Hvorfor Microsoft ikke gir ut kildekoden til Windows XP

Informatec Digital » Ressurser » Hvorfor Microsoft ikke gir ut kildekoden til Windows XP

Det er et spørsmål som stadig dukker opp på forum og sosiale medier: Hvorfor gir ikke Microsoft ut kildekoden for Windows XP? Nostalgi for systemet som definerte en generasjon sameksisterer med ønsket om å bygge moderne kloner, optimalisert for relativt ny maskinvare, uten å ty til hacks eller kompliserte drivere. Og dessuten truer minnet om den massive lekkasjen som snudde alt på hodet.

Sannheten er at selv om mange anser det som et åpenbart og ufarlig trekk, er det ikke så enkelt å åpne XP. Det er tekniske, juridiske, cybersikkerhetsmessige og forretningsmessige årsaker noe som gjør ideen ugjennomførbar i dag. Og underveis er det verdt å gjennomgå hva som skjedde med den berømte kodelekkasjen, hvilke risikoer den utgjorde, og hva som kan gjøres av de som fortsatt sitter fast med XP av ren nødvendighet.

Fellesskapets forslag: Åpne XP, hvorfor ikke?

Blant fansen finnes det de som foreslår noe så enkelt som å gjøre XP-koden offentlig tilgjengelig eller under lisenser som GPL. Argumentet er forførende: et system avledet fra XP.Retro på utsiden, men komfortabel på innsiden, med jevn støtte for maskiner fra 2012-2016-æraen og anstendige grafikkdrivere, kan den finne sin nisje. Hvis prosjekter som Haiku OS eksisterer, sier de, hva hindrer en velutviklet "gratis XP" i å dukke opp?

Denne optimismen forsterkes av oppfatningen om at det ikke ville skade Microsoft: De fleste vanlige brukere ønsker ikke utdatert programvareOg enda mindre hvis det bevisst har blitt «frosset». XP er en veteran – mer enn to tiår gammel – og ville knapt overlevd i visse land eller svært spesifikke sektorer (tilfellet Armenia har til og med blitt nevnt). Det er til og med snakk om å starte en underskriftskampanje for å legge press på Redmond. Og det huskes at selskapet en gang ga ut historisk kode som en del av MS-DOS.

Det kritiske punktet i den idealiserte visjonen ligger i det som vanligvis overses: XP-en vi savner deler DNA med nåværende Windows-versjonerDen integrerer tredjeparts lisensierte komponenter og er en del av et økosystem med juridiske, supportmessige og kommersielle forpliktelser. Det er ikke et selvstendig produkt som kan åpnes uten konsekvenser.

Det er også viktig å skille mellom «det ble lekket» og «det ble utgitt». Selv om noe av XP-koden har blitt lekket uten tillatelseDet gjør ikke bruken lovlig eller tillater verden å lage derivater uten videre; tvert imot er det nettopp det loven forbyr å utvikle på det grunnlaget.

Kodearv og forretningshemmeligheter

Windows XP er ikke en øy. Den deler arkitektur, moduler og API-er med senere versjoner. som for eksempel Windows 10, 11 og Server-utgaver. Publisering av koden deres ville avsløre algoritmer, interne komponenter og tekniske tilnærminger som fortsatt er i bruk. Denne eksponeringen ville gi ledetråder til konkurrenter ... og også til angripere, noe som svekker sikkerheten til nåværende plattformer.

Denne tekniske kontinuiteten er ikke et innfall: Bakoverkompatibilitet er en pilar i Windows-økosystemet.I årevis har Microsoft vedlikeholdt eldre lag og delsystemer for å holde eldre programvare i gang. Å åpne XP ville avsløre komponenter som fortsatt støtter funksjonalitet eller kompatibilitet på moderne datamaskiner, og som per design ikke burde være fritt tilgjengelige.

Vi bør heller ikke glemme «forretningshemmelighetene»: designbeslutninger, optimaliseringer, løsninger på historiske problemer som danner kjernen i systemet. Publisering av dem reduserer ikke bare konkurransefortrinnet; det returnerer sensitiv informasjon til fellesskapet som kan tolkes på nytt for å angripe elementer som fortsatt er i produksjon.

Nettsikkerhet: sårbarheter, lekkasjer og angrep

Selv om XPs andel er rundt små tall, er prosentandelen misvisende: At «mindre enn 1 %» betyr millioner av enheterOg mange av dem er ikke hjemmedatamaskiner. Du kan fortsatt finne minibanker, salgsterminaler, industrimaskiner og medisinsk utstyr som kjører varianter av XP, spesielt Embedded-utgaver som POSReady 2009, som hadde eksepsjonell støtte frem til 2019.

Når kildekoden lekker ut, forverres situasjonen: angriperen kan studere systemet i detaljÅ finne tidligere ukjente sårbarheter og utnytte dem selv om det ikke lenger finnes en offisiell oppdateringsprosess (Microsoft avsluttet støtten for XP i 2014, med bare noen få unntak i nødstilfeller). La oss huske to paradigmatiske tilfeller som fikk tiltak på grunn av deres globale alvorlighetsgrad: CVE-2017-0144, grunnlaget for WannaCry-ransomware, og CVE-2019-0708.

I tillegg til alt dette kommer et praktisk problem: De fleste nåværende sikkerhetsløsninger støtter ikke XPSelv produsenter som vedlikeholdt kompatible produkter har trukket tilbake disse versjonene på grunn av tekniske problemer. Dette gapet gjør at organisasjoner er avhengige av XP uten moderne dekning med mindre de tyr til svært spesifikk beskyttelse for innebygde miljøer.

Betyr det at det å se på koden automatisk avslører feil i Windows 10? Ikke akkurat. Forsvar i nyere versjoner (DEP, ASLR og andre begrensninger) hever barrierenMen overlappende kode finnes, og de gjør jobben enklere for de som leter etter korrelasjoner. I XP før SP3 var det for eksempel vanlig å omdanne bufferoverløp til ekstern kodekjøring; i dag er det ikke så enkelt, men systemkart hjelper med å forbedre vektorer.

Tredjepartslisenser, patenter og komponenter

En annen uoverstigelig barriere er den juridiske. XP integrerer tredjeparts opphavsrettsbeskyttede delerDRM, kryptografiske komponenter underlagt eksportforskrifter, drivere, kildekode og moduler med spesifikke kontrakter. Å utgi hele pakken ville være i konflikt med patenter, internasjonale avtaler og kommersielle forpliktelser som Microsoft ikke kan bryte uten å møte enorme juridiske risikoer.

Selv om selskapet bare ønsket å åpne sine «egne» deler, bryte ned og revidere hvert eksternt fragment Å omskrive eller fjerne den ville være en monumental, dyr og feilutsatt prosess. Og til slutt ville spørsmålet fortsatt gjenstå: hvilken del av hjertet i moderne Windows ville bli avslørt ved et uhell?

Støtte, kontroll og omdømme

La oss anta et øyeblikk at XP var gratis. Forks vedlikeholdt av fellesskapet og selskaper ville dukke opp, De ville bli installert i administrasjoner, industrier eller bankvirksomhet.Og hvem er ansvarlig i tilfelle en alvorlig hendelse? Microsoft vil oppleve at merkevaren sin blir assosiert med feil i derivater utenfor deres kontroll. Uten en offisiell støtte- og oppdateringskjede kan økosystemets omdømme lide.

Videre koordinering av et åpent patch-tre for et så komplekst system Det ville være uhåndterlig uten sentral ledelseEnhver avgjørelse angående sikkerhet eller kompatibilitet kan fragmentere «gratis XP»-landskapet og skape forvirring for brukere og utviklere.

Forretningsmodell og kannibalisering

Å åpne opp XP ville også kollidere med Microsofts forretningsstrategi. Det finnes fortsatt bedriftsprogramvare som er avhengig av XP.Hvis en vedlikeholdt fellesskapsversjon skulle dukke opp, ville denne tilgjengeligheten forsinke migreringer til Windows 11 eller fremtidige utgaver, og påvirke salget av lisenser og skytjenester knyttet til moderne systemer.

Med andre ord ville selskapet konkurrere mot seg selv: En gratis XP ville blitt et rimelig alternativ For organisasjoner med stramme budsjetter kompliserer dette overgangen til abonnements- og sentraliserte administrasjonsmodeller som nå representerer en stor del av virksomheten.

Hva skjedde med den store XP-kodelekkasjen?

I slutten av september 2020 var katten ute av sekken: En torrent på omtrent 43 GB som inneholdt historisk Microsoft-materiale dukket opp på 4chan.Blant de listede elementene var MS-DOS 3.30 og 6.0, Windows NT 3.5 og 4, Windows 2000, flere grener av Windows CE (3, 4 og 5), Windows Embedded 7 og Embedded CE, samt NT 5.x-kjernen. Rundt samme tid sirkulerte en annen pakke på 2,97 GB, en ZIP-fil som var direkte knyttet til Windows XP- og Windows Server 2003-koden.

Flere ingeniører – noen med tilknytning til Microsoft – og sikkerhetseksperter analyserte filene og De anså dem for å være virkelig store fragmenterSelv om det var ufullstendig, ble det funnet at komponenter som kjernen eller Explorer kunne kompileres og produsere binærfiler identiske med de kommersielle, mens viktige deler som winlogon.exe og en rekke drivere manglet i settet, noe som forhindret rekonstruksjon av et komplett system uten erstatninger.

Personen som signerer som NTDEV klarte å sette opp fungerende installasjoner av Windows Server 2003 kombinere filtrerte kilder med manglende binærfilerVideoene hans ble til slutt fjernet på grunn av opphavsrettskrav fra Microsoft, noe mange tolket som ytterligere bevis på materialets legitimitet. Det fantes også offentlige bekreftelser, som sikkerhetsprofesjonell Greg Linares', som bekreftet lekkasjens sannferdighet.

Oppstyret inkluderte noe lite oppbyggelig bakgrunnsstøy: konspirasjonsdokumenter om Bill Gates De dukket opp i pakken, uten noen teknisk interesse. Og spredning av stjålet materiale gjør selvfølgelig ikke bruken av det ufarlig: utover historisk nysgjerrighet utsetter nedlasting og studering av denne koden en for juridiske og etiske risikoer, samt bidrar til spredning av utnyttelser.

• Systemer oppført i megatorrentenMS-DOS 3.30 og 6.0; Windows NT 3.5 og 4; Windows 2000; Windows CE 3, 4 og 5; Windows Embedded 7; Windows Embedded CE; NT 5.x.
• Tilleggspakke2,97 GB ZIP-fil tilskrevet Windows XP og Windows Server 2003.

Hvordan Microsoft nummererer Windows-versjonene sine: fra 5.x til 10.0

Lekkasjen bidro til å gjenopplive en historisk kuriositet: NT 5.x-linjen omfattet Windows 2000 (5.0), XP (5.1), XP 64-bit og Server 2003/2003 R2 (5.2)Med Vista kom spranget til 6.0, og den numeriske grenen ble opprettholdt internt for Server 2008, Server 2012 og til og med for de som er kommersielt kjent som Windows 7 og 8, til tross for navnene deres.

Det beryktede «Windows 9» eksisterte aldri som et ferdig produkt, og Windows 10 tok i bruk versjon 10.0 for å synkronisere markedsføringsnavnet med det interne nummeret. På serversiden er 2016- og 2019-utgavene også oppført som 10.0. Denne kontinuiteten bekrefter at deler av XPs arv kan leve videre under moderne lag.

Hvis du fortsetter med XP: realistiske inneslutningstiltak

Noen organisasjoner kan ikke gi opp XP over natten på grunn av kompatibilitetsproblemer med kritisk maskinvare eller programvare. I så fall, Prioriteten er å redusere angrepsflaten.Den første anbefalingen er å oppgradere til den mest moderne versjonen som mulig (i det minste Windows 7 hvis et større hopp ikke er mulig), men hvis det ikke er mulig, er det på tide å beskytte systemet ditt.

I innebygde miljøer og terminaler som minibanker eller POS-systemer, spesifikke løsninger som Kaspersky Embedded Systems Security De tilbyr kontroller skreddersydd for XP Embedded og tilhørende programvare, med sentralisert administrasjon gjennom Kaspersky Security Center. Disse verktøyene er utviklet for team med begrensede ressurser og svært spesifikke funksjoner.

• Bruk de nyeste kompatible programvareversjonene som fortsatt støtter XP; nettlesere som Chrome sluttet å gjøre det i 2016 og Firefox i 2018.
• Bruk hvitelister (programkontroll): tillater bare de essensielle prosessene og eliminerer unødvendige programmer for å redusere vektorer.
• Isoler deg fra internett når det er muligHvis tilgang er kritisk, bruk den nyeste nettleseren som er tilgjengelig for XP.
• Filtrer trafikk med nettportaler for å blokkere uønskede forespørsler (f.eks. Kaspersky Security for Internet Gateways).

Disse tiltakene gjør ikke XP til et «moderne» sikkert system, men De kan utgjøre forskjellen mellom en hendelse og et kontrollert miljø.Nøkkelen er å anta at det ikke vil bli noen regelmessige oppdateringer og handle deretter med nettverkssegmentering, minimal eksponering og overvåking.

Ville en underskriftskampanje for å åpne XP fungere? Og hva med Haiku-lignende prosjekter?

Ideen om å samle underskrifter for å få Microsoft til å gi ut XP høres god ut på sosiale medier, men ignorerer reelle tekniske og juridiske barriererSelv om man ser bort fra patenter og tredjepartskomponenter, ville kostnadene ved å rengjøre, revidere og publisere slik gjensidig avhengig kode med moderne Windows være uoverkommelige ... og potensielt farlige for selskapets eget økosystem.

Å sammenligne det med Haiku OS er heller ikke nøyaktig. Haiku er en gratis reimplementering av BeOSikke den originale åpen kildekoden. Dette skillet er avgjørende: omskriving fra bunnen av unngår konflikter om immaterielle rettigheter og tillater uavhengig utvikling. For en "gratis XP" ville den mest levedyktige ruten være en binær- eller API-kompatibel reimplementering, en gigantisk innsats som ville kreve flere tiår med arbeidsår og samarbeid fra maskinvareprodusenter for grafikkdrivere og støtte på systemer fra 2012–2016.

Derfor, i stedet for å vente på en offisiell utgivelse, Veien videre innebærer enten migrering eller segmenteringOg for innebygde miljøer, stol på spesialiserte sikkerhetsløsninger når du planlegger den teknologiske overleveringen.

Når man ser på helheten, er det tydelig hvorfor Microsoft ikke vil åpne XP: Den eldre koden med nåværende Windows-versjoner, sikkerhetsrisikoen for millioner av enheter, juridiske forviklinger fra tredjeparter, supportproblemet og kannibaliseringen av virksomheten De danner en vanskelig mur å overvinne. Og lekkasjen fra 2020, med 43 GB torrenter og en 2,97 GB ZIP-fil som inneholder deler av XP og Server 2003, forsterker en ubehagelig virkelighet: å studere et så utbredt operativsystem grundig uten tillatelse øker risikoen for de som fortsatt bruker det, og i forlengelsen av dette, for moderne plattformer. I mellomtiden har de som fortsatt er bundet til XP av nødvendighet ikke noe annet valg enn å redusere eksponeringen sin, implementere strenge kontroller og akselerere migreringsplanene sine med en klar strategi.