微軟 Windows 10 32TB 代碼泄露有什麼後果?
32TB of Windows 10 internal builds, core source code leak onlineStatement regarding The Register
更新:
微軟今天還confirm了……
Microsoft confirms some Windows 10 source code has leaked更新2:
Windows 10 source code leak is an embarrassment for Microsoft
那麼多人邀我回答這個問題,我一句話不說,大家又不高興。那我就搬運一下我在另一個問題的答案吧
32 TB 的 Windows 10 內測鏡像以及部分核心源碼遭到泄露會對微軟造成哪些影響?6月25日補充------
看到評論區有爭議,ReactOS自述是與Windows二進位兼容的,最初是95開始的,後來是NT。04年微軟發生源碼泄露事件,大部分NT4源碼和小部分Windows 2000源碼泄露,波及到ReactOS。
在包括美帝的很多國家,逆向工程有個凈室原則,在這個案例里大意是你想重新實現Windows是可以的,但是參考過NT的代碼必須得重寫,還必須得由沒看過那些泄露源碼的人重寫。所以ReactOS有了06年那次審查。
個人理解,ReactOS肯定參考過泄露的NT源碼,不然的話審查到07年底就結束了,但是ReactOS開發又過了很長時間才重新開始,內部很多實現方法得重寫。ReactOS和Windows的實現方法可能有部分重合,但經過06年的那次審查後,我認為就不能將其稱為Windows的衍生系統了。
現在看來,Windows源碼泄露對開源社區不是什麼好事,微軟又沒有宣布Windows開源。ReactOS這就屬於自證清白,即使我認為它並不清白。
以下為原答案------
NT泄露源碼後對正在開發的ReactOS造成了很大影響,後者不得不中斷開發配合調查,好幾年才緩過來。
就算 Windows 源碼全部泄露了,搞國產系統的人估計都看不懂。。。所以,想拿 Windows 泄露的源碼搞國產系統根本就行不通。
題外話:據圈子裡的 dalao 說,巨硬專門雇了幾個老人(當初參與早期 NT 開發的)來解釋 Windows 源碼中的某些部分,因為這部分源碼已經有幾十年了,其他人根本就不會用(感謝 @Wenyin Root 的指正,也就是這位 dalao )。。。
1、我認為代碼應該沒有這麼大,32TB是個很可疑的數字,除非包含了中間的編譯結果以及各種編譯生成的東西和資源文件,又或者是包含了所有的歷史版本,否則怎麼也不可能有這麼大的代碼。
2、即便代碼泄露也不會立即爆出多少0day漏洞,首先,32TB的代碼(如果真有)讀完都需要花幾輩子的時間。其次,Linux開源的也沒見天天分析代碼找出漏洞(當然找出來了一般都藏著或者進入地下黑產)。現代軟體的安全性不取決於代碼的保密性。
如果是真的,32TB恐怕是把這幾天的build也拿走了吧,才能這麼大。不然光是代碼,最多幾個TB。
曾經有多少新聞,爆出來說這個泄露了,那個泄露了。我千辛萬苦下載來,準備研究的時候,發現壓縮包里,全是葫蘆娃。
這次即使是真·資源,我也不關心,因為我所有設備加起來也沒有32TB的空間。
或者,我千辛萬苦把設備升級了,萬一是32TB的葫蘆娃。我豈不是很難過。
說是32T源代碼的,你們對力量一無所知。
32T的源代碼是什麼概念呢,32T一共3.2e+13個char,按照code style,每行80個char,一共4e+11行 (實際每行不可能寫滿80個char)。
目前微軟一共五萬個engineer,假設平均工作年齡十年(實際肯定沒到),裡面一半人在寫windows 10,平均每人每年寫的代碼行數是4e+11/25000/10= 1600000,一百六十萬行,平均每天四千多行。這還是在一年365天無休,不考慮修改,不考慮重構,每人每天給代碼庫增加4000行代碼的情況。
我覺得這個效率除了輪子哥都做不到,然而輪子哥只加入微軟兩年,還是在office部門,所以想看32T源代碼的可以洗洗睡了。
//---------------------------------分割線---------------------------------
我不是說微軟不可能泄露32T的資料,只是說這32T不可能是源代碼。
至於說加上系統資源文件的,也是不太可能。資源文件的壓縮率是很低的,系統見到的圖標,音頻等大部分都是使用的原文件。而win7安裝系統大小是20G左右,滿打滿算win 10也就20G的資源文件。
寫這個的目的是想讓大家對32T的源碼有個基本概念,不要聽風就是雨,還是要有自己的判斷。
linux看了會沉默,android見了會流淚
win10發售以來最大利好說的真給你32TB資源(為了嚴謹,不全是代碼)就能研究出一個國產系統一樣
單源代碼估計沒這麼大 算上beta版本泄露的話會有的
BA的聲明顯示,源代碼只有1.2G,已經撤掉
但是3月份同時收到了一大批的Windows 10泄露,包括ARM64 Windows Server,內部build的debug symbol,還有w10m的OEM部署包,這一堆估計有32t,都是二進位代碼,這些還不會撤。畢竟BA就是收集各種泄露和公開發布beta的地方
PS: ARM64的Windows用QEMU能跑起來 裡面的syswow64是x86代碼 sysarm32才是32位ARM代碼 不過泄露的版本還沒有完整的x86模擬器
32T=32*1024G=32*1024*1024M Bytes
假設有100Mbps專線,保持滿速10M下載,那麼:
32*1024*1024M/10M=38.8天
小白強答一波。
新聞源頭:Heaps of Windows 10 internal builds, private source code leak online
確實非常勁爆,我這裡大略捋一下:
some 32TB of official and non-public installation images and software blueprints that compress down to 8TB – were uploaded to http://betaarchive.com
有人懷疑說怎麼可能有 32 TB 那麼多?即使壓縮完畢還有 8 TB?
it includes the source to the base Windows 10 hardware drivers plus Redmond"s PnP code, its USB and Wi-Fi stacks, its storage drivers, and ARM-specific OneCore kernel code.
In addition to this, top-secret builds of Windows 10 and Windows Server 2016
The confidential Windows team-only internal builds were created by Microsoft engineers for bug-hunting and testing purposes, and include private debugging symbols that are usually stripped out for public releases.
prerelease Windows 10 "Redstone" builds and unreleased 64-bit ARM flavors of Windows.
multiple versions of Microsoft"s Windows 10 Mobile Adaptation Kit
可以看到涉及 win10、server2016、mobile arm、secure boot 固件等,既包含原生代碼,也有硬體相關驅動,也有 build 的安裝鏡像,還有工程師 debug 和 test 生成的臨時文件,簡直一鍋色香味俱全的大雜燴。
betaarchive.com 管理員證實確實有用戶上傳了嫌疑文件,但只上傳了 1.2 GB。
The folder itself was 1.2GB in size, contained 12 releases each being 100MB.
而且管理員獲知消息後迅速刪除了相關文件,並表示願意配合微軟進行後續調查。Statement regarding The Registeramp;amp;amp;amp;amp;amp;#x27;s article
所以目前可以肯定的是:
泄漏肯定發生了,微軟發言人也證實了這一點。只是對泄露文件的確切數量有爭議。
至於什麼時候泄漏的?根據 betaarchive 記錄,這些文件最早於 6 月 19 號被上傳至 FTP 空間。黑客獲取這些文件的時間只會比這更早。
代碼從哪泄漏的?
The leaked code is Microsoft"s Shared Source Kit
The source kit is supposed to be available to only "qualified customers, enterprises, governments, and partners for debugging and reference purposes."
source kit。source kit 是微軟與合作夥伴如聯想、NVIDIA 等共享 windows 代碼的平台,畢竟有許多硬體設備需要共同開發驅動,調試適配。但萬萬沒想到某個豬隊友把代碼泄露出去了……當然肯定也有微軟自己許可權管理不善的責任。
總之呢,代碼是泄漏了。由於對 source kit 的運作模式並不十分清楚,以下僅為不負責任的一些猜測:
1、應該不會包含 windows 內核代碼。內核這東西很穩定的,不會三天兩頭改,也沒必要開放給合作夥伴看。
2、不太可能包含 windows 的大部分代碼。微軟不至於傻到讓合作夥伴訪問全部機密,所以你並不能從泄漏的代碼 build 出一個 win10 來 ?_?
3、但泄漏的代碼仍然具有超強的破壞力。固件、驅動這類東西還是相對底層的,要調試良好勢必得開放一些底層許可權和代碼。一旦被黑客發現漏洞並利用,你可能 30~50 年內都毫不知情。OEM 廠商驅動的安全性很大程度上來源於它的閉源性,現在獲得原始代碼,說不定隨便搞搞就是「藍瓶的鈣,好喝的鈣」。另外可能包含系統/驅動等數字證書,密碼密鑰等一堆敏感信息,這些殺傷力也不小。若是藉由這些訪問到更上游更內核的代碼、信息…… 越往下想越深感被支配的恐懼 Σ( ° △ °|||)︴
暫時就這樣吧,關注事件後續發展。
閉源軟體的源代碼只是那麼幾個人盯著,而開源或泄露了的軟體的源代碼卻是無數雙眼睛盯著。
所以,「開源軟體比閉源軟體安全」是個大寫的笑話。
不要聽風就是雨。
32T中只有1.2G是源代碼。而這1.2G里包含了12個版本,每一個版本也就100M。 這部分源代碼是OEM及相關開發人員可以訪問的。影響會有一些,但是不會特別大。這次泄露的源碼,包括USB、WiFi驅動,以及可以在ARM上運行Win10 x86的OneCore。最後一部分劃重點。
英特爾:微軟在Arm上跑x86是侵權!微軟:我也不知道為什麼,用戶就能在ARM上運行x86了,我們什麼也沒幹呢。英特爾:mmp誰有功夫研究這個,開源代碼浩如煙海,看都看不過來,咱又不是微軟員工,必須開發維護。
中科院某院士再次宣傳win10不安全論,並表示自主研發系統取得突破性進展。
–––––––––
BAT等各大IT公司,紛紛發布自主研發操作系統,可兼容.exe程序。微軟官方確認部分Windows 10源碼被泄露 容量大約1.2GB
微軟官方確認部分Windows 10源碼被泄露 容量大約1.2GB給廠商用的代碼,主要是跟硬體驅動有關吧,影響應該不大
Linux內核爆不爆災難級漏洞,我說那肯定是爆的,比如說最近的臟牛。開源軟體爆不爆災難級漏洞,我說那肯定也是爆的,比如說心血。
那麼我們的開源社區和開源理念是不是出了問題呢?
沒問題,社區積極響應,下游積極修復,我們的整個國際互聯網還是真安全的。那隔壁畢源的系統,他們發生了勒索病毒,怎麼樣,他們的人民生活在水深火熱之中啊,但是系統的問題么?他們不也早就放出漏洞了。
那又有別的記著要問了,Linux發行版也有勒索病毒,但我要說,你見過哪裡有反饋大規模勒索的現象?
開源閉源到底安不安全,我覺得不是絕對的嘛,管理不善,開發不積極的開源軟體,就算用戶給你提出漏洞信息,也不見得會被積極修復。閉源軟體出了漏洞,積極修復,及時的向用戶知會,也可以防範於未然嘛。
我們的軟體廠商,我們的開發者,都應該不忘初心,加把勁,出出汗,擼起袖子加油幹嘛。
我想到個作為代碼防盜最後一道防線的辦法——每次代碼上傳時都加密並與100倍量的隨機代碼拆散並進行混合。這樣盜竊者首先要下得動,其次要解得了,最後要篩得到,然後要拼得好。相當於超級加花。就好像守衛秘密基地最好的辦法,不是先進的識別系統,而是上百噸的大鐵門。
推薦閱讀:
※微軟WinHEC 2016演示Win10 ARM完整版:驍龍820筆記本運行桌面程序,該技術是否意味著Surface Phone運行傳統X86程序有很大可能?
※微軟發布Win10旗艦Lumia950/XL:Liquid Cooling是什麼技術?
※C++最好的IDE是什麼?
※微軟為何要放棄諾基亞的智能手錶 Moonraker?
TAG:微軟Microsoft | 信息安全 | 源代碼 | Windows10 |