“绿坝-花季护航”尚未全面启用已被发现严重安全隐患

yang9753

哈哈哈哈，看来党国又要当鸵鸟， 视而不见了。



“绿坝-花季护航”尚未全面启用已被发现严重安全隐患
作者: 解滨
“绿坝-花季护航”是个什么东东不需要我来介绍了，这两天网上谈的很多。 密执安大学的三位研究人员对这个网络过滤软件近几年进行了12个小时的剖析，就发现了两个重大安全隐患。昨天（6月11日）这三位研究人员发表了一篇分析报告，指出该软件存在着两个严重的安全漏洞，让黑客轻易地远程控制计算机（国内术语：变成“肉鸡”）。该过滤软件的敏感词汇组在自动升级的过程中软件厂亦家可以获得计算机的控制权（这与中国官方宣传大相径庭）。另外，由于敏感词汇组自动升级过程使用不保密的HTTP，黑客也可以混水摸鱼，加入其过程，塞进他们的黑货。这些错误是编程人员使用陈旧落后的编程技术所造成。

该报告建议所有用户安装“绿坝-花季护航”后立即卸载，以保护计算机的安全。该报告的结束语强调，如果把“绿坝-花季护航”的目前这个版本普遍安装到中国的计算机上，将会严重影响中国的计算机安全。而厂家生产出安全补丁或发布新的版本需要大量的时间来反复验证和测试。由于中国政府要求普遍安装“绿坝-花季护航”的日期是7月1日，厂家已经没有时间在此日期前推出安全补丁或发布新的版本了。

由于时间仓促，笔者就不全部翻译原文了。 原文的链接在这里：http://www.cse.umich.edu/~jhalderm/pub/gd/
。 以下是英文原文：

Analysis of the Green Dam Censorware System Scott Wolchok, Randy Yao, and J. Alex Halderman
Computer Science and Engineering Division
The University of Michigan Revision 2.4 – June 11, 2009

yang9753

“绿坝”被曝盗用国外开源技术


    【21CN财经独家报道】 工信部日前下文要求国内新售电脑必须预装一款名为“绿坝-花季护航”的绿色上网软件，然而，有多名网友指出：该软抄袭并盗用了国外一项名为OpenCV的开源技术而非所谓具有“自主知识产权”的产品。

    21CN记者在美国密歇根大学的官方网站上发现了一个对“绿坝”的检测报告。该报告指出，“绿坝”使用了OpenCV的haar分类器进行人脸检测。而“ 绿坝”主要用于不良图像过滤的文件cximage.dll、CImage.dll、xcore.dll和Xcv.dll来自OpenCV，但是“绿坝”中并没有列出OpenCV的BSD许可证。对此，业内人士指出，“绿坝”已经构成侵权。有人质疑“绿坝”的开发者像在论文抄袭，内容照搬过来了却署上自己的名字。

    21CN记者在开发“绿坝”的郑州金惠公司的网站上发现这样一段文字介绍：“金惠反黄专家系统”成为中国唯一具有图像识别技术的自主知识产权的信息安全过滤产品，为中国网络信息安全行业自主发展开创新纪元。 ”随后记者登录中国国家知识产权局的网站亦检索到200510048576.6、200510048577.0和200510048578.5等三项属于金惠公司的不良图像信息过滤堵截专利。

    对此，21CN记者发函给OpenCV在中国的项目负责人。该负责人透露，根据他的检测“绿坝”的核心识别程序文件“XFImage.xml”完全来自 OpenCV的“haarcascade_frontalface_alt2.xml”，“绿坝”只是将源文件中的版权信息删除，内容跟OpenCV提供的文件完全相同。

    另外21CN记者在网络上了解到，一些主要的社区和网站对“绿坝”软件的安全性和稳定性都提出了不同程度的质疑。在上面提到的密歇根大学的检测报告里面也提到：Scott Wolchok, Randy Yao和J. Alex Halderman三名研究人员发现“绿坝”多个严重的安全隐患，包括一个可以被远程利用的栈溢出漏洞，也是说当装上“绿坝”就等于给黑客打开了后门。同时国内一家著名杀毒软件公司的专家研究后表示，“绿坝—花季护航”确实存在可以被黑客控制的漏洞，建议绿坝软件开发者能够尽快拿出补丁程序。在补丁出来之前，用户可以暂停使用绿坝的过滤功能。

    据多家网站报道，目前已经有5000多万台电脑装上了“绿坝”软件。不过，记者在网上搜索发现，很多用户指装上“绿坝”后浏览器容易发生崩溃、系统莫名其妙死机等问题。

    进一步情况，21CN记者将会继续跟进。