Před týdnem jsme tady na Živě zveřejnili větší článek o úniku zdrojových kódů Windows 2000 a Windows NT. Není obvyklé, abychom se k nějakému události ještě vraceli po týdnu, ohledně této kauzy se ale objevilo několik důležitých informací, které byste měli vědět.
Co už asi víte
Stručné shrnutí událostí: ve čtvrtek 12. února večer se na serveru Neowin objevila první informace o úniku zdrojových kódů Windows 2000 a Windows NT na internet. Microsoft tuto informaci zakrátko potvrdil a rozjelo se velké bádání. Vážným i nevážným směrem. Řada lidí z legrace projížděla zdrojáky grepem (nástroj na hledání textů v mnoha textových souborech současně) a hledala výskyty sprostých slov (a že jich málo nebylo), byli ale i tací, co se zaměřili na to, co skutečně Microsoftu uniklo.
Na serveru Betanews brzy zjistili z odkazů ve zdrojovém kódu, že tento konkrétní únik dat neproběhl z Microsoftu, ale z firmy MainSoft, která vytváří unixové verze původních Windows aplikací. Microsoft ani MainSoft zatím tuto informaci nepotvrdily, prozatím jen vyšetřují tuto variantu.
Microsoft od samého počátku situaci mírně zlehčoval ve smyslu nebezpečnosti a spíše rozjel masivní akci právním směrem. Neautorizované šíření zdrojových kódů je trestné a Microsoft varoval i ty, co by ty zdrojové kódy chtěli stahovat. Během pár dnů se objevil popis první bezpečnostní chyby v Internet Exploreru zjištěné ze zdrojových kódů a byť se jedná o starou verzi, kdy dnešní Internet Explorer touto chybou netrpí, je stále dost uživatelů, kteří ten konkrétní prohlížeč používají. Možná i proto Microsoft svůj přístup nyní trochu změnil.
Uniklo to nejcennější
Na internetu se pohybují dva soubory: 229MB soubor s kódy Windows NT a 203MB soubor se zdrojáky Windows 2000. V případě Windows 2000 se jedná k zdrojové kódy na úrovni Service Pack 1, u NT na úrovni Service Packu 3. Média ale celkem paradoxně zaměřují jen na Windows 2000, Windows NT pokládají za starý systém, přičemž v případě Windows NT bude procento uniklého kódu systému podstatně větší.
Microsoft hned ze samého počátku uváděl, že neunikl rozhodně celý zdrojový kód, že ten má násobně větší objem, než těch 650 MB a 31 tisíc souborů. Microsoft stanovil rozsah úniku na 15 procent celkového kódu.
V následující tabulce jsou přibližné rozsahy zdrojového kódu, jak jsou uváděny Microsoftem při různých příležitostech:
| rok |
produkt |
mil. řádků kódu |
| 1993 |
Windows NT 3.1 |
6 |
| 1996 |
Windows NT 4.0 |
16,5 |
| 1999 |
Windows 2000 |
29 |
| 2001 |
Windows XP |
45 |
| 2003 |
Windows 2003 |
50 |
Zdroj:
bink.nu
Vzhledem k tomu, že uniklé kódy mají 13,5 miliónu řádků kódu, je původní tvrzení o 15 procentech poměrně sporné. Může to být 15 procent současného vyvíjeného kódu Windows Longhorn (který by tak měl 90 mil řádků), rozhodně je to ale více než 15 procent kódu Windows 2000. Ve skutečnosti to vychází 47 procent, tedy téměř polovina celého zdrojového kódu Windows 2000. Na druhou stranu uniklé kódy Windows NT mají 28 miliónu řádků, že je rozhodně více, než je udávaný celkový rozsah. Jako by uniklo 170% kódu.
Je ale možné, že Microsoft nepočítá například řádky s komentářem nebo prázdné řádky, pak by uváděnému rozsahu odpovídalo 4,35 miliónu řádků (přepočítávat to v uniklých zdrojácích ale nebudem).
Nicméně procenta sem procenta tam, na konkrétní hodnotě příliš nezáleží. Zdrojový kód totiž nejsou housky na krámě, je velký rozdíl mezi 15 procenty kódu pro Malování a 15 procenty kódu pro jádro systému. Vzhledem k tomu, co uniklo a na čem MainSoft pracuje, neunikl nějaký odpad, ale velmi přísně střežené rodinné zlato.
MainSoft pracuje na programu MainWin, který vytváří programům na Unixu takové podmínky, až se domnívají, že jedou na Windows. Ona je to ale pravda, MainSoft využívá skutečné zdrojové kódy Windows a to dokonce i ty, na které se nedostanou ani členové programu Shared Source. Shared Source je inciativa Microsoftu pro poskytování pohledu (jen koukej, nekompiluj) na zdrojový kód vybraným společnostem. MainSoft má totiž licenci na Windows Interface Source Environment (WISE), tedy to nejužší jádro Windows, na němž jsou vystavěny veškeré další služby. Licenci na WISE má jen několik firem a není nabízen v rámci Shared Source, je to tedy to nejcennější, co Microsoft má. Uniklé zdrojové kódy přitom nasvědčují, že značná část tam vidět je.
Co bude Microsoft dělat?
Popravdě to není poprvé, co Microsoftu unikly zdrojové kódy. V roce 2000 takto utekl v podstatě celý zdrojový kód MS-DOS 6.0, ale jako starý systém to nemělo takovou publicitu a Microsoftu se to povedlo zamést pod koberec. Přesto se prý dá doposud někde tento zdroják najít.
Jak už to většinou bývá, právníci a marketingové oddělení jsou nejrychlejší, takže první reakce na únik kódu přišla od nich. Právníci se snaží varovat ty, co by to chtěli nabízet, a marketingové oddělení se snaží mírnit závažnost úniku. Pak nicméně nastupují rozumná rozhodnutí, jak celý problém pragmaticky řešit.
Microsoft tedy nyní dle serveru BetaNews nastartoval něco podobného, co proběhlo minulý rok, kdy Microsoft na měsíc zastavil vývoj nového kódu Windows a provedl velký bezpečnostní audit. Tento audit ale tehdy proběhl na aktuálních kódech, netýkal se nějakého dva roky starého kódu. Proto Microsoft nyní podrobně zkontroluje podle současných podstatně přísnějších měřítek bezpečnosti zdrojové kódy v uniklých souborech a případně nabídne mimořádné opravy pro tyto staré systémy. Microsoft to ostatně musí udělat velmi důrazně a velmi rychle, uniklé zdrojové kódy na sobě totiž nesou nebezpečné stigma. Nikdo, kdo je poctivý, se do nich v podstatě nesmí ani podívat, protože by mohl být později obviněn z opisování. Takže ti hodní, kteří obvykle poctivě hlásí nalezené chyby Microsoftu, jsou ze hry a zůstávají jen ti zlí, kteří na legálnost nehledí. Microsoft má pochopitelně lepší prostředky na to, aby plně zauditoval vlastní zdrojový kód a tuto mimořádnou situaci řešil. Uniklé kódy ale nejsou dnes přímo podporovány Microsoftem, jsou již staré a Microsoft vždy doporučuje aktualizaci na poslední Service Pack, Windows 2000 SP1 a NT4 SP3 jsou dnes překonány a většina chyb opravena. Microsoft ale přesto slibuje, že vše podrobně zaudituje a případné mimořádné opravy zveřejní.
