微軟向俄羅斯情報部門開放Windows7源碼

Win7之家（ m.airtaxifl.com）：微軟向俄羅斯情報部門開放Windows7源碼

微軟已與俄羅斯情報單位簽約，開放其Windows7操作系統(tǒng)源代碼。

俄國媒體Vedomosti報道，微軟也授權俄羅斯聯(lián)邦安全局（FSB）取得Microsoft Windows Server 2008 R2、Microsoft Office 2010和Microsoft SQL Server等產(chǎn)品的源代碼，希望借此提升微軟產(chǎn)品在俄羅斯公家機關的銷售量。

該報道指出，俄國政府機關將可通過電信與媒體部轄下的科學技術中心Atlas，研究這些產(chǎn)品的源代碼，并開發(fā)加密技術。微軟俄羅斯分公司總裁Nikolai Pryanishnikov告訴Vedomosti ，Atlas與FSB的員工可分享他們對微軟產(chǎn)品的研究結果。

微軟與俄國政府曾在2002年訂約，分享Windows XP、Windows 2000和Windows Server 2000的源代碼，這次的協(xié)議只是上次約定的延伸。

與英國政府有聯(lián)系的一名資深安全界人士表示，2002年簽訂的那份協(xié)議，于微軟的政府安全方案之一，北約也有簽署。這些不同的政府單位都可取得微軟的程序代碼，代表他們可能找到漏洞，再用來滲透另一國的系統(tǒng)。

劍橋大學（Cambridge University）安全專家Richard Clayton表示，開放源代碼會造成復雜的安全狀況，雖然政府可借此找到軟件漏洞，用來對另一國發(fā)動攻擊，不需取得源代碼，也能找到軟件漏洞。他說：“若某個政府取得源代碼，自然可以找到不同類型的安全漏洞，然后利用它們。但取得源代碼究竟是福是禍，還不清楚。”

Clayton指出，有幾個因素讓情況變得復雜。取得源代碼可進行精密分析，進而抓到如緩沖區(qū)溢留瑕疵等漏洞，但執(zhí)行模糊測試程序，對操作系統(tǒng)或軟件的部份丟出隨機資料，同樣可以抓出不同的漏洞。他表示，取得程序代碼可在攻擊發(fā)生前預先修補漏洞，各國政府也可分辨出另一國是否同樣修補過他們的網(wǎng)絡。

Clayton說：“你是否該即時修補系統(tǒng)，讓大家注意到俄羅斯已經(jīng)修補過他們的系統(tǒng)？或者你可以把漏洞通報給微軟總部，還是應該利用那個漏洞去攻擊你的敵國？”

Clayton表示，微軟的產(chǎn)品有成千上萬個漏洞，部分原因是其源代碼數(shù)量過于龐大。單靠一國政府的力量，根本無法完全防堵這些漏洞。但攻擊者只需要一個漏洞，即可成功滲透到系統(tǒng)內(nèi)。他說：“這是完全不對稱的關系。”主管英國政府網(wǎng)絡攻擊與防衛(wèi)事務的網(wǎng)絡安全局（The Office of Cyber Security）尚未回應本站的詢問。

另一位資深安全界人士認為，微軟開放源代碼給多國政府，純粹是一種商業(yè)決定。微軟曾說，提供源代碼給FSB，是與俄國政府簽訂的政府安全協(xié)議（Government Security Agreement）的一部分。

微軟以聲明表示：“我們與FSB簽署的協(xié)議，是微軟的政府安全方案（GSP）的延伸。GSP的目的是加強與國家政府間的信任。以俄羅斯的協(xié)議為例，參與GSP，將促生以微軟最新技術和俄羅斯加密法為基礎之下一代俄國政府機關防衛(wèi)解決方案的發(fā)展。”