Microsoft udostępnia kod Windows 7 rosyjskim służbom bezpieczeństwa

Serwis Vedomosti.ru poinformował o podpisaniu przez Microsoft umowy z rosyjską Federalną Służbą Bezpieczeństwa (FSB) aneksu do umowy z 2002 roku, na mocy której przedstawiciele FSB mogli zapoznać się z kodem źródłowym systemów z rodziny Windows i kluczowych produktów software’owych giganta z Redmond. Odnowiona umowa da państwu rosyjskiemu ograniczony dostęp do kodu źródłowego systemów Windows 7, Windows 2008 R2, bazy SQL Server 2008 i pakietu biurowego Office 2010.

Redmond od 2003 roku w ramach Microsoft Goverment Security Program daje wgląd niektórym państwom do swojej najcenniejszej tajemnicy ? kodu źródłowego Windows i innych produktów. Jako że w tym wypadku to Microsoft jest tym słabszym graczem, kod zostaje udostępniony bez żadnych rozbudowanych licencji NDA (Non-Disclosure Agreement), tak jak to jest w wypadku rynkowych partnerów Microsoftu.

Korporacja Steve’a Ballmera zabezpiecza się jednak. To co zostaje udostępnione, nie wystarcza dla zbudowania kompletnego systemu Windows. W ten sposób państwa nie mogą mieć do końca pewności, że przedstawiony im kod źródłowy jest zgodny z tym, co działa faktycznie wewnątrz Windows ? dlatego trudno nazwać to pełnym audytem bezpieczeństwa.

Umowy z Redmond oprócz Rosji zawarło 30 innych krajów, w tym Stany Zjednoczone, Wielka Brytania i Chiny. Dostęp do kodu ma też NATO. Nie wiadomo jednak, jaki jest stan aneksów do podpisanych umów ? podpisywano je od 2003 roku, kiedy na rynku niepodzielnie panował Windows XP.

Jak podają Vedomosti.ru, porozumienie pozwoli FSB i kontrolowanemu przez te służby ośrodkowi naukowo-technicznemu Atlas na studiowanie kodu źródłowego i tworzenie rozwiązań kryptograficznych dla produktów Microsoftu. Pracownicy, którzy otrzymają dostęp do tych informacji, będą się mogli ze sobą porozumiewać.

Według ZDNetu sytuacja taka ma złożone konsekwencje dla bezpieczeństwa IT. Jak powiedział w wywiadzie dla tego serwisu Richard Clayton, ekspert z uniwersytetu Cambridge, dostęp do kodu pozwoli rządom na znajdowanie luk bezpieczeństwa, które mogłyby być wykorzystane do ataków przeciwko innym krajom. Z drugiej strony luki w oprogramowaniu można znajdować bez dostępu do jego kodu.

Państwa, których specjaliści odkryją pozwalające na atak luki, stają wówczas przed poważnym dylematem ? lepiej natychmiast załatać swoje systemy (a wówczas inni zauważą, że do tego doszło), zgłosić sprawę do Redmond, czy też wykorzystać lukę do zaatakowania wrogów?

Zdaniem badacza z Cambridge, w produktach Microsoftu można znaleźć ?dziesiątki tysięcy błędów?, a żaden rząd nie może mieć nadziei na wyeliminowanie ich wszystkich, ze względu na sam rozmiar kodu. Tymczasem napastnikowi wystarczy wiedza o jednej luce, by uzyskać pełen dostęp do systemu.

Tymczasem prezes rosyjskiego oddziału Microsoft, Nikołaj Priasznikow, powiedział serwisowi Vedomosti.ru, że celem podpisania umowy było zwiększenie sprzedaży oprogramowania dla Moskwy. Uzyskanie certyfikatów bezpieczeństwa FSB pozwoli produktom Microsoftu na konkurowanie z opensource’owymi projektami, coraz chętniej wybieranymi przez rządowych klientów do realizacji takich projektów jak systemy e-administracji.

Źródło: Vedomosti.ru, Zdnet.co.uk