分类:
2009-06-15 16:56:08
工业和信息化部日前通知要求,7月1日之后在我国销售的所有个人电脑出厂时预装一款名为“绿坝—花季护航”的绿色上网过滤软件。(6月11日人民网)此消息一石激起千层浪,人们将目光纷纷注视到了这个软件本身和软件提供商,两个原本名声不大的公司一下浮出水面——郑州金惠计算机系统工程有限公司和北京大正语言知识处理有限公司,他们是该软件的联合开发者,前者主要负责图像过滤,后者主要负责文字过滤。
这个软件能值这么多钱?
一份由美国密歇根大学的的网络安全人员发布的一个对“绿坝”的技术检测报告在互联网上广为流传。报告指出,即将在中国境内销售的pc中强制安装的绿坝软件存在严重的安全漏洞,由于软件使用定长的缓冲区处理网页的url使得攻击者如果提供一个超长的url就可能导致程序发生缓冲溢出错误,精心构造的数据可以使得攻击者通过网页来利用该漏洞,成功利用此漏洞可以在用户的系统上执行任意代码。由于绿坝程序编写的不规范性,与此类似的漏洞还在该软件中还大量存在。 研究人员还发现绿坝软件用于图像识别的程序使用的是开源的OpenCV软件的图像识别库。而URL过滤黑名单使用的是美国商业软件CyberSitter的黑名单库。可笑的是可能由于疏忽,绿坝的黑名单库中居然还包含一篇2004年的CyberSitter的新闻,仅仅是因为该新闻使用了与黑名单库相同的后缀名。 根据报告,软件的版权问题首先遭到了质疑。该报告指出,“绿坝”使用了OpenCV的haar分类器进行人脸检测。而“绿坝”主要用于不良图像过滤的文件cximage.dll、CImage.dll、xcore.dll和Xcv.dll来自OpenCV,但是“绿坝”中并没有列出OpenCV的BSD许可证。对此,业内人士指出,“绿坝”已经构成侵权。有人质疑“绿坝”的开发者像在论文抄袭,内容照搬过来了却署上自己的名字。
而有记者调查发现,在开发“绿坝”的郑州金惠公司的网站上发现这样一段文字介绍:“金惠反黄专家系统”成为中国唯一具有图像识别技术的自主知识产权的信息安全过滤产品,为中国网络信息安全行业自主发展开创新纪元。 ”随后记者登录中国国家知识产权局的网站亦检索到200510048576.6、200510048577.0和200510048578.5等三项属于金惠公司的不良图像信息过滤堵截专利。
此情况得到OpenCV在中国的项目负责人的印证,根据他的检测,“绿坝”的核心识别程序文件“XFImage.xml”完全来自OpenCV的“haarcascade_frontalface_alt2.xml”,“绿坝”只是将源文件中的版权信息删除,内容跟OpenCV提供的文件完全相同。
随着这份技术报告在互联网上发布,绿坝软件也引来了大量国内软件技术人员的解剖,于是,更多的软件质量和漏洞开始曝光出来。
错误和漏洞百出的绿坝软件
根据技术人员的分析,软件版本为3.17的绿坝软件。软件采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件,然后调用该目录下setup.exe开始安装。
绿坝安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。
绿坝在运行状态下,做了什么?网友测试实验发现,安装绿坝之后将会有四个进程和一个驱动被调入内存:
system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护;
system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
windowsHncEng.exe;服务进程;
windowsMPSvcC.exe。看着很像微软的服务进程,但是这是假象,其实它也是绿坝的服务进程。
Driversmgtaki.sys:安装完成后被写入的驱动文件,目的不明。软件卸载时也不会被移除。
绿坝运行过程中会定时向进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京长宽的一个ip,具体来源不明。
另外,绿坝在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。
根据网友的分析,更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行:AOption0_1117=发现不良网站自动向金惠公司报告。
而且从网上技术高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
wow.exe;yahoomessenger.exe;wangwang.exe;start.exe;uc.exe;icq.exe;skype.exe;eph.exe;sgr.exe;qqgame.exe;qqchat.exe;qq.exe;bitbomet.exe;editplus.exe;uedit32.exe;emeditor.exe;wordpad.exe;notepad.exe;wps.exe;wpp.exe;et.exe;powerpnt.exe;frontpg.exe;excel.exe;msaccess.exe;outlook.exe;winword.exe;mailmagic.exe;popo.exe;qqmail.exe;aixmail.exe;imapp.exe;incmail.exe;msimn.exe;dm2005.exe;foxmail.exe;googletalk.exe;miranda32.exe;imu.exe;ypager.exe;tmshell.exe;start.exe;uc.exe;icqchatrobot.exe;qq.exe;msnmsgr.exe;gsfbwsr.exe;greenbrowser.exe;touchnet.exe;theworld.exe;maxthon.exe;ttraveler.exe;netscp.exe;ge.exe;firefox.exe;opera.exe;netcaptor.exe;myie.exe;iexplore.exe;mmc.exe;regedit.exe;taskmgr.exe;mpsvcc.exe;xdaemon.exe;xnet2.exe;(以上信息来自SoFuc.Com所进行的逆向)。
记者了解到,绿坝还对IE浏览器进程注入dll,以至于被360当成恶意插件报毒。该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。这就是说,绿霸本身的安全性就有很大疑问,一旦被黑客发现,则所有安装绿霸的电脑都成为黑客的“肉鸡”,如果其安装量大的话,完全有可能重演“暴风影音断网”的事件。
另外一个可笑的问题是软件的兼容性,网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。
一位参与技术解剖和分析的网友写道,“由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿坝并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。”
那么作为一款过滤软件,自身保护能力又如何呢?结果令人再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个 被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。“就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。”
更可笑的,它的程序员们还犯了一个更加低级的错误。绿坝的管理密码,通过类似于MD5的加密之后,储存在 WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密 码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿坝的 WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的 内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿坝的管理密码就变回了默认的112233。
以上种种,技术网友通过同类项目、技术难度对比,认为这样的软件开发研制费用应该在几十万元级别,真不知道工信部为何要花纳税人4000多万去购买。如果仔细分析一下这2家公司的背景和渊源,似乎一切都能找到答案。
两家中标公司渊源颇深
以上种种,技术网友通过同类项目、技术难度对比,认为这样的软件开发研制费用应该在几十万元级别,真不知道工信部为何要花纳税人4000多万去购买。如果仔细分析一下这2家公司的背景和渊源,似乎一切都能找到答案。
人们注意到,郑州金惠计算机系统工程有限公司董事长名叫周慧琴,以前是中科院下属北京科海集团的党委书记兼常务副总裁,1997年参加国家科技扶贫工作组从北京来郑州组建“郑州金惠计算机系统工程有限公司”。
金惠公司近年来连续获得政府采购大单,并承担多个国家级项目,多与网络过滤系统有关。
另一家公司北京大正语言知识处理有限公司更是源远流长。这家公司由海淀区和中科院声学所联手创办,目前已经是完全民营性质。其主要产品,是将中科院声学所前所长黄曾阳的“HNC概念层次网络”的计算机语言识别理论产业化。
检索该公司网站的发展历程和承担项目等各项,大正公司的所有研发项目和产品,都是承接政府项目,或为行政管理开发产品。信息产业部电子信息产业发展基金、国际发改委发展基金、科技部国家科技攻关计划、863计划等等多个国家基金都对其研发项目进行了大力支持。
此次的”绿坝-花季护航“中的文字过滤软件,主要就是来自于北京大正的“花季护航”文字过滤引擎,是“HNC产业化的重要成果”。
据《光明日报》报道,数年前,一位全国人大常委会原副委员长把自己的学生陈小盟从深圳召回,一脸严肃:“我想同你商量一件事。我们要有自己的计算机语言处理系统,这不仅是一项科研,重要的是关涉到信息安全与国家安全。”
2000年底,陈小盟辞去北京麦纳科技公司总裁职务,带着1000万元投资,与中科院声学所合作注册成立了北京大正语言知识处理研究院,黄曾阳受聘担任研究院的首席科学家。
这2家公司是如何“招标”得到项目的,无人知晓。某国内知名安全厂商回答记者采访时说。“我们不清楚工信部关于这个软件的招标,也没听说过这两家企业,如果知道有这么大的项目,包括我们在内的安全软件厂商,肯定抢着去参加招标了。”
密歇根大学研究人员今日发布了一份绿坝的分析报告,报告中指出了一些绿坝的安全隐患,包括一个可以被远程利用的栈溢出漏洞。这三名研究人员分别是密歇根大学计算机系的Scott Wolchok, Randy Yao和J. Alex Halderman。漏洞演示地址:。 请注意,安装了绿坝的用户,访问上述网址,浏览器将会崩溃(无其它危害)。当然如果精心设置网页,可以直接控制用户电脑。如果此漏洞被恶意黑客利 用,5000万的绿坝用户将可能全部被黑客控制,沦为肉鸡和傀儡。目前的解决方案是: 1. 关闭绿坝的过滤功能 2. 卸载绿坝(研究也显示软件自身的卸载并不干净)"根据密歇根大学团队反向工程绿坝的dat加密文件,显示它监视的对象简直是无所不包,监控和屏蔽的网站甚至包括了 download.windowsupdate.com,liveupdate,也就是说它将控制Windows补丁的安装。
附录:绿坝-花季护航技术分析报告