俄國媒體Vedomosti 14日報導,微軟也授權俄羅斯聯邦安全局(FSB)取得Microsoft Windows Server 2008 R2、Microsoft Office 2010和Microsoft SQL Server等產品的原始碼,希望藉此提昇微軟產品在俄羅斯公家機關的銷售量。
該報導指出,俄國政府機關將可透過電信與媒體部轄下的科學技術中心Atlas,研究這些產品的原始碼,並開發加密技術。微軟俄羅斯分公司總裁Nikolai Pryanishnikov告訴Vedomosti ,Atlas與FSB的員工可分享他們對微軟產品的研究結果。
微軟與俄國政府曾在2002年訂約,分享Windows XP、Windows 2000和Windows Server 2000的原始碼,這次的協議只是上次約定的延伸。
與英國政府有聯繫的一名資深安全界人士14日告訴ZDNet UK,2002年簽訂的那份協議,屬於微軟的政府安全方案之一,北約也有簽署。這些不同的政府單位都可取得微軟的程式碼,代表他們可能找到漏洞,再用來滲透另一國的系統。
康橋大學(Cambridge University)安全專家Richard Clayton表示,開放原始碼會造成複雜的安全狀況,雖然政府可藉此找到軟體漏洞,用來對另一國發動攻擊,不需取得原始碼,也能找到軟體漏洞。他說:「若某個政府取得原始碼,自然可以找到不同類型的安全漏洞,然後利用它們。但取得原始碼究竟是福是禍,還不清楚。」
Clayton指出,有幾個因素讓情況變得複雜。取得原始碼可進行精密分析,進而抓到如緩衝區溢留瑕疵等漏洞,但執行模糊測試程式,對作業系統或軟體的部份丟出隨機資料,同樣可以抓出不同的漏洞。他表示,取得程式碼可在攻擊發生前預先修補漏洞,各國政府也可分辨出另一國是否同樣修補過他們的網路。
Clayton說:「你是否該即時修補系統,讓大家注意到俄羅斯已經修補過他們的系統?或者你可以把弱點通報給微軟總部,還是應該利用那個漏洞去攻擊你的敵國?」
Clayton表示,微軟的產品有成千上萬個漏洞,部分原因是其原始碼數量過於龐大。單靠一國政府的力量,根本無法完全防堵這些漏洞。但攻擊者只需要一個漏洞,即可成功滲透到系統內。他說:「這是完全不對稱的關係。」主管英國政府網路攻擊與防衛事務的網路安全局(The Office of Cyber Security)尚未回應本站的詢問。
另一位資深安全界人士認為,微軟開放原始碼給多國政府,純粹是一種商業決定。微軟曾說,提供原始碼給FSB,是與俄國政府簽訂之政府安全協議(Government Security Agreement)的一部分。
該公司9日以聲明表示:「我們與FSB簽署的協議,是微軟的政府安全方案(GSP)之延伸。GSP的目的是加強與國家政府間的信任。以俄羅斯的協議為例,參與GSP,將促生以微軟最新技術和俄羅斯加密法為基礎之下一代俄國政府機關防衛解決方案的發展。」
