Microsoft понадобилось 10 дней, чтобы удалить исходники Windows XP с принадлежащего им GitHub

В исходниках Windows XP нашли секретную тему в стиле Mac

В сентябре вся индустрия всполошилась после новости об утечке исходных кодов Windows XP и Windows Server 2003. Новость оказалась не фейком. Исходные коды настоящие, и из них скомпилировали рабочие версии обеих ОС ^[1].

Напомним, что всё началось 24 сентября: на портале 4chan неизвестные выложили торрент ^[2] на 42,9 ГБ с полными исходниками Windows XP и Windows Server 2003. Хотя сегодня под XP работает меньше 1% компьютеров в мире, а разработчик не обеспечивает никакой поддержки, утечка исходников всё равно вызвала лёгкую эйфорию среди программистов. Ведь мы много лет гадали, как реализованы те или иные функции или API ^[3], а теперь можно посмотреть на код своими глазами.

Так или иначе, Microsoft мгновенно начала войну. Уже на следующий день исходники стали удалять везде, где только можно.

Одновременно Microsoft запустила внутреннее расследование ^[4] по поводу утечки. Вероятно, она произошла через от одну из компаний-партнёров или правительственные организации, с которыми Microsoft вынуждена делиться исходниками для аудита безопасности.

Утечка началась через 4chan, торренты и файлообменник Mega. Файл с Mega был удалён практически сразу после жалобы правообладателя.

С торрентами пришлось повозиться. Хотя некоторые торрент-трекеры действительно реагируют на запросы об удалении информации, сайты вроде The Pirate Bay с радостью индексируют практически всё, включая утечки исходного кода. Здесь даже могущественная Microsoft мало что может сделать.

В крупных агрегаторах информации, как Google или Twitter, ссылки на исходный код были удалены практически полностью и очень быстро, но если ввести в строке поиска значение из magnet-ссылки, то оно встречается и у Google, и у Twitter (если вы хотите нарушить закон и скачать исходники, то совет — в торренте нужен только файл nt5src.rar).

Это не кликабельная ссылка, а просто хеш, сочетание букв и цифр:

3d8b16242b56a3aafb8da7b5fc83ef993ebcf35b

В принципе, запретить это сочетание символов никто не может согласно первой поправке к Конституции США о свободе слова. Эти символы можно свободно печатать на кружках и одежде, как по отдельности, так и целиком.

Но через несколько дней после утечки началось самое интересное. 29 сентября некий разработчик под ником shaswata56 решил, что неплохо будет разместить исходный код Windows XP в репозиторий на Github, чтобы мир мог его увидеть и скачать — для более удобного обсуждения, исправления ошибок и так далее. Интересно здесь то, что Github принадлежит Microsoft, поэтому Microsoft фактически сама разместила утечку собственного кода.

Учитывая серьёзность инцидента, можно было предположить, что Github мгновенно обнаружит и удалит репозиторий. Но этого не произошло. Несмотря на всю огласку, Microsoft потребовалось целых десять дней, чтобы что-то с этим сделать. Более того, ей пришлось отправить собственной компании уведомление DMCA с просьбой удалить код!

«Я работаю в Microsoft Security Incident Response. Код, о котором идёт речь, взят из утечки исходного кода Windows XP, — говорится в уведомлении DMCA ^[5] от 8 октября в адрес Github. — Контент на Github извлечён непосредственно из торрента (который также удалён)», — сказано в документе.

Изначально в этом уведомлении даже было указано вышеупомянутое хеш-значение из торрента 7c370b5e00b91b12fc02e97bacdca24306dc12b5, но позже Microsoft опомнилась и удалила его. Однако оно сохранилось в архивных копиях заявления.

Очевидно, Microsoft ошибается в утверждении, что торрент «удалён», поскольку magnet-ссылка широко разошлась в интернете.

Тем не менее, при большом желании и вмешательстве самого высшего руководства, наверное, можно было бы легко принудить дочернюю компанию сделать то, что хочет начальство, — удалить исходный код. Это заняло бы 5 минут. Один телефонный звонок. Вместо этого потребовалось ровно 10 дней — целая вечность, когда речь идёт об утечках; даже немного неловко, что ваш собственный сайт столько времени распространял утечку, гайз.

Учитывая то, что в кеше Google тоже до сих пор доступны magnet-ссылки, есть другая версия. Возможно, Microsoft понимает, что все эти меры бесполезны. Может, она не слишком беспокоится или даже рада публикации исходников. Вдруг сообщество найдёт серьёзные баги в тех частях кода, которые до сих пор работают в Windows 10 и Windows Server 2019 (а таких частей, наверняка, немало). И Microsoft сможет исправить эти ошибки.

Автор: ITSumma

Источник ^[6]