סוודר חלונות XP שנמכר באתר Shelfies

מי לא זוכר את Windows XP ותמונת הרקע המפורסמת שלה? אמנם עברו 19 שנה מאז שמערכת ההפעלה האהובה הושקה, אבל גם היום היא מצליחה לעשות כאב-ראש לא קטן ליצרנית שלה מיקרוסופט, ועכשיו נראה שכאב הראש הזה הולך לגדול.

בסוף השבוע שעבר הופיעו בטוויטר דיווחים ראשונים על דליפה של קוד המקור של מערכת ההפעלה Windows XP מבית מיקרוסופט. ע"פ הדיווחים בשיחה, קובץ במשקל 43 גיגה שותף לראשונה באתר 4chan, ומאז נמחק, אך עותקים שלו כבר זמינים בטורנטים ובפלטפורמות שיתוף קבצים שונות, והוא נגיש לכל דורש.

דסקטופ חלונות XP

חלונות XP יצאה לשוק ב-2001, ונחשבה למערכת הפעלה מוצלחת בסדרת חלונות. מיקרוסופט לקחה אותה לווטרינר שירדים אותה ב-2014, אז הפסיקה לספק לה עדכונים וטלאי אבטחה (למעט עדכון קריטי חריג אחד ב-2017, שנועד לחסום את הכופרה WannaCry).

הקובץ שדלף כולל את כל קוד המקור של חלונות XP, וכן מספר קבצים וסרטונים הכוללים תאוריות קונספירציה שונות הממוקדות בביל גייטס, מייסד מיקרוסופט. הוא שימש כמנכ"ל החברה עד כשנתיים לפני השקתה של XP, והיום הוא פילנתרופ בתחום הרפואה, שנמצא במוקד של מספר תאוריות קונספירציה שונות המופצות ברשת, ומאשימות אותו במעורבות זדונית בהקשר לנגיף הקורונה ולפריסת רשתות הסלולר בדור החמישי (5G).

קוד מקור – הדנ"א של התוכנה

קוד מקור הוא הקוד שנכתב ע"י המתכנתים שמפתחים את התוכנה, והוא כולל את כל ההתנהגויות של התוכנה וכן הערות שונות, בצורה שניתנת לקריאה והבנה ע"י מתכנתים אחרים. אחרי שקוד המקור מוכן, הוא עובר הידור (ובלעז קומפילציה) – תרגום משפת תכנות לשפת מחשב, מה שהופך אותו לבלתי-קריא לעין אנושית וקשה-עד-בלתי-אפשרי להנדסה לאחור כדי לחלץ ממנו את קוד המקור. זה הקוד שנמצא במחשבי המשתמשים – הם יכולים להשתמש בו, אבל על פי רוב לא יוכלו לפענח אותו.

התכונות של קוד המקור הופכות אותו לקניין הרוחני החשוב ביותר של חברות תוכנה. רוב חברות התוכנה שומרות על קוד המקור שלהן מכל משמר, ומסרבות לחלוק אותו עם גורמים מחוץ לחברה. מקרים של דליפת קוד מקור פרטי לאינטרנט או למתחרים עסקיים יכולים להוביל לנזק כלכלי עצום ואף לסגירה של חברות.

דליפת קוד המקור של חלונות XP ב-4Chan
דליפת קוד המקור של חלונות XP ב-4Chan

(עם זאת, אנו שמחים לראות בשנים האחרונות עליה רצינית בכמות החברות המסחריות המסתמכות על קוד פתוח או על חלקים של קוד פתוח במוצרים שלהן. קוד פתוח – open source – הוא מודל שבו קוד המקור של התוכנה גלוי לחלוטין, וזמין לשימוש, להפצה ולשינוי. היתרון של קוד פתוח הוא שכולם יכולים לראותו, למצוא בו טעויות ופירצות ולתקנן).

כשיש חור בתחתית הדלי, גם המים שלמעלה נוזלים

הבעיה עם חשיפת קוד המקור, מעבר לנזק הכלכלי שבהפצת גירסאות פיראטיות, היא סכנת האבטחה. קוד המקור מאפשר לכל מתכנת בעל ידע להבין כיצד התוכנה תתנהג במצבים שונים, היכן מצויים טעויות ובאגים, וחשוב מכל – היכן השאירו המתכנתים פרצה באופן לא מכוון. באמצעות קוד המקור ניתן גם לייצר עותק של התוכנה לאחר שעבר מניפולציה, והוסרו או הוספו אליו חלקי קוד שונים. האקרים מתים על קוד מקור.

אז איך קורה שדליפה של קוד מקור של מערכת הפעלה כ"כ ישנה עדיין יוצרת בעיות למיקרוסופט כיום? התשובה נעוצה בצורת הפיתוח של סידרת מערכות ההפעלה חלונות. מיקרוסופט מפתחת כל גירסת חלונות חדשה כהמשך ישיר למערכת שקדמה לה, מבצעת שינויים בקוד הקיים (לפעמים תוך כתיבת אגפים שלמים מחדש), ומוסיפה קטעי קוד חדשים כדי לייצר את מערכת ההפעלה החדשה. משמעות הדבר היא שבכל גירסת מערכת הפעלה יש חלקים שלמים שנובעים באופן ישיר ממערכת ההפעלה שקדמה לה.

סוודר חלונות XP שנמכר באתר Shelfies
חולצת חלונות XP שנמכרת באתר Shelfies

בין XP הוותיקה לחלונות 10 של ימינו מפרידים אמנם שלוש גירסאות והר של עדכונים, אבל סביר מאוד שעדיין קיימים חלקים גדולים בקוד של 10 שעברו שינויים קטנים בלבד, או בכלל לא, בהשוואה ל-XP. כך שבאמצעות קריאה ומחקר של קוד המקור של XP, האקרים יוכלו למצוא וקטורים לתקיפה של חלונות 10; ולמידה מעמיקה של הקוד תסייע לתוקפים לקבל תמונה טובה של סגנון הפיתוח של מיקרוסופט, דבר שיכול לסייע להם לחשוף חולשות נוספות במערכות העדכניות.

דבר זה יכריח את מיקרוסופט להשקיע משאבים גדולים עוד יותר באיתור וסגירת פרצות, שחלקן אף עלולות להיות קשות מאוד לטיפול, במיוחד אם הן בבסיס מערכת ההפעלה ואחראיות על פעולות קריטיות רבות.

XP – המערכת שמסרבת למות

סכנה נוספת הנובעת מדליפת קוד המקור היא הסיכון למחשבים שעדיין מריצים XP. נכון להיום, כ-1.3% מהמחשבים בעולם עדיין מריצים את XP. רוב המחשבים הלא מעודכנים הללו משמשים להרצת תוכנות ישנות או שליטה על מכונות ישנות, ועדכון שלהם יהיה כרוך בכתיבת תוכנות חדשות או תוכנות התאמה במקרה הטוב, או בהחלפת חומרה ואף מערכות שלמות במקרה הרע. ארגונים רבים לא מסוגלים להרשות לעצמם את העלויות הללו, ונשארים תקועים עם XP מכורח הנסיבות.

הבעיה היא שרוב המחשבים שעדיין רצים על XP משמשים לשליטה על מערכות חשובות ויקרות, בהן כספומטים, מערכות לחימה, מכשירים רפואיים ומכונות ייצור גדולות. כך שמלכתחילה מדובר במטרות מפתות לתוקפים, וקל וחומר אחרי דליפת קוד המקור.

מסך פרסומת שרץ על חלונות XP 🖼️ ג'וי איטו (CC-BY)
מסך פרסומת שרץ על חלונות XP 🖼️ ג'וי איטו (CC-BY)

מאחר שמיקרוסופט הפסיקה לעדכן את XP בחינם לכלל המשתמשים, כבר כמה שנים ששורה של ארגונים ומדינות משלמים סכומי כסף גבוהים לחברה עבור גישה לקוד המקור והמשך קבלת תמיכה מסוימת, כדי להימנע מהצורך בשדרוג המערכות. התמיכה הזו איפשרה להם להישאר צעד אחד לפני תוקפים פוטנציאלים, ולהצליח לשמר מידה סבירה של הגנה, שכעת לא תתקיים יותר. בנוסף, מיקרוסופט גם הפעילה תוכנית בשם Government Security Program (GSP), שבמסגרתה נתנה למדינות ולארגונים גדולים גישה לקוד המקור כדי שיוכלו לייצר גירסאות מוגנות יותר של מערכת ההפעלה (אולי משם הגיעה הדליפה?)

מה עכשיו?

כדי למנוע ניצול לרעה של קוד המקור לפיתוח מתקפות חדשות ויעילות על מכשירי XP, אחד מהשניים יצטרך לקרות: אחרוני משתמשי XP ייאלצו להיפרד ולשדרג, או שמיקרוסופט תצטרך לחזור ולעדכן את XP.

הערכה זהירה אומרת שמיקרוסופט לא יחזירו את המערכת לחיים, והפרצות שבה יישארו פתוחות. הארגונים שעדיין עושים שימוש במערכת יעמדו בפני בחירה קשה האם לשדרג את המערכות שלהם בעלויות גבוהות, לנסות לסתום לבד את הפרצות במערכת, או פשוט להשאיר את המערכת שלהם פרוצה לחלוטין.

מאחר שקוד המקור נגיש כעת לכולם, ייתכן שנראה צמיחה של חברות שימלאו את החלל שהשאירה מיקרוסופט ויציעו עדכונים והגנות בתשלום. אולי תקום קבוצה קטנה של ארגונים שיפתחו ויפיצו עדכונים כדי להשאיר את המערכת בחיים. ייתכן שגם קהילת הקוד הפתוח תתגייס לנושא ותפיץ עדכוני אבטחה בחינם לכל דורש, כדי לשמר את מערכת ההפעלה האהובה בחיים עוד כמה שנים. מיקרוסופט עלולה לפעול משפטית להגן על זכות הקניין שלה, אבל זה יהיה טפשי מצדה להילחם במי שמנסים לעזור למשתמשים הלגיטימיים שנשארו מאחור.

יוסף ורד הוא סמנכ"ל טכנולוגיה בחברת EMT Engineering LTD