“波澜不断”用在工业和信息化部此次推广的“绿坝-花季护航”软件上看来再合适不过了,就在各方还在议论郑州金惠计算机系统工程有限公司(简称“郑州金惠”)与北京大正语言知识处理科技有限公司(简称“北京大正”)中标内情之时,又出现了对这一产品本身的质疑,其中主要涉及产品侵权与安全漏洞两个方面。
中外双方论战侵权
“绿坝-花季护航”的影响力看来已经不限于中国境内了。
“我99.99%地确定,就算不是整个软件,也有很大一部分是窃取了‘网络保姆’的代码。”6月12日,位于美国加州的“固体橡树”公司(Solid Oak Software Inc。)宣称,中国正在推广的“绿坝-花季护航”过滤软件含有从该公司软件中窃取的部分内容。据悉,“固体橡树”公司位于加州圣芭芭拉,共有15名成员。
“‘绿坝-花季护航’预置的大量色情URL地址来自于美国Solid Oak软件公司互联网过滤软件CyberSitter(网络保姆)。”美国密歇根大学电子工程与计算机科学助理教授亚历克斯·哈德曼Alex Halderman在其对“绿坝-花季护航”的研究报告中指出。
固体橡树总裁米尔伯恩Brian Milburn随后也称,“绿坝-花季护航”这一过滤软件中发现了其CyberSitter过滤软件的部分内容,包括关键词列表、软件升级说明以及一条2004年推广CyberSitter的新闻简报。
米尔伯恩声称,由于认为“绿坝”的不良网站“黑名单”更新库要登录其服务器,“为了避免服务器因大量中国用户的更新请求而瘫痪,考虑的一种可能方法是屏蔽中国的地址”。
6月16日他还进一步对外表示,要联合戴尔和惠普等大电脑商一起阻挠“绿坝”的推广,并准备向美国联邦调查局的电脑犯罪特别行动组提出申诉。
“不可否认,两者拦截的URL地址有一定的相似之处,但这些都是国际知名的成人站点,我们并未窃取他们的程序代码。”对于美国“固体橡树”公司的说法,“绿坝-花季护航”重要开发者之一的郑州金惠计算机系统工程公司总经理张晨民随后对外回应称,“破解他人的软件,并将详细内容公之于众,这是一种不负责任的行为,已经侵犯了我们产品的版权。”
安全漏洞需重点修复
虽然版权问题一时难以说清孰是孰非,但“绿坝-花季护航”的产品漏洞却是不得不面对的尴尬。
6月12日,亚历克斯·哈德曼教授发表了一份绿坝分析报告,该报告指出绿坝包含多个安全漏洞,建议安装了的用户立即卸载。
该报告指出,绿坝软件使用定长的缓冲区处理网页的URL,使得攻击者如果提供一个超长的URL就可能导致程序发生缓冲溢出错误,精心构造的数据可以使得攻击者通过网页来利用该漏洞,成功利用此漏洞可以在用户的系统上执行任意代码。
据悉,正是亚历克斯·哈德曼的漏洞报告,发现了“绿坝-花季护航”预置的大量色情URL地址来自于美国Solid Oak软件公司互联网过滤软件CyberSitter。
“任何人都可以利用我们发现的这些漏洞,来远程监控用户行为。我们已经测试过,黑客可以看到用户屏幕上的内容,也可以远程拷贝用户文件。”哈德曼对外称,这些漏洞似乎是编程错误的结果,而不是有意设计。
《华夏时报》记者调查了解到,360安全中心进一步发现“绿坝-花季护航”的这一漏洞为“边界失算”安全漏洞。
360安全专家石晓虹博士介绍称,“边界失算”漏洞是绿坝软件的网页过滤组件在处理畸形网址时出现的,由于该组件没有判断网址参数的边界长度,当绿坝用户访问黑客精心制作的恶意网页时,电脑将自动下载运行由黑客指定的木马病毒,从而面临网游、网银账户失窃、个人隐私被盗等多重风险。
360安全中心提醒网民开启360安全卫士“网页防火墙”功能,并注意下载360安全中心即将发布的临时安全补丁。
“我们在上网过滤方面是专家,安全方面不是我们的特长。”张晨民对外解释称,“我们正在努力修复漏洞”,这其实很正常,任何软件都会有bug。