O código fonte do Windows XP apareceu online! Podem surgir agora muitos problemas
O Windows XP é um sistema que a Microsoft já matou e enterrou há alguns anos. Sendo considerado por muitos o melhor sistema de sempre, continua a ter taxas de utilização muito elevadas. A resistência à mudança é normal, mas isto pode representar um problema grave.
Ainda mais grave parece ser uma situação que surgiu agora. Segundo algumas fontes revelam, o código fonte do Windows XP foi colocado online e dá assim acesso a tudo o que a Microsoft criou. O problema é que, desta forma, podem ser exploradas novas vulnerabilidades.
Código fonte do Windows XP revelado
Foi em abril de 2019 que a Microsoft terminou oficialmente o suporte ao Windows XP. Este perdia assim a sua validade e passava a ser um sistema operativo morto e sem quaisquer atualizações, quer de funcionalidades, quer de segurança.
Uma informação agora revelada dá conta de que o código fonte do Windows XP surgiu online. Ao todo são 2,97 GB de dados que foram confirmados e que passaram a estar hoje disponíveis como um torrent, publicado no fórum 4chan.
The Windows XP SP1 source code leak looks pretty legit
Thanks to @RoninDey for confirming https://t.co/A2Ap1fKX5x
— Greg Linares (@Laughing_Mantis) September 24, 2020
Há mais sistemas da Microsoft expostos
Para além do Windows XP, o pacote de dados será muito maior, 43 GB, e terá também outros sistemas operativos da Microsoft. Fala-se que presentes estão várias versões do DOS, do Windows CE, do Windows NT e o Windows 2000.
Para estes últimos sistemas a questão parece ser diferente. Não está presente o código fonte, mas sim versões mais antigas destes sistemas. Presente está também uma pasta onde estão vários vídeos sobre conspirações contra Bill Gates.
Podem agora surgir muitos problemas
O grande problema aqui é que o Windows XP é ainda muito usado, principalmente na indústria e na banca. Com este código fonte poderá ser simples encontrar vulnerabilidades e explorar falhas que sejam reveladas da sua análise.
Para além deste problema, grave, há ainda a questão do código do Windows 10. Tem-se especulado que partes do código podem ter sido aproveitadas para o sistema mais recente, que ficaria assim também exposto e vulnerável.
Este artigo tem mais de um ano
O maior problema vão ser os ATM (caixas multibanco) que funcionam com SO Windows XP….
só que o acesso aos ATM não é feito do exterior, i.e., ao alcance do cidadão…
Apenas operadores autorizados têm acesso à maquina em si…
Isso não quer dizer que não exista maneira de contornar esse sistema, se tens acesso ao cliente (ATM) podes enganar o cliente 😉
GC, internet, ataque por internet. Com o código fonte do SO, o acesso é extremamente fácil.
Gosto da expressão “Extremamente fácil” hahaha
Fácil é, dificil é não ser apanhado, lol
ernez, nem isso… A rede de multibanco nem sequer está liga à internet normal. É uma rede privada a correr num protocolo próprio. Não tens conexão física entre as 2 redes.
Os ATM têm um sistema mais simples baseado no Windows XP que ainda é suportado pela Microsoft e que é muito mais seguro que o sistema convencional.
Além de comunicarem através de uma rede privada (incluindo infraestrutura fisica) sob protocolos específicos.
Se nudarem de sistema, n será por isto decerteza.
Após ler os comentários aqui, gostaria de acrescentar algo que pode deixar as pessoas mais descansadas com os ATM, se o código fonte foi o XP SP1, então não tem muito que se preocupar, pois o SP2 tem 80% do código fonte novo, e depois ainda foi lançado o SP3, assim sendo não me parece que os ATM tenham muitos problemas já que correm a última versão do XP mas na versão embedded que é muito própria e como tal diferente do XP RTM.
Cheira a jogada da MS para fazer pressão para actualizarem OSs.
A diferença é que o linux ainda faz updates de segurança para vulnerabilidades encontradas. O Windows XP já não, e como foi comentado acima ainda bastantes sistemas com XP em uso.
Desculpa, queria responder ao comentário do andy.
Diz-que que disto Linux de 2001/03 ainda faz updates de segurança.
touché! xD
Já agora, também faziam o mesmo com o W7!
Também foi isso que me ocorreu.
+1
Uiiii! Que medo!!!
O código fonte Linux também está (obviamente) aberto, mas não é por isso que os sistemas ficam expostos e vulneráveis – antes pelo contrário!
Onde vais depois buscar as correções para os problemas encontrados?
No caso do Linux essas correções surgem, no XP infelizmente não. É este o real problema.
Pensemos for da caixa: Se existe codigo fonte do XP disponível, entao pode-se criar correções……
Mas se o suporte ao XP já terminou, porque raio ainda usam esta versão?! Que raio de empresas e profissionais ITs é que andam por aí?
Windows XP ainda é muito usado. Aliás, existem muitas máquinas, principalmente na têxtil, que ainda usam XP e seguramente nunca mais ão receber outro SO. Aliás, até o HMS Queen Elizabeth até há bem pouco tempo usava, era só um dos maiores porta-aviões do mundo 😉 Mas há mais, muito mais. Esta revelação pode, efetivamente, ser aproveitada para o mal. Era bom que fosse para o bem… mas… a natureza humana é fiel aos princípios… 🙂
Pensa um bocadinho, imagina um empresa com um grande parque informático, (nao penses apenas numa maquina em casa que se calhar até tem SO pirata) agora imagina ter de migrar isso tudo com suporte MS para garantir que nada se perde e tudo o que existe continua compativel, acrescenta hardware que talvez nem seja compativel com novas versões, e por fim software desenvolvido à medida que só funciona em windows XP… agora soma tudo e imagina o custo que é migrar tudo e continuar a ter dinheiro para sobreviver e pagar ordenados…
Ainda gostava de saber de uma empresa com dimensão que não tenha dinheiro ou IT para migrar um parque informático de SO.
Por aqui são 5.000 postos de trabalho, migrámos de XP para 7, de 7 para 8 e de 8 para 10, dentro do 10 a cada 12 meses fazemos feature updates com desfasamento de 6 meses. Problemas 0, custo, apenas SCCM já incluido no licenciamento Microsoft e in-house staff, tempo, 1 mês de planeamento + 1 mês de execução, trabalho de 2 pessoas, impacto nenhum, realizado por departamento o colaborador deixa ou tem PC fixo ou deixa o portatil na sua dock e através de Wake on lan tudo é feito de forma automática, chega de manhã e tem a nova build.
Empresas que não fazem isto são empresas sem estrategia e sem planeamento, basta uma pandemia que fecham portas, para essas não interessa trabalhar.
O José Fonseca Amadeu, mais abaixo, disse tudo!
É como aquelas organizações para quem o email é “crítico”, mas depois têm o servidor de email a correr praticamente num PC dentro do armário das vassouras. Upgrades, redundância, alojar isso como deve ser? Nah, não há dinheiro, o dinheiro é para o BMW do patrão.
Se é crítico, exige investimento, planeamento, etc. Ponto final. Não queria dizer isto, mas infelizmente em Portugal, temos um bocado aversão a essas coisas do planear e gerir e investir, não só em IT, mas a sociedade no geral.
Já agora, para a malta que acha que “linux é muito mais seguro porque tem código aberto e suporte para sempre”, só dois exemplos de distros da altura do XP:
SuSE Linux 7.3 – lançado em outubro de 2001, suporte terminou em 2003
Red Hat 7.2 – lançado em outubro 2001, suporte terminou em janeiro de 2004
“Mas mas… o código fonte está disponível, de certeza que a comunidade pode lançar correções de segurança”. Certo, mas então dou uma nota de 50€ a quem encontrar alguém com tempo e disponibilidade (e conhecimento) para fazer correções no SuSE Linux 7.3 ou no Red Hat Linux 7.3. 😉
David M, face a esse cenário, a minha única pergunta é: qual é o parque automóvel dos gestores (e donos) dessa empresa? E já agora, também são carros lançados em 2001? Duvido um bocado…
O xtremis disse tudo com” Nah, não há dinheiro, o dinheiro é para o BMW do patrão.”
Esta frase bate certo com 80% das PME portuguesas!! Quem conhece os parques industriais de Portugal sabe do que falo.
Muito provavelmente levantas dinheiro todos os dias num ATM com o Windows XP!!!!! E não estamos a falar de sectores que lutam pela sobrevivência, estamos a falar da SIBS que tem os bancos como accionistas!!!!
No sector da aviação, muito provavelmente alguns sistemas críticos ainda nem agora chegaram ao XP, quanto mais………
Há n situações de programas muito específicos e pagos a peso de ouro que têem de funcionar em máquinas totalmente obsoletas!!!!
Aliás, já foi aqui referido o caso do arsenal nuclear americano que só no ano passado deixou de utilizar as disquetes de 5 1/4 e computadores de 1970 (IBM série 1): https://pplware.sapo.pt/high-tech/eua-disquetes-controlar-armas-nucleares/
Só um pormenor em relaçao a est ecomentário:
Os ATM têm um sistema mais simples baseado no Windows XP que ainda é suportado pela Microsoft e que é muito mais seguro que o sistema convencional.
Além de comunicarem através de uma rede privada (incluindo infraestrutura fisica) sob protocolos específicos.
Se nudarem de sistema, n será por isto decerteza.
RA, estás certo no que referes, grande problema é que muitos ATMs daqueles instalados em empresas, hoteis ou faculdades têm uma séria lacuna que é o acesso fisico, cruzo-me com muitos até com switch ou router à vista, quem percebe minimamente disto sabe bem que assim que tomas o acesso fisico o resto é uma questão de tempo.
José Fonseca Amadeu, isso já é outra historia, mas aí ainda falta outra camada de proteção que são as credenciais de acesso. E deduzo que credenciais de acesso á rede de multibanco n sejam simples passwords!
Provavelmente Password + Token Electronico e n sei se não haverá chaves biométricas. A SIBS está a vanguarda a nível de segurança a nível mundial sei que n brincam em serviço.
RA, passwords não interessam, com acesso fisico é tudo uma questão de tempo.
Quanto à SIBS, estás enganado, longe vai o tempo onde a SIBS estava na vanguarda, tornou-se uma estrutura pesada, burocratica, com muitos departamentos para muitos projectos, cada um manda no seu cubiculo e cada um trabalha para o seu projecto, de uma forma global não existe colaboração e não existe identidade de grupo.
Como toda a banca em PT, é um desastre à espera de acontecer, tudo habituado à antiga forma de trabalhar chefias antiquadas, principalmente na forma de pensar, ainda pior na forma de gerir.
O XP ainda é usado por muitas razões. Basta leres os comentarios aqui presentes neste artigo e tens N exemplos perfeitamente viáveis.
Tens razão. Quando funciona para o que se quer não se deve mudar!
Na industria ainda é muito usado, até versões bem mais antigas.
Não há muito tempo apareceu-nos um com MSDOS 6.22, de uma empresa têxtil, que infelizmente se quiserem mudar o sistema operativo dos computador teriam de investir milhares em maquinaria mais recente… Muitas delas não tem essa capacidade financeira pelo que, manter um sistema inseguro ou fechar as portas e mandar x pessoas para o desemprego, preferem manter os sistemas tal como estão.
Pedro, acho que há uma distinção importante a fazer. Uma coisa é sermos um programador que até sabe olhar para o código e corrigir um bug. Outra coisa é estarmos dependentes de terceiros para isso.
Dei uns exemplos abaixo de distros do tempo do XP (Debian, SuSE e Red Hat), com as respetivas datas de lançamento e de fim do suporte (incluíndo updates de segurança). Duvido muito que hoje em dia ainda existam correções de segurança para essas versões dessas distros (tirando o tal cenário “sou um programador e até sei corrigir este bug”).
Na minha opinião, o XP estará tão vulnerável agora como as distros de linux da mesma época. Não podemos comparar um SO lançado em 2001 com versões de linux mais recentes 🙂
A diferença é que o linux ainda faz updates de segurança para vulnerabilidades encontradas. O Windows XP já não, e como foi comentado acima ainda bastantes sistemas com XP em uso.
Diz lá uma distro de 2001 com updates de segurança hoje em dia. Espera, eu ajudo:
SuSE Linux 7.3 – lançado em outubro de 2001, suporte terminou em 2003
Red Hat 7.2 – lançado em outubro 2001, suporte terminou em janeiro de 2004
Debian 3.0 – lançado em julho de 2002, suporte terminou em junho 2006
Teoricamente, qualquer distro de linux pode ter suporte e correções “para sempre”. Na prática, toda a gente sabe que os recursos são escassos, todas as coisas (das estrelas à formiguinha, ao vírus, passando pelos equipamentos, pelos carros, pelo software) tem um ciclo de vida, e duvido que encontres alguém com conhecimento e disponibilidade para fazer correções às versões de linux que referi acima.
Além disso, o linux não é “um” SO (como o Windows XP). O linux é uma quantidade infindável de distros diferentes, com infinitas combinações de pacotes de software, o que pode tornar a manutenção e o suporte num pesadelo.
Imagina que crias uma aplicação baseada num outro pacote XPTO qualquer, que por sua vez usa um outro pacote XYZ muito conhecido,mas uma versão com 5 anos de idade. É descoberta uma falha no pacote XYZ, e agora? Bem, essa falha teoricamente deveria ser corrigida, e depois o pacote XPTO deveria ser adaptado às alterações do pacote XYZ e finalmente a tua aplicaçã deveria ser adaptada às novidades do pacote XPTO. Mas e se o pacote XYZ já não é suportado, já ninguém lhe liga porque a versão utilizada já está com 5 anos de atraso? Pois, temos pelo menos dois outros pacotes que estão vulneráveis e que vai ser muito difícil corrigir.
Bom, podes sempre ir a uma faculdade e pedir a alguem dos cursos de Informática para fazer a correção ao pacote XYZ 😉
+1
você é muito inteligente, andy
Se não estiveres ligado à net não precisas de recear nada.
Pois,… o problema é precisamente o haver problema em ser conhecido o código fonte.
Ou seja, se o facto de as pessoas terem, acesso ao source code é um problema, então vai lá vai…. sempre houve pessoas com acesso ao código fonte!!!! (São pessoas dentro da empresa, ok… mas são pessoas na mesma) Isso é a mesma coisa que os algoritmos de encriptação… se forem feitos como deve de ser, não tem problema nenhum em serem conhecidos, é preciso é serem feitos como deve de ser….
mais um cromo com síndrome de sabe-tudo
Também podemos ver isso por outro prisma.
Alguém a dedicar-se a fazer uma versão melhorada do XP e colocar ao serviço de geeks e entusiastas de quem não gosta do Windows 10 e Linux.
Duvido que isso seja possível porque apesar de o codigo estar publico, a microsoft ainda é propriatária do mesmo.
Qualquer publicação feita com excertos desse código está sujeita a um processo pro parte da MSFT.
Depende da finalidade, a equipa de ReactOS há anos que anda a criar um SO compatível com Windows embora totalmente open source, por isso se aproveitarem o código fonte agora revelado para criar uma “cópia” open source não estou a ver a MS a bloquear um projecto que já existe à anos. A menos que eles tentem comercializa-lo aí acredito logo que eles tentem bloquear o projecto.
Eu n tenho a certeza do que estou a dizer, mas tenho ideia que o core do Windows 8 foi construído de Raiz sem reutilização de outras versões e o W10 é derivado desse mesmo código. Por isso eu acredito que este leak em nada afecte o W10.
Isto não é perigoso apenas para quem usa XP, pois ainda existe muito código do tempo do XP nos Windows actuais. Algum por compatibilidade, outro porque nunca foi preciso substituir.
XP SP1, e existiu até SP3, logo há uma grande probabilidade de falhas de segurança presentes nesse código fonte já terem sido corrigidas.
…as que foram conhecidas. As que estão presentes e a aguardar serem descobertas ficam possiveis de ser exploradas, infelizmente.
Repara que no WannaCry aconteceu isso mesmo. Depois do XP morto e enterrado tiveram de ir criar um patch à pressa, já fora do suporte
Agora já se pode dizer que o Windows é open source 😀
Finalmente alguém consegui aquilo que todos queriam e que se julgava impossivel. 🙂
Hoje em dia com Windows 10 até traz Open Source para cima do Windows com WSL 2.0 (Windows Subsystem for Linux).
Em breve até apps com UI vão passar a correr no WSL e ficar expostas no Windows.
Acho piada a alguns comentários.
1) Desafio qualquer um dos aqui presentes a fazer download do código e encontrar novas vulnerabilidades. Nāo é tāo fácil como parece.
2) O facto de não ser viável o upgrade no maior dos casos em que ainda se usa o XP aposto que em muitos dos casos é possível isolar as maquinas do mundo exterior, e mesmo quando não for possível é no mínimo possível por as maquinas em questão numa sub-rede e protege-las melhor do mundo exterior através de politicas rede.
3) Não, não podes usar partes do código para melhor projectos como React OS. O que eles fazem já é por si duvidoso (reverse eng) e foi muitas vezes questionado, incorporar este código ou parte dele é crime e a MS provavelmente ia ficar “chateada”
Não podes usar partes do código!? Espera não é isso que a MS anda a fazer com o Linux? Todas a novidades que surgiram depois do win98 foram conseguidas usando partes do código do Linux.
A diferença é que o linux tem, por definição, código aberto!
Nada me impede de fazer uma distro de linux igualzinha ao Ubuntu, por exemplo, mas cobrar pela minha. Ah espera, é isso que a Red Hat faz com o RHEL! É exatamente igual ao CentOS! Eu sei, eu sei, na verdade é ao contrário, o CentOS é copiado do RHEL (que é pago e bem pago). Mas estamos a falar de uma “base” em que o código e os pacotes são abertos e gratuítos. Qualquer pessoa pode duplicar a “receita” e cobrar (ou não) pelo seu “bolo”.
No caso da Microsoft, o código deles é fechado, é propriedade deles, ponto final. Logo por definição, estares a usar código roubado é crime. Por muito chato que seja que a Microsoft se tenha inspirado no código do linux para melhorar os seus SOs “fraquinhos” e “caríssimos”, não há nada de ilegal nisso.
linux tem uma licença… e o que a red hat vende nao e o sistema mas sim o suporte
É muito facil, só precisas de uns bitcoins em carteira, chegas à dark web e tens N serviços HaaS (Hacking-as-a-Service), em minutos tens uma taskforce de 50 russos, 20 coreanos e 10 chineses que não só te identificam as vulnerabilidades, constroem o exploit e o método de delivery, só tens de fazer cash-in, é um investimento como outro qualquer.
Lol é só o que tenho a dizer. Deves estar a falar de correr uns scripts metasloit. Encontrar vulns é complicado e ou acontece por acidente ou é o resultado de horas e horas de research. HaaS e pra oportunistas que querem ganhar dinheiro rápido. Já agora sabes ligar te a dark web sem usares o browser Tor?
Amadeu, já fizeste isso para saberes isso tudo?
nao pode ser usado enquanto a microsoft mantiver a patente paga.. as patentes nao sao eternas, ha muito software que era proprietario e as patentes expiraram e pode ser usado livremente
Há sempre novas vulnerabilidades a serem encontradas, seja em SW, HW, Firmwares, etc, vejamos o CVE-2020-1472 que afeta o netlogon e expões domain controllers em qq versão Windows, uma vulnerabilidade que deve ir parar ao Windows 2000 e que foi descoberta agora, tudo isso faz parte do mundo do SW, veja-se as vulnerabilidades em cifra, protocolos standard, OpenSSH que esteve vulnerável durante 2 décadas, etc.
Agora quando se olha para um OS recente como Windows 10, as mudanças do código são tantas que a possibilidade de ficar exposto por causa do Código Fonte do XP é práticamente nula, o código fonte no Vista mudou muito face ao XP e daí em diante muito mais, além que é usado Fuzzing à bruta para mitigar vulnerabilidades no código daquelas de palmatória.
Deram aqui o exemplo da SIBS, não pensem que são todos tolos… o fabricante dos ATMs certifica o hardware do HW (dispensador, etc) em determinado sistema operativo e é aí que reside o problema, não é compatível com versões de OS mais recentes. Significa que a SIBS teria que renovar grande parte do parque de ATMs, um custo elevado e que tem que ser diluído ao longo do tempo.
Em XP e W7 usam EMET onde reduzem significativamente a superfície de exploração, portanto não julguém que são todos tolos porque não são!
O problema com ATMs é mais no contexto físico com card reader jammers e duplicators ou pior, a explosão de ATMs que representa uma despesa avultada a vários níveis, nesse caso acaba por receber um novo equipamento certificado com OS recente.
Dito isto, sistemas industriais ou outros críticos que usem XP, podem usar EMET para mitigar grande parte do risco.
Então, tiro ou não tiro o dinheiro da minha conta?
É o fim do mundo! Deus nos acuda que agora os gandulos vão aceder ao arsenal nuclear dos estates e fazer muitos estoiros. Só nos resta rezar com afinco. Minha nossa Senhora!
lol ainda bem ke usi linux 🙂 eehehhe Linux Fedora 🙂 Não falhaaaaaaaaaaaaaaa
O Código fonte do Linux também está disponível na internet!!! Acabei de verificar agora!!!! Isso é uma tragédia!!!