6/13/2009

美国大学研究发现“绿坝”能过滤政治敏感词



图:用户可以设定哪些类别的网站被绿坝过滤。

密歇根大学的研究人员发现,中国当局强制要求安装的“绿坝-花季护航”过滤软件存在安全漏洞,恶意网站可藉此窃取私人信息或是安装代码。并且绿坝过滤的不只色情内容,还包括中国当局认为的政治敏感信息。研究人员建议用户为了保护自己立即卸载绿坝软件。

密歇根大学的Scott Wolchok、Randy Yao和J Alex Halderman11日联合发布的研究报告(http://www.cse.umich.edu/~jhalderm/pub/gd/)称:

我们检查了绿坝软件,发现它包含由于编程错误导致的严重的安全漏洞。一旦安装绿坝后,用户访问的网站,可以充分利用这些漏洞来控制电脑。这可能允许恶意网站窃取个人资料,发送垃圾邮件,甚至成为一个僵尸网络的计算机("肉鸡")。此外,我们发现绿坝黑名单的更新的方式存在漏洞,可以让软件制造商或其他人在更新过程中安装恶意代码。

这些暴露的问题,仅仅是不到12小时的测试结果,我们认为它们可能只是冰山一角。绿坝软件中频繁应用不安全和过时的编程方法,可能引起许多其他漏洞。纠正这些问题需要大量的修改,并且仔细地重新测试。同时,我们建议用户为了保护自己立即卸载绿坝软件。

……



文字过滤:绿坝扫描各种应用软件中的文字输入封锁内容,包括猥亵的和政治上敏感的词组(例如,法L功)。列为黑名单的条目被放置在三个文件中,使用了一个简单的非密钥式扰码处理。我们破译了这三个文件的内容:xwordl.dat, xwordm.datxwordh.dat。我们还发现未加密文件FalunWord.lib似乎是一个供更复杂的语句处理算法使用的单词列表。当绿坝检测到这些词汇时,违反规定的程序会被强行关闭,并弹出一个错误的消息(如上图所示)。

……

如果以当前的形式部署绿坝软件,这将大大削弱中国的计算机安全。虽然我们发现的漏洞可以迅速地修复,但是想修复所有问题可能会需要大量的修改和全面的测试。这意味着从7月1日开始全国范围内部署绿坝将难以实现。

No comments:

Post a Comment