Windows NT/2k code uitgelekt

Zou het waar zijn?

Volgens mij gaat dit, ALS het waar is, enorme gevolgen hebben.

Ben trouwens zelf ook best benieuwd naar de code, zou er wel eens even doorheen willen snuffelen


Nieuwsberichten:
http://zdnet.com.com/2100-1104_2-5158496.html
http://www.infoworld.com/article/04/02/12/HNmicroleak_1.html

Andere linkjes:
http://heim.ifi.uio.no/~mortehu/files.txt
http://www.xs4all.nl/~reije081/xp00.png
http://www.xs4all.nl/~reije081/xp01.png

Dit heeft zeker gevolgen voor heel veel Windows 2000 gebruikers en het Microsoft personeel.

De Windows 2000 gebruikers omdat deze het dupe zullen worden van de vele exploits die gemaakt kunnen worden aan de hand van het analyseren van de source-code. Hoofdzakelijk zullen zulke exploits in het eerste stadium geheim worden gehouden en een aantal lekken zullen ook wel aan Microsoft gemeld worden, maar er bestaat altijd nog de kans dat de exploit uitlekt en dat hij in de handen van derden komt die hem gaan gebruiken met andere doeleinden, namelijk molest. De zogeheten "scriptkiddies".

Voor het Microsoft personeel omdat een source-code simpelweg niet zomaar kan uitlekken dus dit wordt tot de bodem toe uitgezocht en er zullen ontslagen vallen en rechtzaken aangespannen worden, mits aantoonbaar.

Goh... wat een taal. Ben ik zo n00b? Moet ik begrijpen dat hierdoor zwakheden die verkeerd gebruikt kunnen worden gevonden kunnen worden?

ik moet hier bij zeggen ik dit echt ontzettend erg vind voor microsoft en haar personeel!

Dit kan gewoon echt niet.. uit den boze!

Arme programmeurs die voor ons uit de naad werken jaren en jaren en een sukkel kiddo zet het online?
staf 20 jaar cel!

Ze hebben jarenlang geprobeerd de mooiste beveiligingslekken te creeeren en nu kunnen anderen daar gewoon misbruik van maken!

snap er geen pepernoot van

Bij M$ waarschijnlijk ook niet...

en het fijne... Xp en alles is op deze code gebaseerd. Met het schijnt om stukjes van de code te gaan.

ken er niet mee zitten..

he maar denk even de andere kant op
het kan ook eenvoor deel zijn omdat je
je nu je eigen windows kan compile

dan het nu een open source worden waardoor de ms bugs eruit gehaald kunnen worden.

dus je kan een soort linx krijgen waar ale windows apps op draaien

ik zie meer voor delen dan nadelen eerlijk gezecht en die scriptkiddies tja daar moeten we maar leren leven doen we nu toch al

gewoon goed op leten wat je doet

er ziten er hier trouwens ook veel op partyflock.
zal niet lang meer duren of we worden we krijgen bezoek van BREIN hier

is al te downen..... iemand hebben?

zie ook:
http://www.tweakers.net/nieuws/31031

wij zijn hier al bezig met met downen maar jan nu nog afwachten of het doe goeien als we hem hebben meld ik het wel

uhm zit wel een hoop zooi tussen

maar deze is wel grappig
http://www.theloonies.co.uk/2000.04/0015.html

Would you believe I managed to steal the C source code for Windows 2000?

/* Source Code to Windows 2000 */

#include "win31.h"
#include "win95.h"
#include "win98.h"
#include "workst~1.h"
#include "evenmore.h"
#include "oldstuff.h"
#include "billrulz.h"
#include "monopoly.h"
#define INSTALL = HARD

char make_prog_look_big[1600000];
void main()
{
while(!CRASHED)
{
display_copyright_message();
display_bill_rules_message();
do_nothing_loop();
if (first_time_installation)
{
make_50_megabyte_swapfile();
do_nothing_loop();

totally_screw_up_HPFS_file_system();

search_and_destroy_the_rest_of_OS/2();

make_futile_attempt_to_damage_Linux();
disable_Netscape();
disable_RealPlayer();
disable_Lotus_Products();
hang_system();
}

write_something(anything);
display_copyright_message();
do_nothing_loop();
do_some_stuff();

if (still_not_crashed)
{
display_copyright_message();
do_nothing_loop();
basically_run_windows_3.1();
do_nothing_loop();
do_nothing_loop();
}
}

if (detect_cache())
disable_cache();

if (fast_cpu())
{
set_wait_states(lots);
set_mouse(speed, very_slow);
set_mouse(action, jumpy);
set_mouse(reaction, sometimes);
}

/* printf("Welcome to Windows 3.1"); */
/* printf("Welcome to Windows 3.11"); */
/* printf("Welcome to Windows 95"); */
/* printf("Welcome to Windows NT 3.0"); */
/* printf("Welcome to Windows 98"); */
/* printf("Welcome to Windows NT 4.0"); */
printf("Welcome to Windows 2000");


if (system_ok())
crash(to_dos_prompt)
else
system_memory = open("aswp0001.swp", O_CREATE);

while(something)
{
sleep(5);
get_user_input();
sleep(5);
act_on_user_input();
sleep(5);
}
create_general_protection_fault();
}

lol

Het bericht lijkt redelijk echt. Over de gevolgen hoef ik het natuurlijk niet te hebben, die kunnen zeer ernstig voor MS zijn.

Ik heb al wat stukken gezien en als iemand dit gefaked heeft, dan heeft diegene er wel ONTZETTEND veel werk ingestoken.

Wel mooi om te zien hoe een deel van de scene (neowin, winbeta e.d.) actief probeert te voorkomen dat de bestanden verspreid worden. Ik vrees echter dat dat niet echt mag baten.

Zou leuk zijn als blijkt dat MS stukken code heeft gejat van bijvoorbeeld SCO

dan gaat er ergens wel iets fout

lol @ gougar

"totally_screw_up_HPFS_file_system();

search_and_destroy_the_rest_of_OS/2();

make_futile_attempt_to_damage_Linux();
disable_Netscape();
disable_RealPlayer();
disable_Lotus_Products();
hang_system();
}"

humor

ik dacht dat MS al betaalde voor licentie's aan SCO?
maar van mij mag SCO dood, kut bedrijf.

"als" ze iets gejat zouden hebben bijvoorbeeld

De code is echt, microsoft heeft het bevestigd:
http://www.microsoft.com/presspass/press/2004/Feb04/02-12windowssource.asp

Zo kun je je klanten natuurlijk ook tot upgraden dwingen.

Microsoft heeft inderdaad bevestigd dat er code uitgelekt is, maar het schijnt maar een klein deel te zijn. Eerder een samenraapsel van wat dingen dan de gehele source, en geen echt belangrijke delen (zoals de kernel).

Je kan er dus vrij weinig mee, laat staan je eigen windows compilen. Wat sowieso een enorme opgave zou zijn natuurlijk, een OS bestaat niet uit één applicatie die je met een druk op de knop kan compilen.

Desondanks IS het wel source code en ligt er best wel wat op straat. Er zijn trouwens ook nogal wat grappige dingen in de source te vinden, zoals allerlei flauwe commentaarregels of .bmp'tjes die in Paint gemaakt zijn door programmeurs.

Ik denk dat het probleem niet zoiezeer zit in het feit dat mensen nu hun eigen windows kunnen compilen, maar meer dat nu de hele wereld de code kan auditten.

dat zou ik niet te hard zeggen

Er zitten delen in van rpc, winsock, wininet, etc.. en like, stel iemand vind een bug in bijv een jpg parser oid. Kan best link zijn

eSDee praat zijn mond voorbij

Niet alleen het audit'en kan een gevaar zijn, het is ook een klap voor MS's 'Intellectual Property'. Gelukkig voor hun dat het maar een deel van de source is.

Ben trouwens wel blij dat ik niet in de schoenen sta van diegene die het gelekt heeft

Uiteindelijk is natuurlijk alle code die uitgelekt is belangrijk. Wat ik bedoel te zeggen, is dat je met deze sources gewoon niet erg veel in handen hebt. Ik lees dat de totale sources 40 Gb zijn. Dan heb je met deze 660 Mb maar een heel klein deel.

Tja alle userland shit kan van mijn part gestolen worden... de interessante dingen zoals de rpc interface, kernel en bv winsock zijn belangrijk!

En userland tools zoals ftp etc zijn allemaal gepikt van OpenBSD Net zoals dat ze een nonexec stack en heap gaan introduceren... ook allemaal afgekeken van UNIX.

MSBullshit operating system.

Tja local bugs onder windows boeien geen fuck. Er zijn zoiezo al genoeg shatter exploits voor windows.

maarja.. de jpg/png parser code zit er geloof ik ook bij, als daar bugs in gevonden worden zouden die remote getriggerd kunnen worden. (bijv. door IE, of outlook) kan je er nog wel wat lol mee beleven

kom net uit me werk kzag het net pas

een paar gasten die ik ken hebben ook al een stuk code. Maar ik vraag me ag hoe groot de gevolgen zijn want ik denk dat ze bij microsoft ook constant code zitten te analyseren. Ze brengen hiervoor ook patches uit en het stuk dat nu gelekt is zal wel de hoogste prioriteit krijgen. afwachten dus

ben 'm aan het binnen halen.. kben bnieuwd

[esdee@flopppp research]$ du -H windows_2000_source_code.zip
214MB windows_2000_source_code.zip


het staat zo'n beetje overal op internet nu.

lollige comments btw:

./private/shell/shell32/util.cpp:// around the fucking peice of shit compiler we pass the last param as an void *instead of a LPITEMIDLIST
./private/shell/shell32/util.h:// the fucking alpha cpp compiler seems to fuck up the goddam type "LPITEMIDLIST", so to work

etc..

Ik heb m op 203 MB

Maar goed, dat programmeurs af en toe leuk commentaar toe kunnen voegen is al wel duidelijk uit de linux sources

Vaak halen ze dat er trouwens wel uit (helaas!).

Ah linux is een bij1geraapt zooitje, kies voor OpenBSD! Strakke ansi c code, geen bullshit, (bijna) clean knf source, geen gpl shit etc etc!
Mahja, ik ga naar bed... laterz

FreeBSD is tot nu toe mijn *nix favoriet Zal voorlopig nog wel even zo blijven

Heb net even anderhalf uur source zitten doorsnuffelen, zijn toch wel een aantal dingen waar ik van op kijk en waarvan ik denk dat MS er ook niet blij mee zal zijn dat dit nu op straat ligt

ja ach, naar voor bill ....

still linux rules

linux != rules

Er is geen enkele Linux distro die out of the box sneller dan OpenBSD installed! Gentoo zuigt omdat alles gecompiled moet worden, Debian zuigt omdat het of outdated is en apt gewoonweg flawed is.
Redslet is commerciel (al is Fedora wel redelijk kicking-ass) en SuSE... tja... yast... do i need to say more?
Solaris of OpenBSD op de server, MacOSX op de desktop = enlightment

Maar dat is mijn mening

zolang ik maar een zwartscherm heb met grijze letters en een root@ prompt vind ik t best

Console zuigt ook, Gnome aan de m8!

grafische meuk zuigt

nou ik heb em allang binnen ben mar mijn eigen besturing ant programeren

Ik heb ook lang openbsd gedraaid, maar ik ben er eigelijk niet meer zo'n fan van nu.

En like, iedere keer is er weer iets waardoor openbsd noooit meer te ownen is, vage patches die je zogenaamd moeten beschermen, en dan komt er weer een of andere kernel vuln. en dan blijkt dat al je puike systrace policies helemaal geen zin hebben

Er zijn geruchten van veel kernel bugs, en ook van kmalloc() bugs, dus dan helpt de propolice patch waarmee de kernel gecompiled is ook niet meer. (beschermt alleen tegen stack overflows, niet tegen heap)

Komt nog eens bij dat theo een enorme lul is
Die claim van '1 remote hole' klopt voor geen kant: sshd heeft zoiezo die deattack bug gehad en die challenge-response bug. Ook zat er een fmt string bug in talkd, die standaard ook aanstond.
Beetje valse informatie.

Ook grappig:
"As theo announced on misc@, non-executable stack support is available in the most
recent snapshots for most platforms. In other words, say goodbye to the vast majority
of buffer overflow attacks against OpenBSD machines "

Ik ondekte dat je gewoon in mprotect() kon returnen in libc, en gewoon de stack weer terug executable kon zetten. Super lomp

Ihmo is een linux bak met een PaX patch veiliger dan een openbsd bak

juh ceno, itchie heeft me gehersenspoeld

Zozo, zo komt t gesprek op OpenBSD vs. Linux terecht

Maar goed, ik hoor hier geen commentaar over FreeBSD... Wat is de mening daarover? De uptimes op netcraft geven me iig wel redelijk wat vertrouwen dat het zeker stabiel is. Tuurlijk zijn er wel wat exploits voor, maar voor welk OS niet?

Iig, heb Solaris hier ook nog in de kast liggen, wie weet een keer proberen.

PS: ports collecties heeft mn hart!

Het is jammer dat er voor freebsd geen PaX-achtige kernel patches zijn.

Of heb ik wat gemist?

ach, ieder jaar een nieuwe windows
Dus boeie.

En BSD is het veiligste OS wat er is
Iedereen gebruikt zowat windows omdat daar verweg de meeste commerciele software op draait.
Best wel jammer.
Terwijl een Desktopje in Linux er standaard al veel cooler uitziet.



Ik ben dik tevreden met Debian hoor
'apt'-get is gewoon een geweldige tool!
Eindelijk eens niet veel gekut als je iets wil installeren.

veiligste os ligt imho nogal aan de admin