Microsoft ha recentemente confermato alcuni rumors secondo cui parte di codice relativo a Windows 2000 e NT4 sarebbero state pubblicate da ignoti su internet.I tecnici di Redmond si sono accordi della “fuga di informazioni” solo Giovedì, ma al momento non si hanno ancora chiare indicazioni circa le modalità con cui le parti di codice siano state trafugate. Non è ancora chiaro se la rete “aziendale” Microsoft sia bucata, oppure se qualcuno abbia deciso di copiare fisicamente tali dati.
__________________________________
ANSA) -MILANO, 13 FEB- Il codice sorgente dei programmi MS messo su Internet rappresenterebbe solo una piccola porzione del codice di Windows Nt 4 e Windows 2000. Lo precisa Microsoft Italia in una nota. Si sta accertando se si tratti realmente di parti del codice di prodotti Microsoft e quali aree dei prodotti possano essere coinvolte. La pubblicazione del codice ha implicazioni a livello legale e di protezione della proprieta’ intellettuale e non rappresenta un problema di sicurezza per i clienti.
2004-02-13 – 17:48:00
________________________________________________________
I CODICI SORGENTI DI WINDOWS IN MANO ALLA COMUNITA’ UNDERGROUND?
SyS64738/G00db0y/Siegfried
13/02/2004
Una notizia si rincorre ormai da giorni. Anzi, da mesi. I codici sorgenti di Windows 2000 e Windows NT sembrano essere disponibili ormai in rete. Zone-H ha avuto accesso ai file ed ora sta verificando se essi siano effettivamente i files appartenenti ai sistemi operativi del colosso di Redmond. La notizia era “sussurrata” da tempo in ambiente ma fino ad ora solo poche persone erano a conoscenza del fatto ed in possesso dei codici sorgenti. Fino a stanotte.
Infatti, da stanotte il tam tam dei file exchangers dell’ undergorund si e’ fatto piu forte e l’ubicazione dei codici sorgenti di Win 2000/NT e’ stata rivelata agli “addetti ai lavori”. Voci non confermate suggeriscono che i codici sorgenti di Windows siano trapelati a fronte del trattato firmato dalla Russia con la Microsoft per l’ottenimento, dietro non disclosure agreement, dei codici di Windows 2000/NT allo scopo di creare versioni “localizzate” e “approvate” dai governi locali.
Riportiamo la notizia che parte dell’ underground si e’ costituito in gruppi con lo scopo di analizzare i sorgenti di Microsoft alla ricerca di nuove vulnerabilita’. Cio’ che aveva costituito (sino ad ora ?) la maggiore protezione per Windows, il fatto di avere dei codici chiusi al pubblico, sembra -il condizionale rimane d’obbligo- essere definitivamente caduto. Se cio’ corrispondesse a verita assisteremmo all’ alba di una nuova ondata di vulnerabilita’ conosciute/sconosciute e di conseguenti exploits.
Ribadiamo il concetto che Zone-H e’ stato fino ad ora restio a pubblicare alcuna notizia, la prudenza imponeva cautela. Dopo aver visionato parte dei codici che sono trapelati, tutt’ora rimangono dei dubbi, ma ci sentiamo in dovere di informare la comunita’.
Interrogata sull’ accaduto, Microsoft ha risposto: – “Se una piccola parte dei codici di Windows e’ disponibile al pubblico, e’ piu una questione di diritti di autore che un vero e proprio rischio per la sicurezza degli utenti”.
La frase e’ da rapportare al fatto che la porzione di codice disponibile nell’ underground e’ di soli 203 MB compressi.
Zone-H ha comunque verificato la autenticita’ di almeno alcuni dei files che compongono il pacchetto di 203 MB.
SyS64738 – G00db0y – Siegfried
www.zone-h.org/it admins
Archive: windows_2000_source_code.zip Length Date Time Name ——– —- —- —- 0 02-11-04 00:09 win2k/ 1271057 07-23-01 10:18 win2k/INDEX 0 11-18-01 14:27 win2k/bsc/ 0 01-09-01 11:14 win2k/bsc/.glimpse_filetimes 54834 01-09-01 16:51 win2k/bsc/.glimpse_messages 133 01-09-01 16:51 win2k/bsc/.glimpse_statistics 16746109 01-09-01 16:51 win2k/bsc/.glimpse_index 262144 01-09-01 16:51 win2k/bsc/.glimpse_turbo 262 01-09-01 16:45 win2k/bsc/.glimpse_attributes 49675755 01-09-01 16:51 win2k/bsc/.glimpse_partitions 1388323 01-09-01 16:51 win2k/bsc/.glimpse_filenames 91860 01-09-01 16:51 win2k/bsc/.glimpse_filenames_index 1294336 01-10-01 15:33 win2k/bsc/fileidx 67403776 01-10-01 15:33 win2k/bsc/xref 0 11-18-01 14:27 win2k/bsc/tcp-ip tutorial.eml 0 11-18-01 14:27 win2k/copy of named pipe implementation.eml 0 11-19-01 00:32 win2k/private/ 0 11-19-01 00:26 win2k/private/eventlog/ 432 07-26-00 01:40 win2k/private/eventlog/dirs 163 07-26-00 01:40 win2k/private/eventlog/elf.acf 9969 07-26-00 01:40 win2k/private/eventlog/elf.idl 0 11-18-01 14:23 win2k/private/eventlog/elfclnt/ 48582 07-26-00 01:40 win2k/private/eventlog/elfclnt/apistub.c 665 07-26-00 01:40 win2k/private/eventlog/elfclnt/elfclntp.h 2482 07-26-00 01:40 win2k/private/eventlog/elfclnt/getconfg.c 247 07-26-00 01:40 win2k/private/eventlog/elfclnt/makefile 5213 07-26-00 01:40 win2k/private/eventlog/elfclnt/rpcbind.c 1477 07-26-00 01:40 win2k/private/eventlog/elfclnt/sources 0 11-18-01 14:23 win2k/private/eventlog/elfclnt/registry_log_messages.eml 0 11-18-01 14:23 win2k/private/eventlog/elfclnt/botinfs.eml 2328 07-26-00 01:40 win2k/private/eventlog/elfcommn.h 0 11-18-01 14:23 win2k/private/eventlog/eltest/ 40774 07-26-00 01:40 win2k/private/eventlog/eltest/eltest.c 247 07-26-00 01:40 win2k/private/eventlog/eltest/makefile 781 07-26-00 01:40 win2k/private/eventlog/eltest/sources 0 11-18-01 14:23 win2k/private/eventlog/eltest/regbeta.eml 0 11-18-01 14:23 win2k/private/eventlog/eltest/newdialog.eml 1419 07-26-00 01:40 win2k/private/eventlog/event.h 38 07-26-00 01:40 win2k/private/eventlog/imports.h 1327 07-26-00 01:40 win2k/private/eventlog/imports.idl 1147 07-26-00 01:40 win2k/private/eventlog/makefil0 0 11-18-01 14:23 win2k/private/eventlog/misc/ 32 07-26-00 01:40 win2k/private/eventlog/misc/dirs 4615 07-26-00 01:40 win2k/private/eventlog/misc/logalert.c 0 11-18-01 14:23 win2k/private/eventlog/misc/sample.eml 0 11-18-01 14:23 win2k/private/eventlog/misc/cv – vered mazafi.eml 0 11-19-01 07:00 win2k/private/eventlog/ntsdexts/ 21983 07-26-00 01:40 win2k/private/eventlog/ntsdexts/elfexts.c 112 07-26-00 01:40 win2k/private/eventlog/ntsdexts/elfexts.def 264 07-26-00 01:40 win2k/private/eventlog/ntsdexts/elfexts.rc 247 07-26-00 01:40 win2k/private/eventlog/ntsdexts/makefile 794 07-26-00 01:40 win2k/private/eventlog/ntsdexts/sources 2438 07-26-00 01:40 win2k/private/eventlog/readme.txt 0 11-18-01 14:23 win2k/private/eventlog/server/ 3485 07-26-00 01:40 win2k/private/eventlog/server/alert.c 29326 07-26-00 01:40 win2k/private/eventlog/server/config.c 16821 07-26-00 01:40 win2k/private/eventlog/server/control.c 4834 07-26-00 01:40 win2k/private/eventlog/server/copy.c 96204 07-26-00 01:40 win2k/private/eventlog/server/elfapi.c 2108 07-26-00 01:40 win2k/private/eventlog/server/elfcfg.h 5758 07-26-00 01:40 win2k/private/eventlog/server/elfdata.c 17111 07-26-00 01:40 win2k/private/eventlog/server/elfdef.h 2784 07-26-00 01:40 win2k/private/eventlog/server/elfextrn.h 31259 07-26-00 01:40 win2k/private/eventlog/server/elflpc.c 1117 07-26-00 01:40 win2k/private/eventlog/server/elflpc.h 6380 07-26-00 01:40 win2k/private/eventlog/server/elfproto.h 6031 07-26-00 01:40 win2k/private/eventlog/server/elfrpc.c 27712 07-26-00 01:40 win2k/private/eventlog/server/elfsec.c 37164 07-26-00 01:40 win2k/private/eventlog/server/elfutil.c 56748 07-26-00 01:40 win2k/private/eventlog/server/eventlog.c 53 07-26-00 01:40 win2k/private/eventlog/server/eventlog.def 351 07-26-00 01:40 win2k/private/eventlog/server/eventlog.rc 734 07-26-00 01:40 win2k/private/eventlog/server/eventp.h 35164 07-26-00 01:40 win2k/private/eventlog/server/file.c 18124 07-26-00 01:40 win2k/private/eventlog/server/logclear.c 247 07-26-00 01:40 win2k/private/eventlog/server/makefile 2728 07-26-00 01:40 win2k/private/eventlog/server/memory.c 132146 07-26-00 01:40 win2k/private/eventlog/server/operate.c 1434 07-26-00 01:40 win2k/private/eventlog/server/sources 5423 07-26-00 01:40 win2k/private/eventlog/server/terminat.c 0 11-18-01 14:23 win2k/private/eventlog/server/character sets.eml 0 11-18-01 14:23 win2k/private/eventlog/server/registry_log_messages.eml 0 11-19-01 01:40 win2k/private/eventlog/test/ 127 07-26-00 01:40 win2k/private/eventlog/test/buildreg.dat 247 07-26-00 01:40 win2k/private/eventlog/test/makefile 2461 07-26-00 01:40 win2k/private/eventlog/test/sources 40823 07-26-00 01:40 win2k/private/eventlog/test/test.c 19344 07-26-00 01:40 win2k/private/eventlog/test/testwin.c 17131 07-26-00 01:40 win2k/private/eventlog/test/testwina.c 0 11-18-01 14:23 win2k/private/eventlog/test/~wrl3867.eml 0 11-18-01 14:23 win2k/private/eventlog/desktop.eml 0 11-19-01 00:22 win2k/private/genx/ 0 11-18-01 14:23 win2k/private/genx/eventlog/ 22 07-26-00 01:41 win2k/private/genx/eventlog/dirs 0 11-18-01 14:23 win2k/private/genx/eventlog/server/ 1029 07-26-00 01:41 win2k/private/genx/eventlog/server/elfmsg.mc 247 07-26-00 01:41 win2k/private/genx/eventlog/server/makefile 59 07-26-00 01:41 win2k/private/genx/eventlog/server/makefile.inc 181 07-26-00 01:41 win2k/private/genx/eventlog/server/sources 0 11-18-01 14:23 win2k/private/genx/eventlog/server/copy of infrastructure for system tests – technical details.eml 0 11-18-01 14:23 win2k/private/genx/eventlog/newdialog.eml 0 11-18-01 14:23 win2k/private/genx/eventlog/performance.eml 0 11-18-01 14:23 win2k/private/genx/ie/ 0 11-18-01 14:23 win2k/private/genx/ie/inc/ 10243 07-26-00 01:41 win2k/private/genx/ie/inc/activaut.idl 92447 07-26-00 01:41 win2k/private/genx/ie/inc/activdbg.idl 24240 07-26-00 01:41 win2k/private/genx/ie/inc/activscp.idl 1965 07-26-00 01:41 win2k/private/genx/ie/inc/ad1ex.idl 1005 07-26-00 01:41 win2k/private/genx/ie/inc/addisp.h 26566 07-26-00 01:41 win2k/private/genx/ie/inc/adesktop.idl 34660 07-26-00 01:41 win2k/private/genx/ie/inc/advpub.h 60 07-26-00 01:41 win2k/private/genx/ie/inc/alphbase.txt 8666 07-26-00 01:41 win2k/private/genx/ie/inc/avifmt.h
etc… etc…
________________________________________________________________
E’ questo il sospetto che sta trovando sempre piu’ conferme nelle ultime ore. Da una ricerca effettuata si evince come tali codici sorgenti non siano usciti da Microsoft bensi’ da un suo partner di lunga data: la Mainsoft.
Il codice pubblicato, 30915 files, pare che sia stato prelevato da una workstation linux della Mainsoft. Tale codice risulta essere datato 25 luglio 2000 e rappresenta Windows 2000 con il primo service pack.
L’analisi in questione conferma come tale codice sia solo una parte del codice sorgente di Windows. Tale codice sorgente corrisponde solo alla parte di codice per cui la Mainsoft ha sottoscritto un accordo con Microsoft. La Mainsoft infatti e’ una societa’ che utilizza tale codice sorgente per effettuare il porting di numerose applicazioni native per Windows in ambiente Unix.
Molto probabilmente la macchina in questione era usata dal Direttore Tecnologico della Mainsoft, Eyal Alaluf. E’ possibile trovare numerosi altri riferimenti all’interno del codice sorgente che riportano alla stessa Mainsoft.
Va ricordato, inoltre, che la MainSoft e’ una delle uniche due societa’ che ha accesso al codice sorgente di Windows avendo preso parte al programma Microsoft WISE (Windows Interface Source Environment). Lo scopo del WISE e’ di permettere agli sviluppatori di scrivere applicazioni usando le API di Windows e di rilasciarle in altri sistemi operativi, come ad esempio in Linux.
Vediamo come si risale alla Mainsoft.
Provando a fare:
gdb -c ./private/security/msv_sspi/core
Si ha che il core e’ stato generato dal comando ‘vi nlmain.c’
Se poi facciamo strings sullo stesso file vediamo alcune cose:
HOSTNAME=voltaire LOGNAME=eyala REPLYTO=eyala mainsoft com ORGANIZATION=Mainsoft Co. Ltd. PWD=/usr/ms/win2k_sp1/private/security/msv_sspi
G00db0y www.zone-h.org/it admin
________________________________________________________________
