美国公司斥“绿坝”软件盗版
(香港) (2009-06-14)
(联合早报网讯)香港明报报道,中国大陆政府规定7月1日起所有新电脑都必须安装过滤软件“绿坝-花季护航”,事件犹有余波。美国软件公司Solid Oak指出,该软件的部分程式码是从该公司产品的程式原码中盗取,公司计划向法庭申请禁制令。北京政府暂时未有回应。
“绿坝-花季护航”主要为家长设计,大陆当局声称其最大用途是阻止未成年人士浏览暴力和色情网站,并规定自7月1日起,中国所有新电脑必须强行安装该软件,但有人担心当局安装软件别有用意,实为加强对网络的监控,对此颇有争议。
称程式码被盗 拟申请禁制令
位于加州的Solid Oak公司表示,他们的部分过滤软件程式码,被用在“绿坝-花季护航”中。Solid Oak创办人米尔本(Brian Milburn)说,他计划向法庭申请禁制令,阻止中国开发商推售这套软件,但坦承难度很大。“我们不知道能在多大程度上与中国接触、阻止类似这样的事发 生。我们仍在设法评估中国方面的做法。”他说。
美国密歇根大学周四发表的一份研究报告,亦支持Solid Oak的讲法,指“绿坝-花季护航”的软件中确实包含盗取码,证据之一是“绿坝”程式码中含有的网站黑名单档案,是来自Solid Oak的“CyberSitter”程式。更“巧合”的是,“绿坝”的程式码还意外地含有Solid Oak“CyberSitter”程式在2004年发布的一份新闻简报。报告又发现,“绿坝”存在很多保安漏洞,易被黑客闯入、盗取个人资料及散播病毒。
“绿坝”被指过滤多个敏感字眼
“绿坝-花季护航”软件安装后,可直接从用户电脑上过滤“不良”内容,但近日一些软件工程师检视该软件后发现,“绿坝”所过滤的远比暴力、成人内容更多。
针对众多批评,“绿坝”开发商、北京金惠公司总经理张晨民坚称,“绿坝”设计的目的只是为过滤色情图片和文本,“所有的这些批评都是不准确的”。他周五表示,不会再就“绿坝”作任何回应,并指媒体连日的关注已令他身心俱疲。
\===============================我是分割线==============================
绿坝被曝盗用国外开源技术 或已构成侵权
2009年06月13日 11:5421CN
工信部日前下文要求国内新售电脑必须预装一款名为“绿坝-花季护航”的绿色上网软件,然而,有多名网友指出:该软抄袭并盗用了国外一项名为OpenCV的开源技术而非所谓具有“自主知识产权”的产品。
21CN 记者在美国密歇根大学的官方网站上发现了一个对“绿坝”的检测报告。该报告指出,“绿坝”使用了OpenCV的haar分类器进行人脸检测。而“绿坝”主 要用于不良图像过滤的文件cximage.dll、CImage.dll、xcore.dll和Xcv.dll来自OpenCV,但是“ 绿坝”中并没有列出OpenCV的BSD许可证。对此,业内人士指出,“绿坝”已经构成侵权。有人质疑“绿坝”的开发者像在论文抄袭,内容照搬过来了却署 上自己的名字。
21CN记者在开发“绿坝”的郑州金惠公司的网站上发现这样一段文字介绍:“金惠反黄专家系统”成为中国唯一具有图像识别 技术的自主知识产权的信息安全过滤产品,为中国网络信息安全行业自主发展开创新纪元。 ”随后记者登录中国国家知识产权局的网站亦检索到200510048576.6、200510048577.0和200510048578.5等三项属于 金惠公司的不良图像信息过滤堵截专利。
对此,21CN记者发函给OpenCV在中国的项目负责人。该负责人透露,根据他的检测“绿坝”的 核心识别程序文件“XFImage.xml”完全来自OpenCV的“haarcascade_frontalface_alt2.xml”,“绿坝”只 是将源文件中的版权信息删除,内容跟OpenCV 提供的文件完全相同。
另外21CN记者在网络上了解到,一些主要的社区和网站对“绿 坝”软件的安全性和稳定性都提出了不同程度的质疑。在上面提到的密歇根大学的检测报告里面也提到:Scott Wolchok, Randy Yao和J. Alex Halderman三名研究人员发现“绿坝”多个严重的安全隐患,包括一个可以被远程利用的栈溢出漏洞,也是说当装上“绿坝”就等于给黑客打开了后门。同 时国内一家著名杀毒软件公司的专家研究后表示,“绿坝—花季护航”确实存在可以被黑客控制的漏洞,建议绿坝软件开发者能够尽快拿出补丁程序。在补丁出来之 前,用户可以暂停使用绿坝的过滤功能。
据多家网站报道,目前已经有5000多万台电脑装上了“绿坝”软件。不过,记者在网上搜索发现,很多用户指装上“绿坝”后浏览器容易发生崩溃、系统莫名其妙死机等问题。
进一步情况,21CN记者将会继续跟进。
\===============================我是分割线==============================
绿坝软件被指存高危漏洞 可致网银账户失窃
6月12日消息,国内安全厂商奇虎称,“绿坝-花季护航”软件(以下简称“绿坝”)存在高风险的安全漏洞,可导致用户面临面临网游、网银账户失窃、个人隐私被盗等多重风险。
腾讯科技报道,奇虎称已经通过技术方法验证了“绿坝”软件的这一“边界失算”安全漏洞,并已经将这个漏洞的验证方法上报国家有关部门。
据安全专家石晓虹博士介绍,“边界失算”漏洞是绿坝软件的网页过滤组件在处理畸形网址时出现的,由于该组件没有判断网址参数的边界长度,当绿坝用户访问 黑客精心制作的恶意网页时,电脑将自动下载运行由黑客指定的木马病毒,从而面临网游、网银账户失窃、个人隐私被盗等多重风险。
360安全中心宣称将发布“绿坝”软件高风险安全漏洞临时安全补丁,如果用户电脑中安装了绿坝软件,开启“网页防火墙”功能即可拦截针对该漏洞的已知网页挂马攻击;另外,用户安装临时安全补丁后可对该漏洞“免疫”。
另外,国外研究人员亦发现“绿坝——花季护航”过滤功能存在漏洞,在开启绿坝过滤功能后,打开经过特别设置的网页,可以导致绿坝软件相关模块缓冲区溢出漏洞。骇客利用该溢出漏洞,可以利用“网页挂马”的方式传播病毒,中毒电脑存在严重泄密或被黑客远程控制的可能。
江民反病毒专家研究后表示,“绿坝——花季护航”确实存在上述漏洞,建议绿坝软件开发者能够尽快拿出补丁程序。在补丁出来之前,用户可以暂停使用绿坝的 过滤功能。江民科技将密切关注被漏洞被骇客利用情况,一旦监测发现有利用该漏洞的恶意代码出现,将第一时间加入到江民杀毒软件的病毒库中,最大程度地避免 绿坝用户遭受利用该漏洞的病毒侵害。
据悉,根据工信部近日下发的通知,要求7月1日新售电脑必须预装“绿坝-花季护航”软件。该软件由国家财政部斥资4170万元买单,推广绿坝软件的目的是为了保护青少年免受不良信息影响。
\===============================我是分割线==============================
一家叫Solid Oak Software的美国软件公司指控绿坝软件盗用其CyberSitter软件的编码."绿坝"的图形界面完全模仿CyberSitter, 更要命的是, 公司CEO Brian Milburn称, "绿坝"的编码使用了和Cybersitter拥有完全知识产权的Dll编码完全一样的名字, 甚至还发回Solid Oak的服务器更新黑名单
美软件公司称绿坝更新要经过他们的服务器
密 歇根大学的研究人员早前已经发现,绿坝的安装文件含有美产过滤软件CyberSitter的dll文件和分类和过滤列表。星期五,CyberSitter 的开发商Solid Oak Software公开指责绿坝抄袭代码。 Solid Oak Software声称绿坝的用户界面模仿了CyberSitter的风格。公司执行官Brian Milburn说,十分可恶的是绿坝使用了CyberSitter的dll文件后连名字都不改,更荒谬的是绿坝软件的更新还要访问他们的服务器。 Milburn说,当密歇根研究人员的分析报告发布之后,他100%相信绿坝使用了他们的私有代码,他不能确定对方是反向工程,还是直接偷取。 Milburn表示他们正在考虑采取什么手段防止他们所有的代码被滥用。为了避免服务器因大量中国用户的更新请求而瘫痪,他们考虑的一种可能的方法是屏蔽 中国的地址。这不是第一次CyberSitter的代码被窃取,早在90年代黑客就反向工程CyberSitter,允许用户能访问成人内容。