6月14日,由许志永发起的公盟法律研究中心组织了一个”‘绿坝’法律与技术研讨会”。从该研讨会的纪要中,我们可以看到吴涛、时昭与霍炬等三位技术专家从技术层面对绿坝的剖析。我想从中我们可以更容易地了解绿坝及绿坝背后的工信部的愚昧。
以下为纪要的节录。
【时昭】……它的关健词过滤方面,色情文字过滤并不多,绝大多数是政治性的。政治性里面以”法星号功”方面居多,还有其它一些。从现在分析出来的数据库里面来说,色情过滤并不是很多,色情只占一小部分,大部分与政治有关。
它的漏洞问题。已经找出了它两个漏洞,按照工信部通知的要求,所有的计算机7月1号要装,政府也要装,涉及到国家安全的问题,按照网上的说法全中国的计算机全是肉鸡了,任何一台计算机可以访问另一台计算机,按照它的要求政府也要装,毫无国家安全可言了。
【吴涛】计算机你可以这么理解,按照一定的逻辑来处理数据。如果这些数据产生一些你没有想到的情况,比如说做一个程序负责往里面倒水的,如果做程序的人只考虑倒水的问题,没考虑倒的是汽油,如果旁边有个打火机就可能引起火灾。写程序的时候,你要对你处理的程序要有清晰的认识。分析”绿坝”的情况,可能是写程序的人比较少,经验比较少一些,或者他们是有意的,他们写代码的过程中对它们所处理的数据没有做任何合法性的检查,最后会导致什么样的后果?你浏览任何网站经过它的过滤,假设我可以恶意构造一个网站,只要你程序浏览我的网页,就中毒。好像很难,其实不难。为什么?因为网上病毒比较肆虐,像前段时间有几个比较知名的网站,比如说”中华英才网”的网站,就被人悄悄的挂上这种病毒。包括出名的”熊猫烧香”,针对的是IE浏览器的漏洞。一般的中小网站网页上确实被放了这样的东西,叫做”挂马”,一旦挂上之后,你一看了这个网页并且你的系统确实是有漏洞的,或者你用了有漏洞的”绿坝”,你就会感染了,你的机器就被别人控制了。如果说装了绿坝,整个中国的电脑都被控制了,这可能有点言过其实,如果电脑还没有去看这些网站,按理论上来说不会有事的,但是应该说非常容易被别人控制,这不言过其实。
其实我们大家都知道,互联网已经装了各种各样的过滤设备。当你浏览的时候,你的浏览器会说”网页无法浏览,请关闭”,但这个东西在一个计算机中心实施,成本很高,现在是什么?现在有个很流行的词叫”云计算”。由中心来处理需要的资源太多了,干脆把它分散到各个机器上, “绿坝”干什么事呢?不仅分散到各个机器上,而且这个机器让你自己花钱买。因为要过滤,可能要装几百台很强的计算机,监控所有全国的流量,你在看这个网页,我在看那个网页,这需要的经济投入太大了,我现在要每个人的计算机管好你自己的浏览,我觉得对政府来讲成本降低很多,技术上来讲靠的更近。你看网页,你的朋友来拿一个U盘来拷你一个文章,政府管不了你的。但是如果装你电脑上,发邮件也好,拿U盘拷也好,只要到你的电脑上来,就会被控制。
“绿坝”强调的是文字过滤,现在有视频、音频,在装了”绿坝”以后,看视频没有任何问题。色情信息,最流行的肯定是视频。文字肯定是20年之前的事情,黄色图片是九几年的时候流行,我觉得对现在青少年最有伤害性的视频,没有真正的被隔离。
【霍炬】它目前采用编程方法比较落后,仔细去研究它到处都有漏洞,很难简单打几个补丁补上。
事实上,缓冲区溢出是非常普遍的安全问题,危害也很大,对惠普、微软这样的成熟软件企业都是很大的挑战。目前的情况看来,绿坝的行为和一些木马行为类似,所以很容易被杀毒软件判断为恶意软件。如果绿坝的漏洞没有完全被修复,而工信部要求杀毒软件把绿坝列为可信任软件,那么其他的病毒就可以利用这个”安全岛”来躲避杀毒软件的查杀。这也会对计算机安全造成新的挑战。另外,对于这种系统级别的软件,目前的杀毒软件厂商都很有经验,也能保证稳定和安全,为什么工信部没有和他们合作,而是选择了一家小公司来重新开发,甚至导致了这么多安全问题。这背后是否潜藏着其他利益问题,也是值得考虑的。
刚才大家说了很多技术上的事,我补充几点。
第一个,前面大家说了他们用了国外关于图象检测开源程序库opencv,最新的版本据说已经标出来基于opencv了。他基于这个技术在之前申请了三项专利,这些专利的形成是否有存在问题,法律上的事我就不太清楚了。当然,由于目前并没有看到申请专利的具体描述,还不太好判断是否有侵权的嫌疑。
第二,我想补充一下关于软件的危害问题,密歇根大学的报告已经提及了绿坝存在的缓冲区溢出安全漏洞,在目前的表现只是让浏览器崩溃,事实上这个漏洞可以用来完全控制你的计算机。一般入侵和控制一台计算机有2个关键步骤,一是把代码注入你的计算机上,第二让这段代码获得很高的权限。目前的情况看来,”绿坝”承担了大量的输入和输出过滤工作,又比较容易出现溢出现象,很容易被注入恶意代码,进而通过绿坝获得系统最高权限。除此之外,一些其他的木马程序和病毒可以利用计算机上已安装的绿坝软件让自己权限提升,造成更大的危害。
第三,现在据我的观察跟金惠公司的服务器有一些交互,包括安装数量,用户提交的建议,软件本身的升级等。而目前看来,金惠公司服务器的安全也很是问题,据说新闻出来第一天,服务器就被人黑掉过。另外软件整个升级的过程是没加密的,有很多办法可以构造很多攻击,你随便找能接入无线网络的计算机,在火车站、咖啡店、机场都有可能使用一个伪造的升级服务器欺骗已经安装了绿坝计算机升级,安装恶意代码。在如此高的系统权限下,不仅可以拿来盗取你的个人隐私,还包括你的密码和银行帐号等。
这样大面积安装下去很难达到政府预定的目的,反而容易被一些别有用心的人利用干坏事,如果用来攻击我国的电子商务,电子政务系统,就有可能造成重大的经济损失和社会影响。如果国有企业和政府机关的计算机也同样要安装这些软件,就可以造成泄露商业机密或国家机密。
计算机发展史上,还没出现过这样统一的,在一个短时期无差别的安装一个软件的情况。而这个软件比较低劣的质量会让系统变得更脆弱了,这样大数量的计算机如果被利用,后果是非常严重的。