Pull to refresh

Comments 138

С нетерпением ждем утечек исходников в интернеты ))
с нетерпением ждём выхода отечественной ОС, о которой так много говорят )
А Попова уже взяли на работу в НТЦ «Атлас»?)))

heavy sarcasm
«Даже не думай об этом! Мысли материализуются.» (с)
UFO just landed and posted this here
Ну зачем, зачем спецслужбам, темб олее российским, исходные коды? Там что алгоритмы супер-шифрования зашиты?
Исходники начали открывать уже с 200х годов, но что-то торрентов с ними до сих пор не видно.
У КГБ утечек не бывает :)
Угу, как в известном анекдоте.

Объявление:
Утеряны секретные документы в голубом конверте. Нашедшему застрелиться самому.
UFO just landed and posted this here
UFO just landed and posted this here
С двухсотых годов? До Р.Х. или после? :)
P.S. Win2000 — исходники доступны в инете (украденные, естественно)
интересно, с ними кто-то что делал?)
Последовал вал уязвимостей, и не только в 2000, дыры часто кочуют в более поздние версии
Большинство будет смотреть на эти коды как баран на золотые ворота.
я знаю чем мы потом займемся всем офисом в свободное время (:
хоровым чтением исходников?)))
Исходники ядра (или основная их часть по крайней мере), насколько я знаю, доступны легально.
Картинки у них на 192.168.11.2/images/images/
Молодцы, ага.
Это защита от доступа извне…
Скоро на всех трекерах рунета...
...Windows 7 KGB Edition ("сделано собрано в России"), с дополнительными модулями, втихаря сливающими ваши данные в госструктуры. Разумеется, исключительно для борьбы с экстремизмом, терроризмом, и т.п.
скачать бесплатно с tracker.fsb.ru
Ссылка не нажимается!
только у сотрудников работает
дык она ресолвится на 192.168.11.3…
Завтра будет на горбухе! :)
странно, что с 2002 еще никто исходники XP не спер)
исходники помечены, так что MS сразу узнает, кто слил. Потому и нет их в интернетах.
Ну узнают, что это были «российские спецслужбы» — и что делать с этим знанием?
наверняка был заключен некий договор на передачу, подразумевающий какие-то санкции в таком случае. Возможен иск в суд и т.п.
Почему нет? Да хоть на правительство страны. Для того и существуют международные суды. Кроме того, наверняка в договоре закреплена личная ответственность конкретного человека/чина. Не сомневайтесь, уж кто-то, а юристы у MS шикарные, не валенки какие-нибудь, просто так интеллектуальную собственность не отдадут, что косвенно подтверждается тем, что исходников предыдущих продуктов в интернете нет, хотя они были у многих стран, в т.ч. и у Китая.
Оракл однажды пытался проверить лицензионность. Их чуваки на проходной с автоматами решили не пустить. А ещё есть великолепная ось, которая есть линукс с порезанными копирайтами (нет, не та, о которой вы подумали, а МСВС) и суд как-то тоже не особо чешется.
А если ФСБ их пошлет? США войну объявит? Прям троянский сюжет вырисовывается ))))
просветите, каким образом их метят? Незаметные комментарии в гуще кода?
или комментарии, или какие-нибудь ничего не делающие куски кода или еще как. Точно не знаю, да и никто не знает. Но т.к. процесс передачи исходников штучный, никто не мешает MS подойти творчески к этому делу.
ну можно найти два разных набора исходников и сделать diff =) что б оценить что они там поменяли.
Во втором наборе будут какие-то свои уникальные изменения, возможно еще часть пересекающихся. Вы же не знаете, какие из них были в оригинальном исходном коде.
Ну и что? Если сделать diff и стереть различия, нельзя будет понять откуда произошла утечка.
дело за малым, осталось договориться с спецслужбами сша/китая/гондураса, дабы те рассекретили свои копии.
Что значит «стереть различия»? Допустим в моем коде есть некоторые 5 строчек, в вашем их нет. Пусть в оригинале они тоже есть. Если я их удалю, то подставлю вас. Если это допустимо, то зачем тогда что-то мутить — можно просто слить чужие исходники.
Пусть есть K версий кода, имеющие N блоков с различным кодом. Из каждой версии возьмем произвольные N/K блоков кода (т.е. выполоним произвольное разбиение N на K частей). После этого уже будет невозможно определить кто именно является источником. Хотя можно заявить что источники — все. Но! Если источников от 4 и больше, то всегда (AFAIK) можно подобрать фрагменты так, что итоговый текст мог бы быть получен на основе данных менее чем K источников. То есть при 4-х источниках можно сформировать такой код, который потенциально мог быть получен любыми 3-мя из 4-х источников, то есть будет известно, что как минимум трое в сговоре, но не будет известно какие именно 3-е и нельзя будет ничего надежно доказать в суде.
а код то работать будет после всех этих манипуляций?
А это уже зависит от того, были ли эти блоки независимыми или нет.
Хм… тогда не проще ли слить чужие исходники?)
Да стотыщь вариантов :) Copyright Easter Eggs можно воткнуть куда угодно.
Например табами или пробелами отбить в разных файлах шифровку морзянкой, которая будет гласить «исходный код для передачи в фсб».

Вот яркий пример в картографии: wiki.openstreetmap.org/wiki/Copyright_Easter_Eggs
Посмотрите Examples — куча ссылок на несуществующие улицы, некоторые с говорящими названиями.
Что при попытке срисовать карту — однозначно идентифицирует факт кражи и источник.

Атлас патчи слать будут? :)
Диффы на billg@microsoft.com, да ;)
вот интересно — похоже с 2002 года никаких исходников МС нам не давала, а все это время на винду выходила куча апедйтов, откуда мы можем знать что в апдейтах небыло соответствующих закладок? спустя рукава работают СБ шники:)
В госструктурах вообще работают?
Устройтесь туда и узнаете.
Старый анекдот, но…
Идет мужик по улице, подходит к телефону автомату, набирает КГБ, говорит: «плохо работаете». Через 5 минут доходит до следующего телефона, поднимает трубку, набирает номер: «плохо...», тут ему на плечо ложится рука: «как умеем, так и работаем» :)
UFO just landed and posted this here
ну исходники можно собрать и посмотреть, хотя сомневаюсь что в атласе это осилили но теоретическая возможность есть, а вот апдейты неуязвимы
UFO just landed and posted this here
можно же бинарно сравнить файлы, которые получились после сборки и в релизной версии. можно также ставить в гос органы и саму сборку.
Где то в статьях проскакивала тема про пиратский сервер не помню какой игры, дак вот там одна контора сравнивала бинарно HEX код к Excel ))))
первая ссылка из google
>> И в завершение «разбора» этого документа приведу еще один довод в пользу того, что вы прямо-таки обязаны его скачать и прочитать. При сравнении файлов в каталогах двух игр эксперт использовал три программы: файловый менеджер «Total Commander», бинарный редактор «UltraCompare» и (держитесь) «Microsoft Excel»… Как говорилось в одном пошлом анекдоте, «Таких номеров я и в цирке не видел».
Бинарный код сильно различается от кучи факторов — версии компилятора, флагов, дефайнов, выставленных оптимизаций, упаковки, и много-много еще чего. MS не давала обязательств собирать свои продукты со строго заданными флагами, настройками и определенной версией компилятора. Так что всегда можно отмазаться «да это тоже самое, мы просто их хитро собрали».
К тому же теоретически закладки может и не быть в исходном коде, она может вставляться самим компилятором, причем этот факт можно скрыть, даже если у вас есть исходники компилятора:

cm.bell-labs.com/who/ken/trust.html
Ещё windows постоянно проверяет цифровые сигнатуры своих компонентов, сильно сомневаюсь, что майкрософт светит китаю и фсб свои закрытые ключи. Получается, что получить рабочую версию, после компилятора возможно, только если бинарный код будет эквивалентным + добавить подписи от оригинального дистрибутива.
Смотрел доклад по этому поводу. В ФСБ сами собирают исходники. Предварительно оттуда вырезают все забугорные системы защиты информации и вставляют российские. Вырезают весь лишний код, который может сливать инфу в Инет (тот же проигрыватель Windows Media, например).

Затем эти сборки поставляются в ГосОрганы, обычные пользователи никогда их не получат, т.к. компания должна написать личный запрос в ФСБ с описанием, зачем она им и какую ГосТайну им защищать. И то не факт, что дадут. А стоит такая винда дороже обычной, т.к. приходиться платить за сертифицирование её.

Кстати обновления тоже проходят через ФСБ, и уже затем, сертифицируются и идут для обновления.
Тут возникает вопрос:
— А зачем там вообще винда?
linux_2.6.34_FSB.patch обойдётся дешевле и без сертификаций ;)
Эм… А зачем такая винда пользователям? Где гарантия, что вырезав код, сливающий инфу в Microsoft, не внедрят кое-что другое?
Я не боюсь того, что что-то сольётся Microsoft-у, США меня не достанет здесь. А вот…
Вы серьезно думаете, что ФСБшники перехватят анекдот про Путина, который Вы рассказали соседу по аське, и пришлют за Вами пативэн? Думаете, им нечем больше заняться?
Анекдот не перехватят, разумеется. Могут найти то, на чём можно поживиться: mp3, базы, прочий контент с торрентов известного содержания. А уж если дай дай бог, будет малейшее подозрение (мало ли, соседи обозлятся и скажут в ФСБ, что вот, мол, нехороший какой) — могут и полностью выкачать весь комп.
Конечно, ФСБ-шники только спят и видят, как бы стащить у вас с винта архив раритетного немецкого кино, которое можно смотреть, даже не зная немецкого языка.
Мне кажется, как только органы получают ваши реквизиты — адрес и фио,-содержимое компа уже не сильно влияет на вашу судьбу.
Думаете, им, чтобы получить Ваш адрес и ФИО — нужны закладки в виндах? У них есть намного более старые и надежные, проверенные временем способы. Например — терморектальный криптоанализ, известный еще во времена Инквизиции.
Вы серьёзно думаете, что США Вас не достанет, если хорошо зададутся целью?
Чтобы задаться целью, кто-то должен понимать выгоду достижения этой цели. С чего бы штатам задаваться такой целью?
Microsoft никому никакую инфу, кроме Microsoft-а не сольёт, а перед Microsoft-ом я чист. Для остального есть hosts, фаерволы итд.
А то, что дядя Вася два года назад сделал тёте Маше сайт за 20 тыр и прогулял их, не поделившись ни с кем, никого в штатах не волнует.
Потому у них у всех IE6 и стоит.
Зачем? Пусть им дадут сертификат от freebsd.
НТЦ «Атлас» — Майкрософту? Или Майкрософт — Атласу? По-моему что так, что эдак — абсурдно.
Шутку про код фряхи в венде ты, конечно, не слышал?
ну вот, а вы переживали за мандриву) национальная ОСь, она рядом ;)
Наверное, все помнят, какие комментарии были в исходниках Windows 2000 :)
помню что-то вроде «НЕ заменяйте *fucking* табы на пробелы, *this fucks compilation*» :)
То национальную ОС хотят сделать, то им для «электронного правительства» Windows нужна… Не поймёшь их.
Очередной распил бабла, этому «Атласу» дали исходники, но только никому неизвестно, сколько там реально спецов, и сколько спецов в структурах, они вообще читают там код, понимают, что они читают? Я думаю, что это просто так для галочки, чтобы получить бабла, это формальная операция, на которой заработают миллионы, выписав бумажку майкрософту, что разрешено, и всё, при этом какой-то чиновник получит откат в 10ки лямов рублей… так происходит в Питере на сертификациях Линуксов и других ОС. Так что ребята, не думайте, что будет что-то особенное, в нашей стране ничего не делается без финансовой поддержки.
никто не читает гигабайты кода MS. Есть специализированные инструменты, которые в автоматическом режиме инспектируют код. Насколько они хорошо работают — вопрос отдельный.
Инструменты, небось, тоже предоставляет MS.
ошибаетесь, написаны в России.
> никто не читает гигабайты кода MS

>специализированные инструменты которые в автоматическом режиме инспектируют код.

Напишу просто: толку от этого ноль, но деньги за сертификацию мы все равно возьмем.
Кроме инспектирования кода, применяются специализированные виртуальные машины, которые анализируют поведение запущенных ОС и программ, выявляя подозрительную активность. Так что толк, хоть и небольшой, но есть.
Если бы от этого была хоть какая то польза регулярных дырок с удаленным исполнением кода просто не было бы.
не путайте круглое с холодным. Это не security-аудит, а проверка на закладки.
*подавился чаем*
Я не понял, удаленное исполнение произвольного кода это не брешь в защите?
Такую дырку невозможно сделать специально?

На фига в код встраивать закладки если есть возможность их динамической погрузки?

ЗЫ. Я понял! Наверное ищутся логи со словами «гос тайна»? :)
Боже. Исходники. Атласу. Атласу. Исходники. Не, руки у них, большей частью, золотые, но, опять же, большей частью, и штаны им требуются с рукавами. Хотя, исключения есть.
ни одно ПО не может быть поставлено на компы обрабатывающие гостайну без предоставления исходных кодов на сертификацию отсутствия НДВ
надеюсь понятно, что исходники такого объема нельзя проверить на отсутствие НДВ?
Я бы спрогнозировал не то, что исходники появятся на торрентах, а то, что появятся новые приватные искплоиты для указанных систем.
Я очень поверхностно знаком, как работают с сорцами винды в одной подобной организации.

Там отдельное помещение, полностью экранированное. Сеть там только внутренняя и сервер с сорцами стоит там же. Все порты опечатаны, корпуса рабочих станций тоже. Входить с носителями информации запрещается. Ведется круглосуточная видеорегистрация. Очень строгий доступ только ограниченных людей. Белые столы, на которых ничего не спрячешь. Личные предметы на них лежать не могут.

И так далее.

В MS не дураки сидят.
UFO just landed and posted this here
ну винда пока утекла вообще всего лишь только один раз за всю историю. Так что все же не дураки.
И под столом в удобной позе ловкача сразу шустрые ребята ловят.
Что бы открутить блок питания, надо сначала открутить видеорегистратор, сигнализацию и ответственных за помещение наблюдателей.

А открутив все можно вдруг обнаружить внутри порты тоже демонтирвоаны и залиты эпоксидкой :]
Это у вас блоки питания еще не приклеивали на резинки с герметиком… чтобы не шумели… О_о
А это вообще реально разобраться?
Учитывая, что в Windows бэкдор можно накатить первым же апдейтом через WU, смысл ковыряться в тех исходниках?
На машинах с гостайной инета быть не может. Установка любого софта должна быть согласована. Соответственно WU врятли присутствует.
На гостайне свет клином не сошёлся.

Зато представьте на минутку, что в случае конфликта вдруг откажутся работать ВСЕ компы в государственных (и не только) учереждениях. Что это значит? А это значит, что работа ВСЕХ этих организаций окажется парализована.
По сравнению с последствиями возникшего хаоса какая-то там гостайна покажется полной фигнёй.
каждый апдейт на такие ОС также проходит инспекцию, и только потом одобряется. WU пользоваться нельзя, если хочешь сохранить «сертифицированность» ОС.
Т.е. пользователи сертифицированных версий не имеют возможности оперативно исправлять уязвимости в своем ПО
именно так. Такова цена за «сертифицированность». На мой взгляд — маразм, но ничего не поделаешь, пока у нас не будет собственной ОС, хотя бы доработанная до приличного уровня МСВС.
что изменит наличие собственной ОС?
Не потребуется инспектирование каждого апдейта, если разработчик ОС будет сертифицирован по ФСТЭК и ФСБ.
интересно есть сейчас такие разработчики которые могут выпускать апдейты без сертификации?
Вы не правы. Инспектирование каждого апдейта будет требоваться абсолютно всегда. Схема сертификации в России требует наличие некоторой независимой от разработчика софта структуры. Т.е. если некоторая испытательная лаборатория, имеющая лицензию для проведения сертификационных испытаний по ФСБ и ФСТЭК, делает какой-то софт, то она сама его не может сертифицировать ни при каких условиях.
Наличие собственной ОС позволит только использовать ее в более «крутых» структурах, как например МО, поскольку производитель такого софта обязательно должен быть отечественным.
Вот он какой — вендекапец.
а компилятор? на него исходники дадут?
гдето я видел уже срач по этому поводу…
месть за IPhone 4G, который запалил наших шпионов. Ждите облавы на шпионов в России :D
Вот интересно, сколько людей унесло флешки из Атласа в первый же день? :)))
Что-то сомнения у меня, что знания сотрудников Атласа достаточны для работы с ТАКИМ исходным кодом…
Билли вроде не дурак? Может они решили отдать им исходники на ассемблере?
А не проще хардварный файрволл с белым списком к компьютерам, которые надо защитить, приладить?
Может Майкрософт не настоящие коды дала, а переделанные или урезанные.
UFO just landed and posted this here
На самом деле исходники винды мало что дадут… разве что хакеры тут же найдут кучу багов и напишут пачку эксплойтов. А так всё равно те кто хочет крякнутой виндой пользоваться те пользуются… и исходники посмотреть не жаждут.
Или с уклоном под Российские стандарты:
Вино №2 Крепкое
и на все апдейты тоже исходники шлют?
ФГУП «Научно-технический центр «Атлас» решает:
main page
линки на изображения вида:
http://192.168.11.2/images/images/11/3/image.jpeg
В любом случае даже, если MS предоставит исходные коды всех платформ это просто фикция и распил бабла. Ибо к исходным кодам предоставляется доступ в режиме чтения на стороне MS через VPN-соединение, ни о каких сборочных серверах внутри Аталаса речь не идет. Вы представляете возможно ли вообще просмотреть сырки хотя бы одной видны и найти там уязвимость или закладку? В лучшем случае, если там еще остались люди с мозгом и знающие толк в обратном анализе, они будут использовать эти сырки для прояснения некоторых мутных мест при анализе бинарей в IDA. Я уверен, что это просто способ втюхивать беспрепятственно софт от MS органам госвласти и все.
Еще порадовал комментарий гражданина Алферова «в том числе для создания «электронного правительства»», ох и веселое нас ждет будущее, если электронное правительство будет реализовываться на этой платформе, да еще и Атласом, который уже провалил кучу проектов и во много показал уже свою не состоятельность.
Вы не правы, никто даже не начнет сертификацию, если не получит доступ напрямую к машине с исходниками ибо испытательную лабораторию просто лишат лицензии.
че-то бред, не понимаю смысла. там где нужно используются свои протоколы и свои операционные системы, естевственно на линкусовых исходниках. зачем им понадобились глючные и странные продукты мелкософта не понимаю. интересно, зачем в действительности это все нужно
Sign up to leave a comment.

Articles