CNET科技资讯网7月16日国际报道 微软已与俄罗斯情报单位签约,开放其Windows 7操作系统源代码。
俄国媒体Vedomosti报道,微软也授权俄罗斯联邦安全局(FSB)取得Microsoft Windows Server 2008 R2、Microsoft Office 2010和Microsoft SQL Server等产品的源代码,希望借此提升微软产品在俄罗斯公家机关的销售量。
该报道指出,俄国政府机关将可通过电信与媒体部辖下的科学技术中心Atlas,研究这些产品的源代码,并开发加密技术。微软俄罗斯分公司总裁Nikolai Pryanishnikov告诉Vedomosti ,Atlas与FSB的员工可分享他们对微软产品的研究结果。
微软与俄国政府曾在2002年订约,分享Windows XP、Windows 2000和Windows Server 2000的源代码,这次的协议只是上次约定的延伸。
与英国政府有联系的一名资深安全界人士表示,2002年签订的那份协议,于微软的政府安全方案之一,北约也有签署。这些不同的政府单位都可取得微软的程序代码,代表他们可能找到漏洞,再用来渗透另一国的系统。
剑桥大学(Cambridge University)安全专家Richard Clayton表示,开放源代码会造成复杂的安全状况,虽然政府可借此找到软件漏洞,用来对另一国发动攻击,不需取得源代码,也能找到软件漏洞。他说:“若某个政府取得源代码,自然可以找到不同类型的安全漏洞,然后利用它们。但取得源代码究竟是福是祸,还不清楚。”
Clayton指出,有几个因素让情况变得复杂。取得源代码可进行精密分析,进而抓到如缓冲区溢留瑕疵等漏洞,但执行模糊测试程序,对操作系统或软件的部份丢出随机资料,同样可以抓出不同的漏洞。他表示,取得程序代码可在攻击发生前预先修补漏洞,各国政府也可分辨出另一国是否同样修补过他们的网络。
Clayton说:“你是否该即时修补系统,让大家注意到俄罗斯已经修补过他们的系统?或者你可以把漏洞通报给微软总部,还是应该利用那个漏洞去攻击你的敌国?”
Clayton表示,微软的产品有成千上万个漏洞,部分原因是其源代码数量过于庞大。单靠一国政府的力量,根本无法完全防堵这些漏洞。但攻击者只需要一个漏洞,即可成功渗透到系统内。他说:“这是完全不对称的关系。”主管英国政府网络攻击与防卫事务的网络安全局(The Office of Cyber Security)尚未回应本站的询问。
另一位资深安全界人士认为,微软开放源代码给多国政府,纯粹是一种商业决定。微软曾说,提供源代码给FSB,是与俄国政府签订的政府安全协议(Government Security Agreement)的一部分。
微软以声明表示:“我们与FSB签署的协议,是微软的政府安全方案(GSP)的延伸。GSP的目的是加强与国家政府间的信任。以俄罗斯的协议为例,参与GSP,将促生以微软最新技术和俄罗斯加密法为基础之下一代俄国政府机关防卫解决方案的发展。”
用户评论