※※※※※※※※※※※※※※※※※※※※※※
※※※※※※※※※※※※※※※※※※※※※※
ZDNet新聞專區:Elinor Mills 2009/06/26 12:54:02
中國政府強制規定,自下周起,大陸賣的每台PC都必須預裝「綠壩-花季護航」(Green Dam-Youth Escort)軟體,但資安專家指出,這個內容過濾軟體寫得很差,可能導致使用者的電腦遭到入侵。
資安服務供應商SecureWorks公司的研究部主管Ben Feinstein說,中國政府要求新PC一律預裝綠壩軟體,用意是在過濾掉色情內容,但同時也封鎖與暴力電動遊戲、違法禁藥和政治演說有關的內容。
批評者擔心中國政府利用免費下載的綠壩軟體封鎖各式各樣的內容,並監控使用者的線上活動。除此之外,他們也擔心,綠壩軟體可能讓有心人士建立起一個龐大的殭屍網路(botnet),網路歹徒或甚至中國政府本身都可能這麼做。
Feinstein和他在SecureWorks「威脅防治單位」的同事本月檢視綠壩程式碼,發現軟體開發者採用許多不安全的程式設計作法,是微軟和其他美國公司已經禁用的。
例如,綠壩使用Strcpy (或string copy),這是一種C程式設計語言的函式庫(library function),作用是把記憶資料(memory)從一個緩衝區(buffer)複製到另一個緩衝區。如果被複製的字串(string)塞不進被存入的緩衝區,記憶資料就會被覆寫,可能被用於緩衝區溢位攻擊(buffer overflow attack)。
Feinstein說:「這個軟體的品質似乎很差,沒有用安全的方法開發,可能面臨眾多問題。」
綠壩軟體用來檢查進出PC的網路流量,規模和處理資料的數量都比一般軟體程式來得大,這意味綠壩的程式碼更容易曝露於潛在的攻擊危險。
而且,強制在每台PC上預裝綠壩,會形成巨大的安裝基礎,很可能成為駭客下手的目標。Feinstein說,駭客只要瞄準這個程式,就可以攻擊數百萬台的電腦。
中國歷來常用網路過濾器封鎖刊登敏感資訊的網頁,例如討論天安門事件、法輪功和西藏等主題的網頁。直接在終端使用者的電腦上安裝過濾軟體封鎖內容,會比透過網路過濾省事。
密西根大學的研究員兩周前發表報告指出,綠壩軟體內含兩大安全弱點,可能讓別人自遠端接管電腦。後來該軟體已更新並修補安全漏洞,但研究員又發現另一個安全漏洞。
另外,某資安研究員表示,他已在一個公開的網站釋出駭客範本程式(exploit),可利用綠壩軟體尚未修補的安全漏洞發動緩衝區溢位攻擊。(唐慧文譯)
【中國綠壩軟體侵權 台灣3電腦商連帶挨告】
ZDNet新聞專區:Elinor Mills 2010/01/07 18:43:02
美國加州的 Solid Oak Software 控告中國綠壩過濾軟體盜用該公司的程式碼,連帶也把有出貨的電腦公司一併告了進去,台灣共有三家電腦商挨告。
Solid Oak軟體公司銷售一款Cybersitter軟體,宣稱綠壩軟體程式盜用該公司的程式碼,並提出22億美元的民事求償。
這次除了中華人民共和國政府挨告外,被列名的廠商還包括日本Sony與Toshiba、Lenovo、台灣的宏碁、華碩、BenQ,以及中國的海爾。另外還有兩家中國軟體商北京大正語言與鄭州金惠計算機系統。
該公司表示,中國的綠壩軟體從Cybersitter盜用了3000多條程式碼,同時被發現抄襲後,還照樣散佈出去5600多萬套。
中國政府是在去年六月以取締色情為名義,規定所有新出貨電腦必須安裝綠壩過濾軟體。
後來密西根大學研究員分析綠壩軟體時(鄭州所開發),發現裡面有漏洞,會導致安裝電腦遭遠端攻擊,同時他們也發現綠壩程式抄襲自Cybersitter,包括專屬過濾機制,還有許多不需要的功能也一起都抄進去了(比如寫給Cybersitter客戶看的通告)。
由於外界批評聲浪大,中國政府後來延後實施該政策,最後則是雷聲大雨點小,只要求學校與網咖安裝。不過這次的訴狀則表示,中國政策雖然改了,但PC製造商依然持續散佈這套軟體。
訴狀中提到,中國政府一開始付了690萬美元給鄭州作一年授權來發行綠壩軟體,然後向民間電腦商索取大筆使用授權費,但也有免費提供在網路上下載。
Solid Oak還表示,中國方面還曾透過各種方式試圖侵入該公司伺服器,該公司員工也曾收到內含木馬程式的電子郵件,打算竊取資料。(陳奭璁譯)
※※※※※※※※※※※※※※※※※※※※※※
沒有留言:
張貼留言