>     思科系统源代码被窃事件已经过去了4天时间，事件的详情已浮出水面，最新披露的消息包括被窃源代码的新样本及传播的整个过程。4天前，俄罗斯一家网站报道了思科源代码被窃的消息，并公布了被窃源代码的片断作为佐证。



　　莫斯科安全咨询公司Positive的专家亚里山大·安提帕罗称，预计周二（5月18日）将有更多被窃的源代码在网上被复制。很明显这名黑客在进入思科网络中的一台SUN微系统服务器之后迅速建立了一个通向荷兰乌得勒支大学存放源代码文件服务器的链接。



　　思科公司发言人罗伯特·巴罗表示联邦调查局目前介入了事件的调查，但他不愿就该事件的最新消息发表评论。思科在一份声明中表示，“思科将尽一切努力保护公司的知识产权、员工及客房信息的安全。思科已经与联邦调查局进行合作就此事进行调查。”



　　考察作案证据



　　安提帕罗通过邮件和即时信息表示，他下载了15兆被窃源代码，估计被窃源代码的总量在800兆左右。上周五（5月14日）一个网名为Franz 的人在一个私人的网上论坛贴出了一个3兆大小压缩版文件的链接。安提帕罗否认自己了解Franz其人，并表示希望把源代码归还给思科公司，并就此正与思科的一位雇员协商。



　　Franz提供的链接只保留了大约10分钟时间，该链接指向乌得勒支大学的一个FTP服务器。据该大学介绍，这台服务器向公众开放，提供不大于5兆文件的上传服务。



　　IDG新闻公布的新发现的源代码样本与此前www.securitylab.ru网站上公布的两个原代码文件不同，显然前者是用C程序语言编写的。www.securitylab.ru公布的两个源代码文件，其中名为snmp_chain.c 的一个文件的编写时间是1993年，作者Robert Widmer；另一个名为http_auth.c，包含一个HTTP认证模块，缩写时间2002年3月，作者Saravanan Agasaveeran。



　　另外还有一个由Agasaveeran编写的源代码文件，其中包括HTTP客户及服务器的公共应用程序界面。安提帕罗还表示，他下载的源代码文件其中还包括用于网络协议版本6（IPV6）的IOS模块。



　　思科公司也确认Agasaveeran是其位于加州圣何塞的一名雇员。至于Widmer是何人目前还不得而知。　



　　其它线索



　　另外，据称指向被窃的IOS模块的一个计算机目录已被恢复。该命令指向的是名为iwan-view3.cisco.com的Sun Sparc服务器。这些命令给出的信息还可能说明被窃取的时间。大多计算机目录是2002和2003年更新的，2003年11月没有进行过改动。



　　Solutionary公司首席安全咨询师兼副总裁Mark Rasch说，以上信息对于判定作案时间非常关键。



　　他说，“通过版本时间可以推断出这些源代码被窃的时间”。他补充说，源代码从Sun服务器上被窃取说明是直接从思科网络上偷走的，而不是开发者的笔记本或进行远程连接的雇员。



　　他说，“通常人们不会使用私人网络访问Sun 服务器”。

　　Solaris工作站为员工提供接入。



　　他说，无论如何，思科将面临一次深入的调查，也不排除思科网络及所有源代码的安全程度。



　　Rasch表示，即便被窃取的不是IOS模块，被窃源代码也可能被黑客用于攻击思科的产品。他指出，不像开放源软件产品的源代码，思科系统及其它具有知识产权软件源代码的安全取决于对其保密程度。