Provide feedback
Saved searches
Use saved searches to filter your results more quickly
Sign up
Appearance settings
Несколько дней назад вышла новость о предполагаемых исходных кодах различных версий Windows, которые были раскрыты в течение недели.
В случае его подлинности, доступность этих исходных кодов открывает путь для создания эксплойтова также наблюдение за людьми и компаниями, которые продолжают использовать эти старые операционные системы.
Фактически, по данным Netmarketshare, более 1% компьютеров во всем мире все еще работают под управлением Windows XP.
Файл содержит предполагаемые исходные коды Старые версии операционных систем Microsoft: Windows 2000, Windows Embedded (CE 3, CE 4, CE 5, CE 7), Windows NT (3.5 и 4), Windows XP, Windows Server 2003, MS DOS (3.30 и 6).
Также включены предполагаемые исходные коды некоторые компоненты Windows 10.
Многие файлы просочились через файл, который просочился много лет назад.
Например, исходный код некоторых компонентов Windows 10 просочился в сеть в 2017 году, те, которые были связаны с Xbox и Windows NT ранее в этом году. Другие, даже более старые утечки можно проследить до обсуждений в списках рассылки и форумах. датируется началом 2010-х годов. Таким образом, текущая утечка является компиляцией. Тем не мение,
Microsoft предоставляет доступ к исходному коду своих операционных систем правительствам для аудита безопасности и академическим исследовательским группам для научных исследований.
Эти утечки могут происходить именно из этих сред. В любом случае, создатель торрента публикует и дает инструкции по его использованию:
«Это мой торрент. Утечка XP / W2k3 произошла сегодня (24-е) на g и других каналах на 4chan.
Хакеры, по-видимому, годами передавали файл в частном порядке. Я думаю, что он был распространен, потому что парень увидел, что мы пытались расшифровать файл RAR (с 2007 или 2008), который будет содержать исходный код Windows XP. Мне удалось перезапустить этот старый торрент, чтобы убедиться, что у нас есть тот же файл, который был выпущен много лет назад.
В любом случае, хотя я извлек файлы, которые были сжаты с использованием других форматов сжатия, а затем сжал их с помощью 7zip, я вообще не изменил фактические исходные файлы этого торрента. Все они не повреждены, поэтому любые потенциальные изменения в исходном коде Microsoft присутствовали с самого начала.
Обычно эти утечки проходят через множество разных файлов, которые все еще распаковываются в идентичные каталоги. Скрипт, который я включил в торрент, позволяет вам проверить эти утечки на случай, если у кого-то возникнут сомнения в целостности файлов. «
Что ж, многие читатели они будут удивляться а это в чем выгода. Для этого мы будем использовать тесто как метафору этого дела. Исходный код похож на рецепт испечь торт. При покупке торта вы получаете только готовый продукт. а не рецепт (то есть исходный код). Точно так же, как вы не можете просто посмотреть на торт и выяснить, как его испечь, реконструировать исходный код только потому, что у вас есть программное обеспечение, очень сложно, если не невозможно.
По разным причинам большинство программ похоже на черные ящики.— Вы знаете, что он делает и примерно как он это делает, но детали часто скрыты. Программное обеспечение с открытым исходным кодом является исключением из этого правила, но Microsoft занимается производством проприетарного программного обеспечения или программного обеспечения с закрытым исходным кодом.
Есть несколько причин, по которым исходный код этих операционных систем Это было бы интересно. Во-первых, их наличие позволит каждому создавать свои собственные варианты этих операционных систем.
Вам просто нужно снова обратиться к метафоре с выпечкой, чтобы понять, как этого добиться. Кроме того, это позволяет людям понять, как работают эти системы. И его можно было использовать по уважительным причинам например: для создания программного обеспечения эмуляции Windows, например, на Linux или Mac (хотя официально его нельзя использовать по причинам лицензирования).
Однако эти знания также могут быть использованы в злонамеренных целях. Фактически, если эти старые версии операционных систем больше не используются, дело в том, что они могут совместно использовать большие фрагменты кода с Windows 10.
источник: 4chan
Время на прочтение2 мин
Количество просмотров19K
25 сентября 2020 года издание Verge сообщило, что Microsoft начала внутреннее расследование по поводу утечки исходных кодов Windows XP и Windows Server 2003.
Эксперты Verge и независимые исследователи проанализировали утекшие материалы по Windows XP, Windows Server 2003 и Windows 2000 и подтвердили их подлинность.
Один из специалистов по Windows обнаружил в утечке ключи подписи корневого сертификата пользователя NetMeeting.
По данным портала ZDNet, данная утечка исходных кодов произошла от одной из компаний или исследовательских организаций правительств некоторых стран, которые ранее получили доступ от Microsoft к этой информации с целью аудита безопасности. Программа по передаче кодов и технического контента Microsoft называется Government Security Program (GSP). К ней имеют доступ специалисты по безопасности из 45 стран, а также 90 различных агентств.
Ранее 24 сентября на портале 4chan был опубликован торрент-файл размером 42,9 Гб, в составе которого находились исходные коды Windows XP и Windows Server 2003.
6 августа 2020 года разработчик и IT-консультант из Швеции Тилли Коттманн (Tillie Kottmann) выложил в сети ссылки на файлообменный сервис MEGA и магнет ссылку на торрент с 20 ГБ исходных кодов прошивок процессоров и внутренней документации компании Intel, включая отладочные инструменты, схемы, драйверы, обучающие видео. В настоящее время Intel занимается расследованием этого инцидента. Intel рассказала, что утечка, скорее всего, произошла из Центра ресурсов и проектирования (Intel Resource and Design Center).
Средства обеспечения безопасности Windows Server 2003
Безопасность в архитектуре
Безопасность при установке
Безопасность при использовании
Службы управления правами
Документооборот с использованием служб управления правами
Сертификация программных продуктов Microsoft
Что такое стандарт Common Criteria
Значение стандарта Common Criteria
Стандарт Common Criteria в России
Международная сертификация продуктов Microsoft
Сертификация
продуктов Microsoft в России
В соответствии с рекомендациями стандарта Common Criteria…
Прошло два года с тех пор, как корпорация Microsoft анонсировала
свою стратегию Trustworthy Computing в области построения защищенных информационных
систем. За это время в данной области произошло несколько настоящих прорывов.
indows
Server 2003 — первый продукт, выпущенный в рамках реализации стратегии создания
защищенных информационных систем. Этот продукт отражает достижения корпорации
Microsoft в производстве продуктов, характеризующихся безопасностью в архитектуре,
при установке и при использовании, а также поддержкой контактов с пользователями,
что обеспечивает надлежащий уровень безопасности и надежности продуктов.
Средства обеспечения безопасности Windows Server 2003
ак
как новых средств обеспечения безопасности в этом продукте очень много, рассмотрим
кратко лишь некоторые из них.
Безопасность в архитектуре
Усовершенствованные средства безопасности Windows Server 2003 — это результат
максимального внимания к снижению числа уязвимостей программного кода операционной
системы, изменения процесса разработки и совершенствования средств проверки
продукта. Ниже приведены основные новшества в архитектуре, обеспечивающие повышенную
информационную безопасность продукта.
Модуль CLR (Common Language Runtime) — ключевой элемент Windows
Server 2003, увеличивающий надежность и помогающий обеспечить более высокую
степень безопасности компьютерной среды. CLR проводит тестирование приложения
перед запуском, включая проверку электронной цифровой подписи приложения. Кроме
того, CLR снижает число уязвимостей в системе безопасности, вызванных ошибками
программирования, в том числе за счет выделения заранее определенных ресурсов
операционной системы для выполнения приложения: памяти, дискового пространства,
множества разрешенных для использования файлов. Все приложения выполняются в
виде изолированных друг от друга процессов.
Информационные службы Интернета (IIS) в Windows Server 2003
были полностью переработаны. IIS 6.0 позволяет выполнять отдельные Web-приложения
в некоторых процессах, что предотвращает негативное влияние одного нестабильного
приложения на другие Web-сервисы и Web-приложения. При этом процессы, в которых
выполняются Web-приложения, по умолчанию используют новую учетную запись сетевой
службы с меньшими полномочиями. Изоляция рабочего процесса позволяет с помощью
таблиц управления доступом (Access Control Lists, ACL) ограничить Web-узел или
приложение рамками его корневого каталога.
Усовершенствованные средства безопасности сетевого подключения
дополняют средства безопасности самого узла. Так, для усиления безопасности
беспроводного подключения в системе Windows Server 2003 реализована поддержка
протоколов строгой проверки подлинности, таких как 802.1x (Wi-Fi), а также протокола
PEAP (Protected Extensible Authentication Protocol).
Безопасность при установке
Для реализации в Windows Server 2003 принципа безопасности при установке были
введены более строгие политики, устанавливаемые по умолчанию, снижено общее
число служб, сокращено количество служб, доступных по умолчанию, и количество
служб, запускающихся при загрузке операционной системы.
С целью сужения области, доступной для атак, по умолчанию
в Windows Server 2003 отключены 19 служб и уменьшен набор полномочий некоторых
других служб. Например, службы IIS 6.0 по умолчанию не устанавливаются вместе
с Windows Server 2003 — для того чтобы их установить, следует отдельно указать
на это при установке операционной системы.
В таблицах управления доступом (ACL) реализованы более строгие установки
по умолчанию. Например, создание новой таблицы ACL корневой папки системы
и установка этой папки в качестве папки по умолчанию означает, что пользователи
не могут записывать файлы в корневой каталог системного диска.
Созданы две дополнительные учетные записи пользователей, позволяющие
службам операционной системы работать с меньшим набором полномочий, что помогает
снизить вероятность захвата системы через уязвимые места в службах. Новая учетная
запись сетевой службы используется, например, для работы DNS-клиента и для всех
рабочих процессов IIS.
Безопасность при использовании
В дополнение к безопасной архитектуре и новым средствам безопасности, реализованным
в Windows Server 2003, корпорацией Microsoft созданы средства администрирования
безопасности применения операционной системы.
Политика ограниченного использования программ (Software Restriction
Policy, SRP) — новое средство Windows Server 2003 и Windows XP, предоставляющее
администраторам механизм проверки запущенного в их домене программного обеспечения
и управления возможностью его исполнения на основе политики. Политика ограниченного
использования программ позволяет администратору ограничить запуск нежелательных
приложений, таких как вирусы.
Редактор конфигурации безопасности (Security Configuration
Editor, SCE) позволяет обезопасить системы, выполняющие различные скрипты и
доступные разным категориям пользователей (например, Web-сервер, подключенный
как к Интернету, так и к локальной сети). Назначение SCE — помочь администраторам
сетей повысить безопасность таких систем, не жертвуя их функциональностью.
Служба аудита (Microsoft Audit Collection Services, MACS)
— средство для аудита систем. Службы MACS собирают информацию о событиях в сфере
безопасности в сжатом, подписанном и шифрованном виде и хранят эти события в
базе данных Microsoft SQL Server для последующего анализа. Данное программное
средство работает на базе Windows XP, Windows 2000 Server и Windows Server 2003
и реализует защиту от подделки сведений о произошедших событиях в системе. Это
позволяет разделить роли аудитора и администратора, что исключает возможность
изменения администратором аудиторской информации.
Службы управления правами
ругим
важным событием на пути претворения стратегии построения защищенных информационных
систем стал выпуск служб управления правами доступа к документам Microsoft Office.
Сетевой доступ может ограничиваться с помощью межсетевых экранов, доступ к определенным
электронным данным может блокироваться с помощью таблиц управления доступом
(ACL). Однако в целом стратегии, основывающиеся только на методах обеспечения
безопасности, защищающих сеть внутри периметра, напоминают яйцо: если сетевая
«скорлупа» трескается, электронная информация становится незащищенной. Если
кто-то получает доступ в сеть, то в ней в данное время нет дополнительного уровня
защиты.
Во многих случаях информация подвергается риску внутри периметра сети, охраняемого
межсетевым экраном. Риск значительно возрастает при передаче служащими данных
за пределы корпоративного межсетевого экрана. Существующие в настоящее время
решения, основанные на пограничной защите, не способны помочь в соблюдении бизнес-правил,
касающихся использования и распространения электронной информации. Предприятия
нуждаются в сквозном программном решении, помогающем защищать информацию на
всем пути ее следования.
Службы управления правами (Rights Management Services, RMS) были разработаны
в ответ на возникновение вышеописанных потребностей. Они позволяют использовать
возможности Windows Server 2003 в приложениях и интегрировать их с такими технологиями
обеспечения безопасности, как шифрование, сертификаты и проверка подлинности
с целью контроля и защиты электронной информации как в интерактивном, так и
в автономном режиме, как внутри, так и снаружи периметра, защищаемого межсетевым
экраном. Например, служба управления правами поможет защитить следующие виды
информации.
Информация, циркулирующая в интрасетях. Рассмотрим простой
пример. Менеджеру предоставили доступ к информации о продажах на информационном
портале предприятия. Так как информация закрытая, на отчет, с которым работает
менеджер, налагаются специальные ограничения по использованию. Менеджер получает
необходимую информацию, но, поскольку ее нельзя распечатать, скопировать или
вставить данные в другую программу, секретная информация компании о продажах
защищена от попадания к конкурентам.
Электронная почта. Предположим, глава фирмы хочет послать
своим партнерам электронное сообщение с вложенным конфиденциальным предложением
о заключении контракта. Он указывает, что читать его предложение имеют право
только старшие руководители и при этом они не могут копировать, вставлять и
редактировать переданную информацию. Кроме того, электронное сообщение нельзя
переадресовывать. Клиентские программы обработки электронной почты и текста
у адресатов в явном виде соблюдают эти политики и обеспечивают выполнение вышеуказанных
требований.
Документы. Используя простую экранную подсказку в форме диалога,
встроенную в программу обработки текста, менеджер банка применяет управление
правами к последней версии договора на обслуживание, чтобы разрешить клиенту
просмотр и редактирование файла в течение одной недели. Когда получившие документ
служащие клиента загружают его в текстовый процессор, тот устанавливает ограничения
по времени и спустя неделю документ становится недоступным. Для учета замечаний
к договору менеджер банка отслеживает комментарии служащих клиента с помощью
электронной таблицы, которая также защищена службой управления правами.
Документооборот с использованием служб управления правами
Службы управления правами разработаны с учетом простоты их использования. Чтобы
защитить электронную информацию с помощью технологий управления правами, работники
предприятия выполняют ту же последовательность операций делопроизводства, что
и обычно.
Создание политик и распространение. С помощью приложений,
поддерживающих функции служб управления правами (например, Microsoft Office
2003 с клиентской частью служб управления правами), пользователи могут легко
создавать документы с контролируемыми правами. Служба управления правами используется
приложениями, создающими и формулирующими политики, для предоставления прав
пользователям на основе сформулированных политик и личности пользователя.
Применение политик. Приложения, разработанные с учетом поддержки
технологий управления правами, используют прикладной интерфейс программирования
службы управления правами (он доступен для Windows 98 SE или для более поздних
версий Windows). Приложение запрашивает лицензию на защищенную информацию и
обеспечивает соблюдение прав, сформулированных в лицензии, разрешая просмотр
и использование электронной информации в соответствии с правилами, определенными
собственником данных в публикуемой лицензии.
К приложениям подобного типа относятся Microsoft Office 2003, а также дополнение
службы управления правами для Internet Explorer. В ближайшее время будет доступен
SDK для встраивания поддержки служб управления правами в приложения, которые
могут создавать независимые разработчики.
Второй серверный продукт, созданный в рамках реализации стратегии создания
защищенных информационных систем, — почтовый сервер Exchange Server 2003 — также
имеет множество новых функций обеспечения безопасности. Особый интерес у пользователей
в настоящее время вызывают встроенные механизмы фильтрации спама.
Сертификация программных продуктов Microsoft
езопасность
программных продуктов начинается с качественно написанного и тщательно протестированного
кода. Далее в дело вступают технологии поиска, исправления и ликвидации найденных
потенциально уязвимых мест в системе защиты, выполняемые с привлечением независимых
организаций. Но безопасность программного продукта становится общепризнанной
только после его проверки на соответствие общепризнанным стандартам — как международным,
так и национальным. Принимая во внимание все эти факторы, Microsoft инициировала
прохождение своих продуктов через тщательное независимое тестирование на основе
как международного стандарта Common Criteria for Information Technology Security
Evaluation (Общие критерии оценки безопасности информационных технологий), так
и национальных стандартов ведущих стран.
Стандарт Common Criteria, утвержденный в качестве международного стандарта в
1999 году, пришел на смену старым методикам оценки, таким как американский стандарт
US TCSEC (определявший, в частности, широко известный уровень защиты C2) и европейский
стандарт European ITSEC. Страны, ратифицировавшие Common Criteria, рассчитывают,
что его использование приведет к повышению надежности продуктов, в которых применяются
технологии защиты данных; он поможет потребителям информационных технологий
лучше ориентироваться при выборе программного обеспечения, а пользователям приобрести
уверенность в безопасности ИТ-продуктов.
Что такое стандарт Common Criteria
Многие правительственные организации и частные компании приобретают только те
системы, которые удовлетворяют определенному набору требований. Группа государств,
объединив свои усилия в рамках Международной организации по стандартизации (ISO),
разработала новый стандарт безопасности ISO 15408, призванный отразить возросший
уровень сложности технологий и растущую потребность в международной стандартизации.
Этот стандарт известен под названием Common Criteria for Information Technology
Security Evaluation (CCITSE).
В соответствии с требованиями Common Criteria, продукты определенного класса
(например, операционные системы) оцениваются на соответствие ряду функциональных
критериев и критериев надежности — так называемых профилей защиты (Protection
Profiles). Существуют различные определения профилей защиты в отношении операционных
систем, брандмауэров, смарт-карт и прочих продуктов, которые должны соответствовать
определенным требованиям в области безопасности. Например, профиль защиты систем
с разграничением доступа Controlled Access Protection Profile действует в отношении
операционных систем и должен заменить старый уровень защиты С2. Стандарт Common
Criteria также устанавливает ряд оценочных уровней доверия (Evaluation Assurance
Levels, EAL), используемых при оценке продуктов. Сертификация на более высокий
уровень EAL предполагает более высокую степень уверенности в том, что система
защиты продукта работает правильно и эффективно. Сертификаты, полученные продуктами
для уровней EAL1-EAL4, признаются всеми странами, поддерживающими стандарт Common
Criteria. Сертификация для высших уровней EAL5-EAL7 проводится отдельно в каждой
стране. При этом профили защиты могут разрабатываться независимо каждой страной,
в том числе и с учетом национальных особенностей защиты государственных секретов.
Поэтому EAL4 является высшим уровнем, которого могут достигнуть продукты, не
создававшиеся изначально с учетом соответствия требованиям EAL5-EAL7.
Признание соответствия продукта стандарту Common Criteria происходит лишь после
прохождения им весьма строгой и длительной процедуры проверки. Именно поэтому
первые результаты тестирования операционных систем и других программных продуктов,
заявленных на сертификацию сразу после принятия стандарта в 1999 году, появляются
лишь сегодня.
Значение стандарта Common Criteria
Стандарт Common Criteria важен для всех, кто занимается эксплуатацией, внедрением
или администрированием компьютерных систем.
Во-первых, стандарт Common Criteria является своего рода гарантией качества:
принимая решение о приобретении ИТ-продукта, пользователи, помимо всего прочего,
могут оценить его, исходя из результатов строгого, независимого тестирования,
учитывающего весь комплекс критериев. Таким образом, стандарт Common Criteria
способствует повышению требований к качеству продуктов и гарантирует более высокий
уровень правдивости рекламных заявлений. Это не означает, что все продукты,
сертифицированные на соответствие стандарту Common Criteria, не имеют уязвимых
мест в системе безопасности (подобных продуктов просто не существует), однако
наличие такой сертификации позволяет с большей степенью уверенности утверждать,
что продукт обладает надежной защитой.
Во-вторых, в рамках программы тестирования продуктов по стандарту Common Criteria
пользователи могут получить массу ценной информации, помогающей повысить безопасность
систем, построенных на основе протестированных продуктов. Производители, пользующиеся
предоставляемыми стандартом Common Criteria возможностями, смогут помочь своим
заказчикам в создании более безопасных ИТ-систем.
Стандарт Common Criteria в России
Стандарт Common Criteria ISO 15408 является государственным стандартом России.
С 1 января 2004 года введены в действие следующие государственные стандарты:
• ГОСТ Р ИСО/МЭК 15408-1-2002;
• ГОСТ Р ИСО/МЭК 15408-2-2002;
• ГОСТ Р ИСО/МЭК 15408-3-2002.
Принятие государственного стандарта, соответствующего Common Criteria, пока
не означает взаимного признания сертификатов. Сделав следующий шаг на этом пути
и присоединившись к странам, взаимно признающим полученные в них сертификаты,
Россия получит существенный импульс в развитии информационных технологий в стране,
поскольку:
• потребители смогут сократить свои затраты на сертификацию продуктов;
• сертифицирующие органы смогут привлечь дополнительный поток заказов на сертификацию
из-за рубежа;
• производители российских высокотехнологичных продуктов смогут получить международные
сертификаты в России, что позволит им выйти на закрытые ранее зарубежные рынки;
• Россия сохранит свои национальные требования при сертификации продуктов на
высшие уровни защиты информации, включая защиту государственной тайны.
Международная сертификация продуктов Microsoft
Результатом почти трехлетнего тестирования стала сертификация платформы Windows
2000 на высший уровень для серийно выпускаемых систем. Тестирование проводила
специализирующаяся в этой области независимая компания Science Applications
International Corporation (SAIC), аккредитованная для выполнения испытаний на
соответствие стандарту Common Criteria. Используя профиль защиты Controlled
Access Protection Profile (CAPP), SAIC выполнила тщательное тестирование систем
семейства Windows 2000, установив, что они соответствуют уровню EAL4 + Flaw
Remediation стандарта Common Criteria. Для того чтобы продукт, подобно Windows
2000, соответствовал требованиям Flaw Remediation (исправление ошибок) уровня
EAL4 и выше, разработчик должен выработать процедуры исправления ошибок, предусматривающие
поиск брешей в системе безопасности, определение того, какие действия необходимо
предпринять для их исправления, и информирование пользователей об этих действиях.
В отношении Windows 2000 эти функции выполняет Microsoft Security Response Center.
Поскольку Windows 2000 обладает большей функциональностью и большими возможностями,
чем это необходимо для соответствия требованиям профиля защиты CAPP, было решено
протестировать Windows 2000 на соответствие требованиям стандарта Common Criteria
еще по ряду параметров, выходящих за рамки данного профиля. В результате Windows
2000 успешно прошла тестирование по следующим параметрам, предусмотренным для
ИТ-продуктов, оснащенных функциями защиты информации (Information Assurance):
• шифрующая файловая система EFS как средство защиты конфиденциальных данных;
• службы каталогов Active Directory управления защищенным доступом, в том числе
с множественными мастер-каталогами;
• виртуальные частные сети на основе двух стандартных протоколов: L2TP и IPSEc;
• защищенные от компрометации средства создания цифровых подписей;
• однократный вход в систему (single-sign-on);
• средства сетевого администрирования, в том числе для управления политиками
безопасности;
• средства администрирования настольных компьютеров, в том числе механизмы групповых
политик.
С позиции стандарта Common Criteria Windows 2000 обладает всеми преимуществами
многоцелевой платформы, сертифицированные компоненты которой способны удовлетворить
потребности государственных служб и частных предприятий. Windows 2000 объединяет
в себе все ключевые сертифицированные компоненты: от технологий защиты операционной
системы до защищенных средств сетевого администрирования и виртуальных частных
сетей.
Продолжая работу по подтверждению высокого уровня защищенности своих продуктов,
в 2003 году Microsoft начала процедуру международной сертификации по стандарту
Common Criteria своих операционных систем Windows XP Professional и Windows
Server 2003.
Сертификация продуктов Microsoft в России
Ранее Гостехкомиссия России сертифицировала операционные системы Microsoft
Windows NT Server 4.0 и Windows NT Workstation 4.0, а также СУБД Microsoft SQL
Server 6.5. (см. http://www.microsoft.com/rus/general/press/1999/march/sertification.htm).
Весной прошлого года серверная операционная система Microsoft Windows Server
2003 и настольная операционная система Microsoft Windows XP были переданы в
Гостехкомиссию России с целью сертификации на соответствие российским требованиям
по защите от несанкционированного доступа к информации. В рамках апробации новых
государственных стандартов, основанных на международном стандарте Common Criteria,
эти продукты также сертифицируются на соответствие не только текущим, но и новым
ГОСТам в области обеспечения безопасности информационных систем.
Уже получены первые результаты этой сертификации. Гостехкомиссия России и представительство
Microsoft в России и СНГ объявили о том, что завершена сертификация операционной
системы Microsoft Windows XP Professional (Service Pack 1a) на соответствие
российским требованиям по безопасности информации, отвечающим международному
стандарту Common Criteria.
Cертификация проводилась в соответствии с методологией международного стандарта
ИСО 15408 (ISO 15408). С этой целью было разработано прошедшее оценку Задание
по безопасности (http://www.cbi-info.ru/about/111/MSWXPP.pdf),
на соответствие которому испытательной лабораторией «Центр безопасности информации»
была проведена сертификация операционной системы.
При испытаниях были протестированы следующие функции безопасности операционной
системы:
• аудит безопасности;
• защита данных пользователя;
• идентификация и аутентификация;
• управление безопасностью;
• использование ресурсов;
• блокирование сеанса.
Сертификат № 844, выданный по результатам сертификационных испытаний, подтверждает,
что операционная система Microsoft Windows XP Professional (Service Pack 1a)
соответствует Заданию по безопасности MS.Win_XP_SP1a.ЗБ и имеет оценочный уровень
доверия ОУД1, усиленный компонентом AVA_SOF.1 (оценка стойкости функции безопасности).
В планах Microsoft — продолжение сертификации продуктов на более высокие уровни,
включающие исследования исходных кодов продуктов, а также налаживание на территории
России производства российскими компаниями сертифицированных версий.
Уже сертифицированная версия Microsoft Windows XP доступна для приобретения
любой заинтересованной организацией. Для этого достаточно просто обратиться
в представительство Microsoft в России и СНГ или в «Центр безопасности информации»
(http://www.cbi-info.ru/), проводивший
сертификацию.
В настоящее время ведутся подготовительные работы по осуществлению сертификации
продуктов Microsoft в интересах государственных организаций в рамках систем
сертификации ФСБ и Министерства обороны.
Доступ к исходным кодам продуктов Microsoft с целью текущей сертификации в
Гостехкомиссии России и последующих сертификаций в других организациях обеспечивается
в рамках программы Microsoft Government Security Program (GSP). С целью повышения
доверия к своим продуктам в государственных организациях Microsoft готова обеспечить
доступ к исходным кодам любых своих продуктов по мере подготовки необходимой
документации для их анализа. Более подробные сведения о программе GSP и подписанных
в ее рамках соглашениях можно найти по адресам http://www.microsoft.com/rus/news/issue.asp?15-01-2003-gsp.xml
и http://www.microsoft.com/rus/news/issue.asp?20-01-2003-windows_source_open.xml.
КомпьютерПресс 4’2004
Теперь любой желающий может найти уязвимости в системе, на которой всё ещё работают десятки миллионов компьютеров по всему миру.
В сеть попал исходный код Windows XP SP1 и других версий операционной системы. На форуме 4chan опубликовали 43 гигабайта файлов, которые можно загрузить через Torrent.
Помимо Windows XP и Server 2003 в файлах утечки можно обнаружить и более старые версии операционной системы Microsoft. В том числе MS DOS 3.30, MS DOS 6.0, Windows 2000, Windows CE 3, 4 и 5, Windows Embedded 7, Windows Embedded CE, Windows NT 3.5 и Windows NT 4.
Утечка включает в себя исходные коды DirectX 8, Microsoft Paint, игр Hearts на C++, Reversi и «Пасьянса». Кроме того, в файлах можно обнаружить коды mssipotf, которые позволяют подписывать файлы шрифтов и проверять подписи, mscms — системы управления цветом от Microsoft и Postscript шрифтов UI драйвер NTprintscanprintdriversusermodedriveruips и makentf.
Среди файлов также есть папка с названием «медиа», в которой можно найти коллекцию видео с конспирологическими теориями вокруг Билла Гейтса. В дополнение к торрент-файлу неизвестные опубликовали архив только с исходным кодом XP и Windows Server 2003 на 2,9 Гб.
Как утверждает автор утечки, исходный код Windows XP «годами» перемещался от хакера к хакеру, но впервые оказался доступен публично. В Microsoft пока не подтвердили, действительно ли в сеть попал код её старых ОС.
Исследователи и раньше могли изучить систему с помощью реверс-инжиниринга, однако это был долгий и трудоёмкий процесс. Но имея полный исходный код хакеры смогут намного проще находить уязвимости и баги.
Несмотря на то, что Windows XP вышла почти 20 лет назад, утечка её исходного кода может представлять опасность для современных компьютеров. Если в Microsoft всё ещё используют какие-то части кода в новых версиях систем, то в них могли попасть те же уязвимости и баги.
Кроме того, многие государственные ведомства и отдельные организации по всему миру всё ещё используют Windows XP для работы. По данным на август 2020 года, на старой системе работало 1,2% компьютеров в мире или около 25 миллионов устройств — это больше, чем на Windows 8 (0,57%), ChromeOS (0,42%) и Windows Vista (0,12%).
Microsoft прекратила поддержку Windows XP ещё в апреле 2014 года. Таким образом, система уже более шести лет не получала важных технических обновлений и патчей безопасности.
Источник
Читайте также
