美国密歇根大学计算机安全专家发现“绿坝”存在严重的安全漏洞

12 06 2009年

(方舟子按:我只摘译了研究报告的总结和结论部分)

在对“绿坝”进行了测试之后,美国密歇根大学计算机科学与工程部的Scott Wolchok, Randy Yao和J. Alex Halderman发现“绿坝”软件存在由于编程错误导致的严重的安全漏洞。任何网站都可以利用这些漏洞控制安装了“绿坝”的计算机,用来偷窃私人数据、发送垃圾邮件或用作僵尸网络的机器。此外,黑客也可以利用这些漏洞,在“绿坝”自动更新时安装恶意程序。

这些漏洞是在仅对该软件进行了不到12小时的测试之后就发现的。研究人员相信这只是冰山的一角。由于“绿坝”软件频繁使用不安全的和过时的编程技术,很容易引入许多其他的漏洞。要纠正这些问题,必须对该软件进行重大的改写,并做仔细的重新测试。研究人员建议用户立即卸载“绿坝”以保护自己。

如果“绿坝”软件按现在的版本安装,将会严重削弱中国计算机安全性。虽然他们发现的这些具体漏洞很容易打上补丁,但是这些已知的漏洞反映的是系统性的错误,要纠正全部问题,需要对程序做大规模的改写和全面的测试,这是在7月1日开始预装之前难以完成的。

研究报告的全文见:

http://www.cse.umich.edu/~jhalderm/pub/gd/

Summary

We have discovered remotely-exploitable vulnerabilities in Green Dam, the censorship software reportedly mandated by the Chinese government. Any web site a Green Dam user visits can take control of the PC.

According to press reports, China will soon require all PCs sold in the country to include Green Dam. This software monitors web sites visited and other activity on the computer and blocks adult content as well as politically sensitive material.

We examined the Green Dam software and found that it contains serious security vulnerabilities due to programming errors. Once Green Dam is installed, any web site the user visits can exploit these problems to take control of the computer. This could allow malicious sites to steal private data, send spam, or enlist the computer in a botnet. In addition, we found vulnerabilities in the way Green Dam processes blacklist updates that could allow the software makers or others to install malicious code during the update process.

We found these problems with less than 12 hours of testing, and we believe they may be only the tip of the iceberg. Green Dam makes frequent use of unsafe and outdated programming practices that likely introduce numerous other vulnerabilities. Correcting these problems will require extensive changes to the software and careful retesting. In the meantime, we recommend that users protect themselves by uninstalling Green Dam immediately.

……

Conclusion

Our brief testing proves that Green Dam contains very serious security vulnerabilities. Unfortunately, these problems seem to reflect systemic flaws in the code. The software makes extensive use of programming techniques that are known to be unsafe, such as deprecated C string processing functions including sprintf and fscanf. These problems are compounded by the design of the program, which creates a large attack surface: since Green Dam filters and processes all Internet traffic, large parts of its code are exposed to attack.

If Green Dam is deployed in its current form, it will significantly weaken China’s computer security. While the flaws we discovered can be quickly patched, correcting all the problems in the Green Dam software will likely require extensive rewriting and thorough testing. This will be difficult to achieve before China’s July 1 deadline for deploying Green Dam nationwide.


操作

文章信息

14篇回复 to “美国密歇根大学计算机安全专家发现“绿坝”存在严重的安全漏洞”

12 06 2009年
天空 (17:38:01) :

绿坝 会不会 因此 屏蔽 方老师 ?

12 06 2009年
林泉散人 (19:26:22) :

真不知道怎么搞的,本来是利用大家担心孩子沉迷网上不良信息的心理,做出一篇大文章的,却轻易被人发现破绽,不能不说是敬业心阙如的官员们的无能。
但能看出,工信部作此决定,一定是很仓促的,还没有充分酝酿。
这么重要一个部门为什么仓促作出这么重要一个决定?
无疑不会仅仅是4000万的利益引力,因为4000万这个数额偏少了,引力不够大。
那会是什么原因?
有一句新闻透露出蛛丝马迹:
“…根据领导指示…”(职级无疑比工信部以及责任部门教育部首长更高)
因此劝大家不要轻易对这个软件表态,如果怕秋后算账的话。
还有,预期工信部某些首长很可能因执行不力而被免职。

12 06 2009年
cris_jxg (20:22:35) :

至少招标上工信部难辞其咎

12 06 2009年
天惨叫 (21:03:05) :

漏洞好,这下看它怎么装

12 06 2009年
芸珜 (22:01:37) :

这类软件,应该国家研发或者买版权,然后公开源码,所有人都能以不同形式参与维护。4000万只买了一年免费使用权,即使软件功能很好,也说不过去,何况自身还有安全问题……

13 06 2009年
吴刚 (02:43:17) :

4000万真是不值得,确实有必要做成一个开源的项目,工信部每年只要提供200万的资金支持,就可以做成质量好得多的产品。
绿坝这东西是不是强制安装我倒是不感兴趣
而是工信部作为国家的信息技术行业的主管机构,花4000万招标一个质量如此低劣的产品,实在是寒心。
我也是搞软件的,中国的软件行业的技术水平与国外没有太本质的差异,但是管理能力却十分低下。特别是这种给大规模用户使用的软件产品,测试开发能力都还很原始。
如果工信部能像做点像美国政府机构的工作,哪怕只是10%的标准化工作,中国的软件产业都能超过印度。
其实这种公众类的软件,最好是做成有政府支持的开源软件是最合适的,质量和安全性都会好很多。

13 06 2009年
吴刚 (03:44:18) :

刚刚又看了一下方舟子给的这个报告的原文:
有几个问题有意思,
绿坝用了开源的图形库 openCV,我没有记错的,这个是intel公司几年前开放的一个计算机视觉开发库,在绿坝里面主要用来识别色情图片。识别的方法是看皮肤暴露的面积,挺可笑的。其实完全可以用识别隐私部位来优化识别率,至少不出现加菲猫被过滤的笑话。不过要实现真正识别色情图片还真不是用用openCV糊弄一下就能解决的。
老外的文章中还提出说绿坝存在一个缓冲区溢出的漏洞,只要点击黑客恶意构造的特殊字符串就有可能被植入恶意代码从而被黑客控制。还给了一个链接来验证这个漏洞。
还有一个说绿坝的升级软件有问题,如果你的网络已经被黑客攻破了,有可能让你的绿坝升级程序下载黑客指定的程序。这个严格来说不算绿坝的严重漏洞,实际上应该只有一个缓冲区溢出的漏洞。

看了这片报告,我觉得4000万的软件写成这样,安全意识如此淡漠,真是叫人扼腕。我建议绿坝公司还是开源算了,说不定在7月1号前就能解决。

13 06 2009年
cuber (05:07:43) :

花了那么多钱就买了这么个东西

13 06 2009年
mean008 (05:54:13) :

参加过多次软件项目验收会,国内的软件基本上都是垃圾,安全类软件就更不用说了。
国企的企业信息系统更好笑,动则几百万,加上信息基础设施上个千万还不需要抬眉毛。反正业内是不会也没能力(专家也外行)客观评价的,齐骗才好做大产业。
感谢方老师多年来提供的信息,有一点不明白,我们一般水平的软件从业者都清楚绿坝这类软件必然水平低下,漏洞百出,为什么这几个美国同志会有兴趣来评测一下?即使是简单玩玩,也真够无聊的了。

13 06 2009年
准非医 (18:06:34) :

中国的有些事,确实够荒唐。

15 06 2009年
18 06 2009年
shift10000 (01:28:46) :

看了原文 作者应该是3个学生 但是版主在标题中说是”专家” 有夸大的嫌疑 即使不是学生 文章中没有信息说这3个人就是”专家”

18 06 2009年
方舟子 (10:45:16) :

楼上怎么看的原文?J. Alex Halderman是助理教授,计算机安全是其研究方向之一,还不够专家?

19 06 2009年
golq (07:50:18) :

建议工信部强制google安装此软件,以后“纯情大学生”就不会心神不宁了

留言

您可以用这些标签 : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

CAPTCHA Image
*