Tại sao Microsoft không phát hành mã nguồn Windows XP

Informatec Digital » Recursos » Tại sao Microsoft không phát hành mã nguồn Windows XP

Có một câu hỏi liên tục xuất hiện trên các diễn đàn và mạng xã hội: Tại sao Microsoft không phát hành mã nguồn của Windows XP? Nỗi nhớ về hệ thống đã định hình cả một thế hệ song hành cùng khát khao xây dựng những bản sao hiện đại, được tối ưu hóa cho phần cứng tương đối mới, mà không cần dùng đến các bản hack hay trình điều khiển phức tạp. Hơn nữa, ký ức về vụ rò rỉ dữ dội đã đảo lộn mọi thứ vẫn còn in đậm.

Sự thật là, mặc dù nhiều người có thể coi đây là một động thái hiển nhiên và vô hại, nhưng việc mở XP không hề đơn giản như vậy. Có những lý do về kỹ thuật, pháp lý, an ninh mạng và kinh doanh Điều này khiến ý tưởng này trở nên bất khả thi vào thời điểm hiện tại. Và trên đường đi, chúng ta nên xem xét lại những gì đã xảy ra với vụ rò rỉ mã nguồn nổi tiếng, những rủi ro mà nó gây ra, và những gì có thể được thực hiện bởi những người vẫn còn gắn bó với XP vì nhu cầu cấp thiết.

Đề xuất của cộng đồng: Mở XP, tại sao không?

Trong số những người hâm mộ, có những người đề xuất một giải pháp đơn giản hơn là đưa mã XP vào phạm vi công cộng hoặc theo các giấy phép như GPL. Lập luận này rất hấp dẫn: một hệ thống bắt nguồn từ XP.Vẻ ngoài cổ điển nhưng bên trong lại thoải mái, hỗ trợ mượt mà cho các máy từ thời 2012-2016 và trình điều khiển đồ họa tốt, nó có thể tìm được chỗ đứng riêng. Nếu những dự án như Haiku OS tồn tại, họ nói, điều gì ngăn cản một "XP miễn phí" được tinh chỉnh tốt xuất hiện?

Sự lạc quan này càng tăng thêm khi có nhận định rằng điều này sẽ không gây hại cho Microsoft: Hầu hết người dùng nói chung không muốn phần mềm lỗi thờiVà càng tệ hơn nữa nếu nó bị "đóng băng" một cách có chủ đích. XP là một hệ điều hành kỳ cựu - hơn hai thập kỷ tuổi đời - và gần như không thể tồn tại ở một số quốc gia hoặc lĩnh vực cụ thể (trường hợp của Armenia thậm chí đã được đề cập). Thậm chí còn có ý kiến ​​cho rằng nên lập một bản kiến ​​nghị để gây áp lực lên Redmond. Và người ta còn nhớ rằng công ty này đã từng phát hành mã nguồn lịch sử như một phần của MS-DOS.

Điểm quan trọng của tầm nhìn lý tưởng đó nằm ở điều thường bị bỏ qua: XP mà chúng ta nhớ có chung DNA với các phiên bản Windows hiện tạiNó tích hợp các thành phần được cấp phép bởi bên thứ ba và là một phần của hệ sinh thái với các nghĩa vụ pháp lý, hỗ trợ và thương mại. Nó không phải là một sản phẩm độc lập có thể mở ra mà không gặp bất kỳ hậu quả nào.

Điều quan trọng nữa là phải phân biệt giữa "thông tin đã bị rò rỉ" và "thông tin đã được phát hành". Mặc dù một số mã XP đã bị rò rỉ mà không được phépĐiều đó không làm cho việc sử dụng nó trở nên hợp pháp hoặc cho phép thế giới tạo ra các sản phẩm phái sinh mà không cần phải làm gì thêm; ngược lại, việc phát triển trên cơ sở đó chính xác là điều mà luật pháp cấm.

Di sản mã và bí mật thương mại

Windows XP không phải là một hòn đảo. Nó chia sẻ kiến ​​trúc, mô-đun và API với các phiên bản sau. chẳng hạn như các phiên bản Windows 10, 11 và Server. Việc công bố mã nguồn của chúng sẽ làm lộ các thuật toán, thành phần nội bộ và phương pháp kỹ thuật vẫn đang được sử dụng. Việc này sẽ cung cấp manh mối cho các đối thủ cạnh tranh… và cả cho những kẻ tấn công, làm suy yếu tính bảo mật của các nền tảng hiện tại.

Sự liên tục về mặt kỹ thuật này không phải là một ý thích nhất thời: Khả năng tương thích ngược là trụ cột của hệ sinh thái Windows.Trong nhiều năm, Microsoft đã duy trì các lớp và hệ thống con cũ để giữ cho phần mềm cũ chạy được. Việc mở XP sẽ hiển thị các thành phần vẫn hỗ trợ chức năng hoặc khả năng tương thích trên máy tính hiện đại, và theo thiết kế, chúng không nên được cung cấp miễn phí.

Chúng ta cũng không nên quên “bí mật thương mại”: quyết định thiết kế, tối ưu hóa, giải pháp cho các vấn đề lịch sử tạo thành cốt lõi của hệ thống. Việc công bố chúng không chỉ làm giảm lợi thế cạnh tranh mà còn trả lại thông tin nhạy cảm cho cộng đồng, có thể bị diễn giải lại để tấn công các yếu tố vẫn đang được triển khai.

An ninh mạng: lỗ hổng, rò rỉ và tấn công

Mặc dù thị phần của XP chỉ chiếm một con số nhỏ, nhưng tỷ lệ này lại gây hiểu lầm: Con số "ít hơn 1%" đó tương đương với hàng triệu thiết bịVà nhiều trong số chúng không phải là máy tính gia đình. Bạn vẫn có thể tìm thấy các máy ATM, máy POS, máy móc công nghiệp và thiết bị y tế chạy các phiên bản XP, đặc biệt là các phiên bản Embedded như POSReady 2009, được hỗ trợ đặc biệt cho đến năm 2019.

Khi mã nguồn bị rò rỉ, tình hình sẽ trở nên tồi tệ hơn: kẻ tấn công có thể nghiên cứu hệ thống một cách chi tiếtĐể tìm ra các lỗ hổng chưa được biết đến trước đây và khai thác chúng ngay cả khi không còn bản vá chính thức nào nữa (Microsoft đã ngừng hỗ trợ XP vào năm 2014, chỉ trừ một vài trường hợp khẩn cấp). Hãy cùng xem xét hai trường hợp điển hình đã được giảm thiểu do mức độ nghiêm trọng toàn cầu của chúng: CVE-2017-0144, nền tảng của mã độc tống tiền WannaCry, và CVE-2019-0708.

Thêm vào đó là một vấn đề thực tế: Hầu hết các giải pháp bảo mật hiện tại không hỗ trợ XPNgay cả các nhà sản xuất vẫn duy trì các sản phẩm tương thích cũng đã ngừng phát hành các phiên bản đó do tính bất khả thi về mặt kỹ thuật. Khoảng trống này khiến các tổ chức phụ thuộc vào XP không có được sự bảo vệ hiện đại, trừ khi họ sử dụng các biện pháp bảo vệ rất cụ thể cho môi trường nhúng.

Vậy có nghĩa là chỉ cần xem mã là tự động phát hiện ra lỗi trong Windows 10 phải không? Không hẳn vậy. Các biện pháp phòng thủ trong các phiên bản gần đây (DEP, ASLR và các biện pháp giảm thiểu khác) làm tăng rào cảnTuy nhiên, vẫn tồn tại sự chồng chéo mã cũ, và chúng giúp việc tìm kiếm mối tương quan trở nên dễ dàng hơn. Ví dụ, trong XP trước SP3, việc chuyển đổi lỗi tràn bộ đệm thành thực thi mã từ xa là điều phổ biến; ngày nay, việc này không còn đơn giản như vậy nữa, nhưng bản đồ hệ thống giúp tinh chỉnh các vectơ.

Giấy phép, bằng sáng chế và thành phần của bên thứ ba

Một rào cản không thể vượt qua khác chính là vấn đề pháp lý. XP tích hợp các phần có bản quyền của bên thứ baDRM, các thành phần mã hóa tuân theo quy định xuất khẩu, trình điều khiển, mã nguồn và các mô-đun có hợp đồng cụ thể. Việc phát hành toàn bộ gói sẽ xung đột với các bằng sáng chế, thỏa thuận quốc tế và các cam kết thương mại mà Microsoft không thể vi phạm mà không phải đối mặt với những rủi ro pháp lý to lớn.

Ngay cả khi công ty chỉ muốn mở những bộ phận "của riêng mình", phân tích và kiểm tra từng phần bên ngoài Việc viết lại hoặc xóa bỏ nó sẽ là một quá trình tốn kém, phức tạp và dễ xảy ra lỗi. Và cuối cùng, câu hỏi vẫn còn đó: phần nào trong cốt lõi của Windows hiện đại sẽ vô tình bị lộ ra?

Hỗ trợ, kiểm soát và uy tín

Giả sử XP là miễn phí, các nhánh do cộng đồng và các công ty duy trì sẽ xuất hiện. Chúng sẽ được lắp đặt trong các cơ quan hành chính, công nghiệp hoặc ngân hàng.Và trong trường hợp xảy ra sự cố nghiêm trọng, ai sẽ chịu trách nhiệm? Microsoft sẽ thấy thương hiệu của mình bị gắn liền với những lỗi phát sinh ngoài tầm kiểm soát. Nếu không có chuỗi hỗ trợ và cập nhật chính thức, danh tiếng của hệ sinh thái có thể bị ảnh hưởng.

Hơn nữa, việc phối hợp một cây vá mở cho một hệ thống phức tạp như vậy Sẽ không thể quản lý được nếu không có sự lãnh đạo tập trungBất kỳ quyết định nào liên quan đến bảo mật hoặc khả năng tương thích đều có thể làm phân mảnh bối cảnh "XP miễn phí", gây nhầm lẫn cho người dùng và nhà phát triển.

Mô hình kinh doanh và sự tự hủy diệt

Việc mở XP cũng sẽ xung đột với chiến lược kinh doanh của Microsoft. Vẫn còn phần mềm doanh nghiệp sử dụng XP.Nếu phiên bản cộng đồng được duy trì xuất hiện, tính khả dụng đó sẽ làm chậm quá trình di chuyển sang Windows 11 hoặc các phiên bản trong tương lai và sẽ ảnh hưởng đến doanh số bán giấy phép và dịch vụ đám mây liên quan đến các hệ thống hiện đại.

Nói cách khác, công ty sẽ cạnh tranh với chính mình: Một XP miễn phí sẽ trở thành một giải pháp thay thế có chi phí thấp Đối với các tổ chức có ngân sách eo hẹp, điều này làm phức tạp quá trình chuyển đổi sang mô hình đăng ký và quản lý tập trung hiện đang chiếm phần lớn trong doanh nghiệp.

Chuyện gì đã xảy ra với vụ rò rỉ mã XP lớn?

Vào cuối tháng 9 năm 2020, sự thật đã được phơi bày: Một luồng dữ liệu khoảng 43 GB chứa các tài liệu lịch sử của Microsoft đã xuất hiện trên 4chanTrong số các mục được liệt kê có MS-DOS 3.30 và 6.0, Windows NT 3.5 và 4, Windows 2000, một số nhánh của Windows CE (3, 4 và 5), Windows Embedded 7 và Embedded CE, cũng như nhân NT 5.x. Cùng thời điểm đó, một gói 2,97 GB khác đã được lưu hành, một tệp ZIP được gán trực tiếp cho mã Windows XP và Windows Server 2003.

Một số kỹ sư—một số có liên hệ với Microsoft—và các chuyên gia bảo mật đã phân tích các tập tin và Họ coi chúng là những mảnh vỡ thực sự lớnMặc dù chưa hoàn thiện, người ta phát hiện ra rằng các thành phần như kernel hoặc Explorer có thể được biên dịch và tạo ra các tệp nhị phân giống hệt với các tệp thương mại, trong khi các thành phần quan trọng như winlogon.exe và nhiều trình điều khiển bị thiếu trong bộ, khiến không thể xây dựng lại toàn bộ hệ thống mà không có sự thay thế.

Người ký tên là NTDEV đã thiết lập được các cài đặt hoạt động của Windows Server 2003 kết hợp các nguồn đã lọc với các tệp nhị phân bị thiếuCác video của anh cuối cùng đã bị gỡ xuống do Microsoft khiếu nại về bản quyền, điều mà nhiều người cho là bằng chứng thêm về tính xác thực của tài liệu. Cũng có những xác nhận công khai, chẳng hạn như xác nhận của chuyên gia bảo mật Greg Linares, đã xác nhận tính xác thực của vụ rò rỉ.

Sự náo động bao gồm một số tiếng ồn nền không mấy dễ chịu: tài liệu âm mưu về Bill Gates Chúng xuất hiện trong gói, không liên quan đến bất kỳ lợi ích kỹ thuật nào. Và, tất nhiên, việc phát tán tài liệu bị đánh cắp không đồng nghĩa với việc sử dụng chúng vô hại: ngoài sự tò mò về lịch sử, việc tải xuống và nghiên cứu mã đó còn tiềm ẩn những rủi ro pháp lý và đạo đức, cũng như góp phần vào việc phát tán các lỗ hổng.

• Hệ thống được liệt kê trong megatorrent: MS-DOS 3.30 và 6.0; Windows NT 3.5 và 4; Windows 2000; Windows CE 3, 4 và 5; Windows Embedded 7; Windows Embedded CE; NT 5.x.
• Gói bổ sung: Tệp ZIP 2,97 GB dành cho Windows XP và Windows Server 2003.

Cách Microsoft đánh số phiên bản Windows của mình: từ 5.x đến 10.0

Vụ rò rỉ này đã giúp khơi lại sự tò mò trong lịch sử: Dòng NT 5.x bao gồm Windows 2000 (5.0), XP (5.1), XP 64-bit và Server 2003/2003 R2 (5.2)Với Vista, phiên bản 6.0 đã có bước nhảy vọt và nhánh số đó được duy trì nội bộ cho Server 2008, Server 2012 và thậm chí cho cả những phiên bản được biết đến trên thị trường là Windows 7 và 8, bất chấp tên gọi của chúng.

Phiên bản "Windows 9" khét tiếng chưa bao giờ tồn tại như một sản phẩm cuối cùng, và Windows 10 đã áp dụng phiên bản 10.0 để đồng bộ hóa tên tiếp thị với số nội bộ. Trên máy chủ, các phiên bản 2016 và 2019 cũng được liệt kê là 10.0. Sự tiếp nối này xác nhận rằng một số phần di sản của XP vẫn có thể tồn tại dưới các lớp hiện đại.

Nếu bạn tiếp tục sử dụng XP: các biện pháp ngăn chặn thực tế

Một số tổ chức, do vấn đề tương thích với phần cứng hoặc phần mềm quan trọng, không thể từ bỏ XP ngay lập tức. Trong trường hợp đó, Ưu tiên hàng đầu là giảm bề mặt tấn công.Khuyến nghị đầu tiên là nâng cấp lên phiên bản hiện đại nhất có thể (ít nhất là Windows 7 nếu không thể nâng cấp lên phiên bản mới hơn), nhưng nếu không thể, thì đã đến lúc bạn phải bảo vệ hệ thống của mình.

Trong môi trường nhúng và các thiết bị đầu cuối như máy ATM hoặc hệ thống POS, các giải pháp cụ thể như Bảo mật hệ thống nhúng của Kaspersky Chúng cung cấp các tính năng kiểm soát được thiết kế riêng cho XP Embedded và các phiên bản hệ điều hành tương tự, với khả năng quản lý tập trung thông qua Kaspersky Security Center. Các công cụ này được thiết kế cho các nhóm có nguồn lực hạn chế và chức năng rất cụ thể.

• Sử dụng phiên bản phần mềm tương thích mới nhất vẫn hỗ trợ XP; các trình duyệt như Chrome đã ngừng hỗ trợ vào năm 2016 và Firefox vào năm 2018.
• Áp dụng danh sách trắng (Kiểm soát ứng dụng): chỉ cho phép các tiến trình cần thiết và loại bỏ các chương trình không cần thiết để giảm thiểu các vectơ.
• Tách biệt khỏi Internet bất cứ khi nào có thểNếu việc truy cập là quan trọng, hãy sử dụng trình duyệt mới nhất dành cho XP.
• Lọc lưu lượng truy cập bằng cổng web để chặn các yêu cầu không mong muốn (ví dụ: Kaspersky Security for Internet Gateways).

Những biện pháp này không làm cho XP trở thành một hệ thống an toàn "hiện đại", nhưng Chúng có thể tạo ra sự khác biệt giữa một sự cố và một môi trường được kiểm soát.Điều quan trọng là phải giả định rằng sẽ không có bản vá thường xuyên và hành động phù hợp với phân đoạn mạng, mức độ phơi nhiễm tối thiểu và giám sát.

Liệu một bản kiến ​​nghị mở XP có hiệu quả không? Còn những dự án kiểu Haiku thì sao?

Ý tưởng thu thập chữ ký để yêu cầu Microsoft phát hành XP nghe có vẻ hay trên mạng xã hội, nhưng bỏ qua các rào cản kỹ thuật và pháp lý thực sựNgay cả khi không tính đến các bằng sáng chế và thành phần của bên thứ ba, chi phí dọn dẹp, kiểm tra và xuất bản mã phụ thuộc lẫn nhau như vậy với Windows hiện đại sẽ rất cao… và có khả năng gây nguy hiểm cho hệ sinh thái của chính công ty.

So sánh nó với Haiku OS cũng không chính xác. Haiku là một phiên bản miễn phí của BeOSkhông phải là mã nguồn mở gốc. Sự khác biệt này rất quan trọng: viết lại từ đầu giúp tránh xung đột sở hữu trí tuệ và cho phép phát triển độc lập. Để có một "XP miễn phí", con đường khả thi nhất sẽ là triển khai lại tương thích với nhị phân hoặc API, một nỗ lực khổng lồ đòi hỏi hàng thập kỷ lao động và sự hợp tác từ các nhà sản xuất phần cứng để có trình điều khiển đồ họa và hỗ trợ trên các hệ thống 2012-2016.

Vì vậy, thay vì chờ đợi bản phát hành chính thức, Con đường phía trước liên quan đến việc di cư hoặc phân khúcĐối với môi trường nhúng, hãy dựa vào các giải pháp bảo mật chuyên biệt khi lập kế hoạch chuyển giao công nghệ.

Nhìn vào toàn cảnh, có thể thấy rõ lý do tại sao Microsoft không mở XP: Mã cũ với các phiên bản Windows hiện tại, rủi ro bảo mật đối với hàng triệu thiết bị, sự ràng buộc pháp lý của bên thứ ba, vấn đề hỗ trợ và sự cạnh tranh gay gắt của doanh nghiệp Chúng tạo thành một bức tường khó vượt qua. Và vụ rò rỉ năm 2020, với 43 GB torrent và một tệp ZIP 2,97 GB chứa các phần của XP và Server 2003, càng củng cố một thực tế khó chịu: việc nghiên cứu kỹ lưỡng một hệ điều hành phổ biến như vậy mà không được phép sẽ làm tăng rủi ro cho những người vẫn đang sử dụng nó, và theo đó, cho cả các nền tảng hiện đại. Trong khi đó, những người vẫn gắn bó với XP vì nhu cầu bắt buộc không còn lựa chọn nào khác ngoài việc giảm thiểu rủi ro, thực hiện các biện pháp kiểm soát chặt chẽ và đẩy nhanh kế hoạch di chuyển của họ bằng một chiến lược rõ ràng.