Quantcast
PplWare Mobile

O código fonte do Windows XP apareceu online! Podem surgir agora muitos problemas

                                    
                                

Autor: Pedro Simões


  1. Bruno Mota says:

    O maior problema vão ser os ATM (caixas multibanco) que funcionam com SO Windows XP….

    • GC says:

      só que o acesso aos ATM não é feito do exterior, i.e., ao alcance do cidadão…
      Apenas operadores autorizados têm acesso à maquina em si…

    • RA says:

      Os ATM têm um sistema mais simples baseado no Windows XP que ainda é suportado pela Microsoft e que é muito mais seguro que o sistema convencional.
      Além de comunicarem através de uma rede privada (incluindo infraestrutura fisica) sob protocolos específicos.
      Se nudarem de sistema, n será por isto decerteza.

    • PAULO SILVA says:

      Após ler os comentários aqui, gostaria de acrescentar algo que pode deixar as pessoas mais descansadas com os ATM, se o código fonte foi o XP SP1, então não tem muito que se preocupar, pois o SP2 tem 80% do código fonte novo, e depois ainda foi lançado o SP3, assim sendo não me parece que os ATM tenham muitos problemas já que correm a última versão do XP mas na versão embedded que é muito própria e como tal diferente do XP RTM.

  2. Joao says:

    Cheira a jogada da MS para fazer pressão para actualizarem OSs.

  3. andy says:

    Uiiii! Que medo!!!
    O código fonte Linux também está (obviamente) aberto, mas não é por isso que os sistemas ficam expostos e vulneráveis – antes pelo contrário!

    • Pedro Simões says:

      Onde vais depois buscar as correções para os problemas encontrados?
      No caso do Linux essas correções surgem, no XP infelizmente não. É este o real problema.

      • andy says:

        Pensemos for da caixa: Se existe codigo fonte do XP disponível, entao pode-se criar correções……
        Mas se o suporte ao XP já terminou, porque raio ainda usam esta versão?! Que raio de empresas e profissionais ITs é que andam por aí?

        • Vítor M. says:

          Windows XP ainda é muito usado. Aliás, existem muitas máquinas, principalmente na têxtil, que ainda usam XP e seguramente nunca mais ão receber outro SO. Aliás, até o HMS Queen Elizabeth até há bem pouco tempo usava, era só um dos maiores porta-aviões do mundo 😉 Mas há mais, muito mais. Esta revelação pode, efetivamente, ser aproveitada para o mal. Era bom que fosse para o bem… mas… a natureza humana é fiel aos princípios… 🙂

        • David M says:

          Pensa um bocadinho, imagina um empresa com um grande parque informático, (nao penses apenas numa maquina em casa que se calhar até tem SO pirata) agora imagina ter de migrar isso tudo com suporte MS para garantir que nada se perde e tudo o que existe continua compativel, acrescenta hardware que talvez nem seja compativel com novas versões, e por fim software desenvolvido à medida que só funciona em windows XP… agora soma tudo e imagina o custo que é migrar tudo e continuar a ter dinheiro para sobreviver e pagar ordenados…

          • José Fonseca Amadeu says:

            Ainda gostava de saber de uma empresa com dimensão que não tenha dinheiro ou IT para migrar um parque informático de SO.
            Por aqui são 5.000 postos de trabalho, migrámos de XP para 7, de 7 para 8 e de 8 para 10, dentro do 10 a cada 12 meses fazemos feature updates com desfasamento de 6 meses. Problemas 0, custo, apenas SCCM já incluido no licenciamento Microsoft e in-house staff, tempo, 1 mês de planeamento + 1 mês de execução, trabalho de 2 pessoas, impacto nenhum, realizado por departamento o colaborador deixa ou tem PC fixo ou deixa o portatil na sua dock e através de Wake on lan tudo é feito de forma automática, chega de manhã e tem a nova build.

            Empresas que não fazem isto são empresas sem estrategia e sem planeamento, basta uma pandemia que fecham portas, para essas não interessa trabalhar.

          • xtremis says:

            O José Fonseca Amadeu, mais abaixo, disse tudo!

            É como aquelas organizações para quem o email é “crítico”, mas depois têm o servidor de email a correr praticamente num PC dentro do armário das vassouras. Upgrades, redundância, alojar isso como deve ser? Nah, não há dinheiro, o dinheiro é para o BMW do patrão.

            Se é crítico, exige investimento, planeamento, etc. Ponto final. Não queria dizer isto, mas infelizmente em Portugal, temos um bocado aversão a essas coisas do planear e gerir e investir, não só em IT, mas a sociedade no geral.

            Já agora, para a malta que acha que “linux é muito mais seguro porque tem código aberto e suporte para sempre”, só dois exemplos de distros da altura do XP:

            SuSE Linux 7.3 – lançado em outubro de 2001, suporte terminou em 2003
            Red Hat 7.2 – lançado em outubro 2001, suporte terminou em janeiro de 2004

            “Mas mas… o código fonte está disponível, de certeza que a comunidade pode lançar correções de segurança”. Certo, mas então dou uma nota de 50€ a quem encontrar alguém com tempo e disponibilidade (e conhecimento) para fazer correções no SuSE Linux 7.3 ou no Red Hat Linux 7.3. 😉

          • xtremis says:

            David M, face a esse cenário, a minha única pergunta é: qual é o parque automóvel dos gestores (e donos) dessa empresa? E já agora, também são carros lançados em 2001? Duvido um bocado…

          • Gomes says:

            O xtremis disse tudo com” Nah, não há dinheiro, o dinheiro é para o BMW do patrão.”
            Esta frase bate certo com 80% das PME portuguesas!! Quem conhece os parques industriais de Portugal sabe do que falo.

        • Rui says:

          Muito provavelmente levantas dinheiro todos os dias num ATM com o Windows XP!!!!! E não estamos a falar de sectores que lutam pela sobrevivência, estamos a falar da SIBS que tem os bancos como accionistas!!!!

          No sector da aviação, muito provavelmente alguns sistemas críticos ainda nem agora chegaram ao XP, quanto mais………

          Há n situações de programas muito específicos e pagos a peso de ouro que têem de funcionar em máquinas totalmente obsoletas!!!!

          Aliás, já foi aqui referido o caso do arsenal nuclear americano que só no ano passado deixou de utilizar as disquetes de 5 1/4 e computadores de 1970 (IBM série 1): https://pplware.sapo.pt/high-tech/eua-disquetes-controlar-armas-nucleares/

          • RA says:

            Só um pormenor em relaçao a est ecomentário:

            Os ATM têm um sistema mais simples baseado no Windows XP que ainda é suportado pela Microsoft e que é muito mais seguro que o sistema convencional.
            Além de comunicarem através de uma rede privada (incluindo infraestrutura fisica) sob protocolos específicos.
            Se nudarem de sistema, n será por isto decerteza.

          • José Fonseca Amadeu says:

            RA, estás certo no que referes, grande problema é que muitos ATMs daqueles instalados em empresas, hoteis ou faculdades têm uma séria lacuna que é o acesso fisico, cruzo-me com muitos até com switch ou router à vista, quem percebe minimamente disto sabe bem que assim que tomas o acesso fisico o resto é uma questão de tempo.

          • RA says:

            José Fonseca Amadeu, isso já é outra historia, mas aí ainda falta outra camada de proteção que são as credenciais de acesso. E deduzo que credenciais de acesso á rede de multibanco n sejam simples passwords!
            Provavelmente Password + Token Electronico e n sei se não haverá chaves biométricas. A SIBS está a vanguarda a nível de segurança a nível mundial sei que n brincam em serviço.

          • José Fonseca Amadeu says:

            RA, passwords não interessam, com acesso fisico é tudo uma questão de tempo.
            Quanto à SIBS, estás enganado, longe vai o tempo onde a SIBS estava na vanguarda, tornou-se uma estrutura pesada, burocratica, com muitos departamentos para muitos projectos, cada um manda no seu cubiculo e cada um trabalha para o seu projecto, de uma forma global não existe colaboração e não existe identidade de grupo.
            Como toda a banca em PT, é um desastre à espera de acontecer, tudo habituado à antiga forma de trabalhar chefias antiquadas, principalmente na forma de pensar, ainda pior na forma de gerir.

        • O XP ainda é usado por muitas razões. Basta leres os comentarios aqui presentes neste artigo e tens N exemplos perfeitamente viáveis.

        • Cokz says:

          Na industria ainda é muito usado, até versões bem mais antigas.
          Não há muito tempo apareceu-nos um com MSDOS 6.22, de uma empresa têxtil, que infelizmente se quiserem mudar o sistema operativo dos computador teriam de investir milhares em maquinaria mais recente… Muitas delas não tem essa capacidade financeira pelo que, manter um sistema inseguro ou fechar as portas e mandar x pessoas para o desemprego, preferem manter os sistemas tal como estão.

      • xtremis says:

        Pedro, acho que há uma distinção importante a fazer. Uma coisa é sermos um programador que até sabe olhar para o código e corrigir um bug. Outra coisa é estarmos dependentes de terceiros para isso.

        Dei uns exemplos abaixo de distros do tempo do XP (Debian, SuSE e Red Hat), com as respetivas datas de lançamento e de fim do suporte (incluíndo updates de segurança). Duvido muito que hoje em dia ainda existam correções de segurança para essas versões dessas distros (tirando o tal cenário “sou um programador e até sei corrigir este bug”).

        Na minha opinião, o XP estará tão vulnerável agora como as distros de linux da mesma época. Não podemos comparar um SO lançado em 2001 com versões de linux mais recentes 🙂

    • UmGajoQualquer says:

      A diferença é que o linux ainda faz updates de segurança para vulnerabilidades encontradas. O Windows XP já não, e como foi comentado acima ainda bastantes sistemas com XP em uso.

      • xtremis says:

        Diz lá uma distro de 2001 com updates de segurança hoje em dia. Espera, eu ajudo:

        SuSE Linux 7.3 – lançado em outubro de 2001, suporte terminou em 2003
        Red Hat 7.2 – lançado em outubro 2001, suporte terminou em janeiro de 2004
        Debian 3.0 – lançado em julho de 2002, suporte terminou em junho 2006

        Teoricamente, qualquer distro de linux pode ter suporte e correções “para sempre”. Na prática, toda a gente sabe que os recursos são escassos, todas as coisas (das estrelas à formiguinha, ao vírus, passando pelos equipamentos, pelos carros, pelo software) tem um ciclo de vida, e duvido que encontres alguém com conhecimento e disponibilidade para fazer correções às versões de linux que referi acima.

        Além disso, o linux não é “um” SO (como o Windows XP). O linux é uma quantidade infindável de distros diferentes, com infinitas combinações de pacotes de software, o que pode tornar a manutenção e o suporte num pesadelo.

        Imagina que crias uma aplicação baseada num outro pacote XPTO qualquer, que por sua vez usa um outro pacote XYZ muito conhecido,mas uma versão com 5 anos de idade. É descoberta uma falha no pacote XYZ, e agora? Bem, essa falha teoricamente deveria ser corrigida, e depois o pacote XPTO deveria ser adaptado às alterações do pacote XYZ e finalmente a tua aplicaçã deveria ser adaptada às novidades do pacote XPTO. Mas e se o pacote XYZ já não é suportado, já ninguém lhe liga porque a versão utilizada já está com 5 anos de atraso? Pois, temos pelo menos dois outros pacotes que estão vulneráveis e que vai ser muito difícil corrigir.

        Bom, podes sempre ir a uma faculdade e pedir a alguem dos cursos de Informática para fazer a correção ao pacote XYZ 😉

    • Raposao says:

      você é muito inteligente, andy

    • RM says:

      Se não estiveres ligado à net não precisas de recear nada.

    • jonas says:

      Pois,… o problema é precisamente o haver problema em ser conhecido o código fonte.
      Ou seja, se o facto de as pessoas terem, acesso ao source code é um problema, então vai lá vai…. sempre houve pessoas com acesso ao código fonte!!!! (São pessoas dentro da empresa, ok… mas são pessoas na mesma) Isso é a mesma coisa que os algoritmos de encriptação… se forem feitos como deve de ser, não tem problema nenhum em serem conhecidos, é preciso é serem feitos como deve de ser….

    • Maike says:

      mais um cromo com síndrome de sabe-tudo

  4. Redin says:

    Também podemos ver isso por outro prisma.
    Alguém a dedicar-se a fazer uma versão melhorada do XP e colocar ao serviço de geeks e entusiastas de quem não gosta do Windows 10 e Linux.

    • RA says:

      Duvido que isso seja possível porque apesar de o codigo estar publico, a microsoft ainda é propriatária do mesmo.

      Qualquer publicação feita com excertos desse código está sujeita a um processo pro parte da MSFT.

      • Paulo Martins says:

        Depende da finalidade, a equipa de ReactOS há anos que anda a criar um SO compatível com Windows embora totalmente open source, por isso se aproveitarem o código fonte agora revelado para criar uma “cópia” open source não estou a ver a MS a bloquear um projecto que já existe à anos. A menos que eles tentem comercializa-lo aí acredito logo que eles tentem bloquear o projecto.

        • RA says:

          Eu n tenho a certeza do que estou a dizer, mas tenho ideia que o core do Windows 8 foi construído de Raiz sem reutilização de outras versões e o W10 é derivado desse mesmo código. Por isso eu acredito que este leak em nada afecte o W10.

  5. PGomes says:

    Isto não é perigoso apenas para quem usa XP, pois ainda existe muito código do tempo do XP nos Windows actuais. Algum por compatibilidade, outro porque nunca foi preciso substituir.

  6. David Guerreiro says:

    XP SP1, e existiu até SP3, logo há uma grande probabilidade de falhas de segurança presentes nesse código fonte já terem sido corrigidas.

    • …as que foram conhecidas. As que estão presentes e a aguardar serem descobertas ficam possiveis de ser exploradas, infelizmente.

      Repara que no WannaCry aconteceu isso mesmo. Depois do XP morto e enterrado tiveram de ir criar um patch à pressa, já fora do suporte

  7. José Fonseca Amadeu says:

    Agora já se pode dizer que o Windows é open source 😀

  8. Claudio Pinto says:

    Acho piada a alguns comentários.
    1) Desafio qualquer um dos aqui presentes a fazer download do código e encontrar novas vulnerabilidades. Nāo é tāo fácil como parece.
    2) O facto de não ser viável o upgrade no maior dos casos em que ainda se usa o XP aposto que em muitos dos casos é possível isolar as maquinas do mundo exterior, e mesmo quando não for possível é no mínimo possível por as maquinas em questão numa sub-rede e protege-las melhor do mundo exterior através de politicas rede.
    3) Não, não podes usar partes do código para melhor projectos como React OS. O que eles fazem já é por si duvidoso (reverse eng) e foi muitas vezes questionado, incorporar este código ou parte dele é crime e a MS provavelmente ia ficar “chateada”

    • Samuel MG says:

      Não podes usar partes do código!? Espera não é isso que a MS anda a fazer com o Linux? Todas a novidades que surgiram depois do win98 foram conseguidas usando partes do código do Linux.

      • xtremis says:

        A diferença é que o linux tem, por definição, código aberto!

        Nada me impede de fazer uma distro de linux igualzinha ao Ubuntu, por exemplo, mas cobrar pela minha. Ah espera, é isso que a Red Hat faz com o RHEL! É exatamente igual ao CentOS! Eu sei, eu sei, na verdade é ao contrário, o CentOS é copiado do RHEL (que é pago e bem pago). Mas estamos a falar de uma “base” em que o código e os pacotes são abertos e gratuítos. Qualquer pessoa pode duplicar a “receita” e cobrar (ou não) pelo seu “bolo”.

        No caso da Microsoft, o código deles é fechado, é propriedade deles, ponto final. Logo por definição, estares a usar código roubado é crime. Por muito chato que seja que a Microsoft se tenha inspirado no código do linux para melhorar os seus SOs “fraquinhos” e “caríssimos”, não há nada de ilegal nisso.

    • José Fonseca Amadeu says:

      É muito facil, só precisas de uns bitcoins em carteira, chegas à dark web e tens N serviços HaaS (Hacking-as-a-Service), em minutos tens uma taskforce de 50 russos, 20 coreanos e 10 chineses que não só te identificam as vulnerabilidades, constroem o exploit e o método de delivery, só tens de fazer cash-in, é um investimento como outro qualquer.

      • Claudio says:

        Lol é só o que tenho a dizer. Deves estar a falar de correr uns scripts metasloit. Encontrar vulns é complicado e ou acontece por acidente ou é o resultado de horas e horas de research. HaaS e pra oportunistas que querem ganhar dinheiro rápido. Já agora sabes ligar te a dark web sem usares o browser Tor?

      • carlitos says:

        Amadeu, já fizeste isso para saberes isso tudo?

    • sdfg says:

      nao pode ser usado enquanto a microsoft mantiver a patente paga.. as patentes nao sao eternas, ha muito software que era proprietario e as patentes expiraram e pode ser usado livremente

  9. Neo says:

    Há sempre novas vulnerabilidades a serem encontradas, seja em SW, HW, Firmwares, etc, vejamos o CVE-2020-1472 que afeta o netlogon e expões domain controllers em qq versão Windows, uma vulnerabilidade que deve ir parar ao Windows 2000 e que foi descoberta agora, tudo isso faz parte do mundo do SW, veja-se as vulnerabilidades em cifra, protocolos standard, OpenSSH que esteve vulnerável durante 2 décadas, etc.
    Agora quando se olha para um OS recente como Windows 10, as mudanças do código são tantas que a possibilidade de ficar exposto por causa do Código Fonte do XP é práticamente nula, o código fonte no Vista mudou muito face ao XP e daí em diante muito mais, além que é usado Fuzzing à bruta para mitigar vulnerabilidades no código daquelas de palmatória.

  10. Neo says:

    Deram aqui o exemplo da SIBS, não pensem que são todos tolos… o fabricante dos ATMs certifica o hardware do HW (dispensador, etc) em determinado sistema operativo e é aí que reside o problema, não é compatível com versões de OS mais recentes. Significa que a SIBS teria que renovar grande parte do parque de ATMs, um custo elevado e que tem que ser diluído ao longo do tempo.
    Em XP e W7 usam EMET onde reduzem significativamente a superfície de exploração, portanto não julguém que são todos tolos porque não são!
    O problema com ATMs é mais no contexto físico com card reader jammers e duplicators ou pior, a explosão de ATMs que representa uma despesa avultada a vários níveis, nesse caso acaba por receber um novo equipamento certificado com OS recente.
    Dito isto, sistemas industriais ou outros críticos que usem XP, podem usar EMET para mitigar grande parte do risco.

  11. Algo says:

    Então, tiro ou não tiro o dinheiro da minha conta?

  12. TrincaEspinhas says:

    É o fim do mundo! Deus nos acuda que agora os gandulos vão aceder ao arsenal nuclear dos estates e fazer muitos estoiros. Só nos resta rezar com afinco. Minha nossa Senhora!

  13. informado says:

    lol ainda bem ke usi linux 🙂 eehehhe Linux Fedora 🙂 Não falhaaaaaaaaaaaaaaa

  14. Manel Gomes says:

    O Código fonte do Linux também está disponível na internet!!! Acabei de verificar agora!!!! Isso é uma tragédia!!!

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.