработчиков, в Google Play любому можно добавить приложение, его безопасность (аудит исходного кода, репутация и реальный рейтинг издателя) никто толком проверять не будет, а искусственно накрутить рейтинг приложению элементарно, программы со скрытым вредоносным функционалом удаляют из каталога лишь когда прокатиться волна заражений. Здесь важную роль играет человеческий фактор — социальная инженерия.
Кто из хомячков вчитывается в перечень, запрашиваемых привилегий программы, которую они ставят на Android? Зачем Фонарику нужен доступ к контактам, смс и телеметрии?
Если бы в Android были только программы с открытым исходным кодом от действительно проверенных издателей — эпидемий вирусов было бы на порядок ниже, а если бы политика разграничения административных привилегий была бы на уровне дескопного Ubuntu Linux Android был бы более вирусоиммунным.
Чингачгук
24 июня, 2017 - 21:29
Так там все программы в андроиде запрашивают кучу разрешений, что же им не разрешать что ли? Начиная с 6 андроида правда можно потом поотключать разрешения, не знаю насколько это хорошо работает.
ОС на java должна наоборот быть безопасной, это же фишка java что выполняется в виртуальной машине, типа безопасный код
Platon
25 июня, 2017 - 12:24
безопасно выполнять каждый процесс в песочнице(гуглим Jailkit) но со смартфонами все специфично, устанавливая приложение пользователь соглашается с набором делегируемых этому приложению административных полномочий — если "калькулятору" или "фитнесс-органайзеру" дать привелегии на дозвон и отправку сообщений — пользователь сам себе злобный буратина. Отправит утилита 10 SMS на короткий номер, кто виноват Java или пользователь?
Чингачгук
25 июня, 2017 - 23:36
Я и говорю — "открытых систем" подразумевая соответствие их posix стандартам, которым android не вполне соответствует :)
Privaloff
26 июня, 2017 - 13:49
Много Вы знаете людей, способных читать и понимать исходники?
alien_
25 июня, 2017 - 01:44
Согласно /. , с внутренних серверов M$ утекло 32ТБ исходников ещё в марте. И это, наверное, не по вине самих разработчиков (зато именно по их вине в коде этой ОС огромное количество уязвимостей).
Чингачгук
25 июня, 2017 - 10:40
Есть ещё Семёрка и 8.1. Там безопасно.
Чингачгук
28 июня, 2017 - 14:20
Мне кажется 10 — это на минимум на 90% семерка и восьмерка, так что ни о какой безопасности речи быть не может. По сути просто поменяли интерфейс, добавили метро-ужас, оптимизировали и прикрутили телеметрию.
Пользователь
25 июня, 2017 - 15:26
Ссылку на архив можно?
alien_
26 июня, 2017 - 00:44
А зачем? Хотите лично убедиться в том, что код Windows 10 ужасен?
Согласно тому же /., исходники выложили на betaarchive. Но я думаю, что из к этому времени оттуда уже удалили.
Пользователь
26 июня, 2017 - 15:06
Да мне код неинтересен. Просто хотелось убедиться — "а был ли мальчик"?
Texnoline
26 июня, 2017 - 15:59
Мальчик был и кому надо уже слили код, за лавэ!;)
Пользователь
26 июня, 2017 - 20:05
Доказательства словам имеются?
Texnoline
26 июня, 2017 - 20:08
то, что ребята из betaarchive, быстро засуетились и не стали поддерживать распространение этих данных, говорит о том: или их купили, или припугнули исками! Это элементарно, Ватсон;)
Пользователь
27 июня, 2017 - 17:10
Понятно — доказательств словам нет..
Чингачгук
28 июня, 2017 - 14:18
Может теперь wine достигнет своего совершенства совместимости с win-приложениями
З.Ы. капча упоротая
Комментировать