總網頁瀏覽量

【○隻字片羽○雪泥鴻爪○】



○○○○○○○○○○○○○○○○○○

既然有緣到此一訪,
何妨放鬆一下妳(你)的心緒,
歇一歇妳(你)的腳步,
讓我陪妳(你)喝一杯香醇的咖啡吧!

這裡是一個完全開放的交心空間,
躺在綠意漾然的草原上,望著晴空的藍天,
白雲和微風嬉鬧著,無拘無束的赤著腳,
可以輕輕鬆鬆的道出心中情。

天馬行空的釋放著胸懷,緊緊擁抱著彼此的情緒。
共同分享著彼此悲歡離合的酸甜苦辣。
互相激勵,互相撫慰,互相提攜,
一齊向前邁進。

也因為有妳(你)的來訪,我們認識了。
請讓我能擁有機會回拜於妳(你)空間的機會。
謝謝妳(你)!

●●●●●●●●●●●●●●●●●●



2010年1月26日 星期二

《【妖畫鬼道】專家:中國的綠壩軟體不安全》

 

※※※※※※※※※※※※※※※※※※※※※※

※※※※※※※※※※※※※※※※※※※※※※

 

ZDNet新聞專區:Elinor Mills  2009/06/26 12:54:02

中國政府強制規定,自下周起,大陸賣的每台PC都必須預裝「綠壩-花季護航」(Green Dam-Youth Escort)軟體,但資安專家指出,這個內容過濾軟體寫得很差,可能導致使用者的電腦遭到入侵。
資安服務供應商SecureWorks公司的研究部主管Ben Feinstein說,中國政府要求新PC一律預裝綠壩軟體,用意是在過濾掉色情內容,但同時也封鎖與暴力電動遊戲、違法禁藥和政治演說有關的內容。

批評者擔心中國政府利用免費下載的綠壩軟體封鎖各式各樣的內容,並監控使用者的線上活動。除此之外,他們也擔心,綠壩軟體可能讓有心人士建立起一個龐大的殭屍網路(botnet),網路歹徒或甚至中國政府本身都可能這麼做。

Feinstein和他在SecureWorks「威脅防治單位」的同事本月檢視綠壩程式碼,發現軟體開發者採用許多不安全的程式設計作法,是微軟和其他美國公司已經禁用的。

例如,綠壩使用Strcpy (或string copy),這是一種C程式設計語言的函式庫(library function),作用是把記憶資料(memory)從一個緩衝區(buffer)複製到另一個緩衝區。如果被複製的字串(string)塞不進被存入的緩衝區,記憶資料就會被覆寫,可能被用於緩衝區溢位攻擊(buffer overflow attack)。

Feinstein說:「這個軟體的品質似乎很差,沒有用安全的方法開發,可能面臨眾多問題。」

綠壩軟體用來檢查進出PC的網路流量,規模和處理資料的數量都比一般軟體程式來得大,這意味綠壩的程式碼更容易曝露於潛在的攻擊危險。

而且,強制在每台PC上預裝綠壩,會形成巨大的安裝基礎,很可能成為駭客下手的目標。Feinstein說,駭客只要瞄準這個程式,就可以攻擊數百萬台的電腦。

中國歷來常用網路過濾器封鎖刊登敏感資訊的網頁,例如討論天安門事件、法輪功和西藏等主題的網頁。直接在終端使用者的電腦上安裝過濾軟體封鎖內容,會比透過網路過濾省事。

密西根大學的研究員兩周前發表報告指出,綠壩軟體內含兩大安全弱點,可能讓別人自遠端接管電腦。後來該軟體已更新並修補安全漏洞,但研究員又發現另一個安全漏洞。

另外,某資安研究員表示,他已在一個公開的網站釋出駭客範本程式(exploit),可利用綠壩軟體尚未修補的安全漏洞發動緩衝區溢位攻擊。(唐慧文譯)

 

【中國綠壩軟體侵權 台灣3電腦商連帶挨告】

ZDNet新聞專區:Elinor Mills  2010/01/07 18:43:02

美國加州的 Solid Oak Software 控告中國綠壩過濾軟體盜用該公司的程式碼,連帶也把有出貨的電腦公司一併告了進去,台灣共有三家電腦商挨告。
 

Solid Oak軟體公司銷售一款Cybersitter軟體,宣稱綠壩軟體程式盜用該公司的程式碼,並提出22億美元的民事求償。

這次除了中華人民共和國政府挨告外,被列名的廠商還包括日本Sony與Toshiba、Lenovo、台灣的宏碁、華碩、BenQ,以及中國的海爾。另外還有兩家中國軟體商北京大正語言與鄭州金惠計算機系統。

該公司表示,中國的綠壩軟體從Cybersitter盜用了3000多條程式碼,同時被發現抄襲後,還照樣散佈出去5600多萬套。

中國政府是在去年六月以取締色情為名義,規定所有新出貨電腦必須安裝綠壩過濾軟體。

後來密西根大學研究員分析綠壩軟體時(鄭州所開發),發現裡面有漏洞,會導致安裝電腦遭遠端攻擊,同時他們也發現綠壩程式抄襲自Cybersitter,包括專屬過濾機制,還有許多不需要的功能也一起都抄進去了(比如寫給Cybersitter客戶看的通告)。

由於外界批評聲浪大,中國政府後來延後實施該政策,最後則是雷聲大雨點小,只要求學校與網咖安裝。不過這次的訴狀則表示,中國政策雖然改了,但PC製造商依然持續散佈這套軟體。

訴狀中提到,中國政府一開始付了690萬美元給鄭州作一年授權來發行綠壩軟體,然後向民間電腦商索取大筆使用授權費,但也有免費提供在網路上下載。

Solid Oak還表示,中國方面還曾透過各種方式試圖侵入該公司伺服器,該公司員工也曾收到內含木馬程式的電子郵件,打算竊取資料。(陳奭璁譯)

 

※※※※※※※※※※※※※※※※※※※※※※

沒有留言: