快捷搜索:

《科学新闻》:“绿坝”硬伤

  科学新闻:绿坝有缺陷

  6月9日一个不太知名的软件引起了网络上的一片哗然。 6月9日,工业和信息化部工业和信息化部[软] [2009] 226号“5月19日发布日期的名称”在电脑上预装绿色互联网过滤软件通知书“,通知明确要求计算机生产销售企业到2009年6月底前完成“绿坝 - 青少年护航”软件(以下简称“绿坝”)的安装前检测等相关工作, 2009年7月1日以后出厂,销售电脑应预装“绿坝”,消息传出,各地疑虑。Zhengzhou郑州金辉计算机系统工程有限公司与北京大正公司提供的“绿坝”软件语言知识处理技术有限公司能否有效地建立坚实的绿坝,有效地保护青少年上网的作用不大?科学新闻调查软件的技术方面。密歇根大学计算机科学与工程系助理教授J. Alex Halderman在其官方网站上发表了关于“绿坝”的测试报告。报告指出,绿坝软件短期一天测试后,存在两个主要的安全隐患:首先,该软件与其监控的网站存在问题;第二,软件黑名单更新的方式存在缺陷。
当“绿坝”用户安装在页面http:// wolchok org:时,Alex构建了一个演示文稿的URL。按下按钮8000 / on,会导致用户的浏览器(或标签)崩溃,他指出实际的攻击者可以利用这个漏洞执行恶意代码,绿坝软件中的设计缺陷导致非法使用“任何使用这个恶意URL的网站都可以将用户的浏览器重定向到一个网页,以控制用户的电脑,”Alex说。Alex还指出,第二个问题存在于“绿坝“读取过滤文件,”绿坝“使用不安全的C字库,容易导致典型的缓冲区溢出漏洞,对于那些安装了软件和自动更新过滤器的电脑,绿坝软件提供商可以控制另外,更新过程使用未加密的HTTP协议,这可能会导致第三方伪装成更新服务器,并利用这种攻击获得计算机控制权。测试报告认为绿坝软件的简短测试证明是一个严重的安全风险,反映了代码中的系统性缺陷。该软件经常使用被认为是不安全的编码方法,例如有争议的C字处理函数sprintf和fscanf。这个软件有这么多的设计问题,并且触发了一个巨大的攻击级别,大部分的代码将被“绿坝”过滤和处理所有的互联网流量数据的结果。 Alex在接受“科学新闻”采访时表示,Alex Green在发布的更新版本中更正了测试报告中发现的第一个Web过滤漏洞,但表示:“更新之后,Green Dam网站仍然存在相同的严重安全风险过滤代码,可以被任何网站利用。 “Alex认为,这个任务还是非常艰巨的,才能使”绿坝“真正安全可靠。算法表现令人担忧
关于”Google文档“自组织”协作组“,对于通过”绿坝“图像检测准备的”绿坝“分析报告,该过程根据图像数据分离出肤色区域和非肤色区域,在分析肤色区域之后去除干扰关系,并将该区域的特征提取到训练好的SVM分类器中,当图像被检测为sq图像进入人脸检测器时,如果人脸不是sq图像的主要部分,则该算法的主要问题是sq图像的识别在很大程度上依赖于肤色和肤色的形状;最后,人脸检测加权判断仅仅是为了避免大面积识别的算法斑块为sq图像,而经验权重的可靠性缺乏验证。图片为“绿坝”过滤平方表现图片“南方周末”的文章称,6月11日,黄区“(”绿坝“)软件的图片将有一个大的如果是黑色和红色的裸体图像,程序将无法识别测试,测试包括一只猫(蓝色和白色),一只猫(红色和白色)和一个加菲猫(黄色)图片页面,“猫”和“猫”都可以走私,一些包含“加菲猫”图像的页面被判定为不好的网站,并通过程序过滤。 s的测试报告指出,除了缺少BSD许可证声明之外,“Green Dam”XFImage.xml文件与OpenCV库中的haarcascade_frontalface_alt2.xml文件完全相同,这表明Green Dam使用OpenCV库检测“绿坝”自带的cximage.dll,CImage.dll,xcore.dll和Xcv.dll也来自OpenCV库文件,都反映了“Gr een Dam“主要使用OpenCV进行图像处理。清华大学电子学系教授图形图像清华大学向“科学新闻”表示,OpenCV是英特尔开源计算机视觉库开发的,采用C / C ++语言实现图像处理和计算机视觉一些常用算法的领域。 OpenCV库的人脸检测算法主要采用Haar特征和AdaBoost分类器来实现。 “它通常被用作人脸检测实验的基准比较算法,即使在实验室产品中,其性能也不是最好的,要求,差距更大。”Alex告诉本网站说,他们还没有系统地量化文本的算法性能和绿坝中的图像过滤器,但在图像过滤中发现了一些主观性许多黄色图片没有被阻挡。另一方面,过滤器阻止了很多非黄色的图像,甚至包括亚历克斯在密歇根大学网站上的个人照片也包括在内。
违反了某人的规定测试报告显示,有证据显示,在“绿坝”地址过滤器中,相当多的公司从美国的Solid Oak Filtering软件Cyber​​Sitter黑名单中找到了一个加密的配置文件wfileu.dat,它引用了黑名单下载Cyber​​Sitter网站的链接Alex指出,最近更新的Green Dam不再使用这些黑名单,但仍安装在电脑上,目前可下载的“Green Dam”版本仍包含这些黑名单。“我不是律师“。亚历山大承认,“我不希望引起法律问题的评论,但这显然是不恰当的。北京知识产权律师事务所维权律师刘备律师告诉“科学新闻”,如果绿坝确实包含上述​​文件,可能侵犯Solid Oak的知识产权,一方面如果技术上可以证明该文件来自Cyber​​Sitter软件,一般认为金辉侵犯Solid Oak的软件着作权;另一方面,如果Solid Oak Cyber​​Sitter软件中的技术在美国或其他国家和地区获得相关专利权,则在相关国家和地区实施“绿坝”将导致专利侵权。另外,考虑到金辉获取这些文件的方式,也可能涉及贸易纠纷侵权。据称,Solid Oak将向中国当局提起诉讼,该公司已委托中国律师向中国方面提起侵权诉讼。 “科学新闻”就此事与Solid Oak公司总裁Brian Milburn进行了联系,但截至记者发稿时尚未收到回复。关于绿坝使用OpenCV库,刘备说,OpenCV库使用伯克利软件分发(BSD)许可证,这是自由软件中使用最广泛的许可证之一。 BSD软件非商业应用程序和商业应用程序是免费的。但是,BSD要求BSD软件和二进制可执行库/软件的源代码重新分发时,BSD软件的文档和版权声明中应包含原代码作者权利的BSD许可证。 Alex在其后续测试报告中声称,更新的Green Dam更新已经将使用OpenCV开源库所需的BSD授权声明添加到其帮助文件中。然而,该BSD许可证仍然不包括在即将发布的“绿坝”3.17版本的制造商的网站。
推迟强制安装
新华社引述中国工业和信息化部报道说,中国政府决定推迟在个人电脑上实施预装的“绿坝”过滤软件。后来在新华社中文版发布了“绿色互联网过滤软件问题有记者问“发言人按时装预装说:”最近有些企业表示工作量很大,根据实际情况,可以推迟预装。本着一步一步实施方针的原则,7月1日继续提供免费下载网络,继续在学校,网吧等公共场所使用电脑上安装过滤软件,鼓励过滤已安装电脑软件厂商积极开拓市场。其他电脑如何预装,工信部将进一步征求各方意见,完善方案,完善相关工作方法。 “此时,”绿坝“的全面实施暂时告一段落,这件事是否能够解决,我们将继续保持警惕。

您可能还会对下面的文章感兴趣: