微軟向俄羅斯情報(bào)部門開放Windows7源碼

Win7之家（ afsion.com.cn）：微軟向俄羅斯情報(bào)部門開放Windows7源碼

微軟已與俄羅斯情報(bào)單位簽約，開放其Windows7操作系統(tǒng)源代碼。

俄國(guó)媒體Vedomosti報(bào)道，微軟也授權(quán)俄羅斯聯(lián)邦安全局（FSB）取得Microsoft Windows Server 2008 R2、Microsoft Office 2010和Microsoft SQL Server等產(chǎn)品的源代碼，希望借此提升微軟產(chǎn)品在俄羅斯公家機(jī)關(guān)的銷售量。

該報(bào)道指出，俄國(guó)政府機(jī)關(guān)將可通過電信與媒體部轄下的科學(xué)技術(shù)中心Atlas，研究這些產(chǎn)品的源代碼，并開發(fā)加密技術(shù)。微軟俄羅斯分公司總裁Nikolai Pryanishnikov告訴Vedomosti ，Atlas與FSB的員工可分享他們對(duì)微軟產(chǎn)品的研究結(jié)果。

微軟與俄國(guó)政府曾在2002年訂約，分享Windows XP、Windows 2000和Windows Server 2000的源代碼，這次的協(xié)議只是上次約定的延伸。

與英國(guó)政府有聯(lián)系的一名資深安全界人士表示，2002年簽訂的那份協(xié)議，于微軟的政府安全方案之一，北約也有簽署。這些不同的政府單位都可取得微軟的程序代碼，代表他們可能找到漏洞，再用來滲透另一國(guó)的系統(tǒng)。

劍橋大學(xué)（Cambridge University）安全專家Richard Clayton表示，開放源代碼會(huì)造成復(fù)雜的安全狀況，雖然政府可借此找到軟件漏洞，用來對(duì)另一國(guó)發(fā)動(dòng)攻擊，不需取得源代碼，也能找到軟件漏洞。他說：“若某個(gè)政府取得源代碼，自然可以找到不同類型的安全漏洞，然后利用它們。但取得源代碼究竟是福是禍，還不清楚。”

Clayton指出，有幾個(gè)因素讓情況變得復(fù)雜。取得源代碼可進(jìn)行精密分析，進(jìn)而抓到如緩沖區(qū)溢留瑕疵等漏洞，但執(zhí)行模糊測(cè)試程序，對(duì)操作系統(tǒng)或軟件的部份丟出隨機(jī)資料，同樣可以抓出不同的漏洞。他表示，取得程序代碼可在攻擊發(fā)生前預(yù)先修補(bǔ)漏洞，各國(guó)政府也可分辨出另一國(guó)是否同樣修補(bǔ)過他們的網(wǎng)絡(luò)。

Clayton說：“你是否該即時(shí)修補(bǔ)系統(tǒng)，讓大家注意到俄羅斯已經(jīng)修補(bǔ)過他們的系統(tǒng)？或者你可以把漏洞通報(bào)給微軟總部，還是應(yīng)該利用那個(gè)漏洞去攻擊你的敵國(guó)？”

Clayton表示，微軟的產(chǎn)品有成千上萬個(gè)漏洞，部分原因是其源代碼數(shù)量過于龐大。單靠一國(guó)政府的力量，根本無法完全防堵這些漏洞。但攻擊者只需要一個(gè)漏洞，即可成功滲透到系統(tǒng)內(nèi)。他說：“這是完全不對(duì)稱的關(guān)系。”主管英國(guó)政府網(wǎng)絡(luò)攻擊與防衛(wèi)事務(wù)的網(wǎng)絡(luò)安全局（The Office of Cyber Security）尚未回應(yīng)本站的詢問。

另一位資深安全界人士認(rèn)為，微軟開放源代碼給多國(guó)政府，純粹是一種商業(yè)決定。微軟曾說，提供源代碼給FSB，是與俄國(guó)政府簽訂的政府安全協(xié)議（Government Security Agreement）的一部分。

微軟以聲明表示：“我們與FSB簽署的協(xié)議，是微軟的政府安全方案（GSP）的延伸。GSP的目的是加強(qiáng)與國(guó)家政府間的信任。以俄羅斯的協(xié)議為例，參與GSP，將促生以微軟最新技術(shù)和俄羅斯加密法為基礎(chǔ)之下一代俄國(guó)政府機(jī)關(guān)防衛(wèi)解決方案的發(fā)展。”