主题:【文摘】关于绿色小霸王的事情大家也要小心了。 -- 萧萧易水
家园 转一篇网上的.密西根大学绿坝审查软件系统分析 绿坝审查软件系统分析
Scott Wolchok, Randy Yao, and J. Alex Halderman
计算机科学与工程系
美国密西根大学
密西根大学计算机科学和工程部
摘要
我们已经发现在绿坝软件中存在远程利用的漏洞,据说是中国政府授权的审查软件。任何绿坝的用户访问网站都可以控制电脑。
据新闻报道,中国将很快要求所有在国内销售的PC预装绿坝软件。软件可以监控访问的网站及相关其他活动,并且阻止成人的内容以及政治上敏感的内容。
我们检查了绿坝软件,发现它包含由于编程错误导致的严重的安全漏洞。一旦安装绿坝后,用户访问的网站,可以充分利用这些漏洞来控制电脑。这可能允许恶意网站窃取个人资料,发送垃圾邮件,甚至被控制为一个僵尸网络的计算机("肉鸡")。此外,我们发现绿坝黑名单的更新的方式存在漏洞,可以让软件制造商或其他人在更新过程中安装恶意代码。
这些暴露的问题,仅仅是不到12小时的测试结果,我们认为它们可能只是冰山一角。绿坝软件中频繁应用不安全和过时的编程方法,可能引起许多其他漏洞。纠正这些问题需要大量的修改,并且仔细地重新测试。同时,我们建议用户为了保护自己立即卸载绿坝软件。
发现被过滤的词组时绿坝将显示此消息。
简介
根据最新的新闻报道(纽约时报,华尔街日报),中国政府批准,从7月1日开始,每一台在国内销售的PC都要求预装一款称作绿坝的审查程序。该款软件的作用是监测在电脑上的互联网连接和文字输入。它会阻止不良或政治上敏感的内容,并且将其选择性地报告给当局。绿坝是由金惠公司开发,并提供免费下载 。我们检查的版本号是3.17。
绿坝的工作原理
绿坝软件通过拦截网址和图片以及监测其他应用软件的文本来过滤内容。过滤的黑名单包括成人的内容和敏感的政治内容。一些黑名单看起来是直接从美国制造的过滤软件复制的。
图片过滤 绿坝利用计算机视觉技术阻止裸露的在线图片。图片过滤据称是通过识别图片所包含的大面积的人体肤色,而近摄的面孔则被排除在外。我们发现,该计程序包含开源图像识别软件OpenCV的代码库和一个配置文件。
内容过滤 绿坝扫描各种应用软件中的文字输入封锁内容,包括猥亵的和政治上敏感的词组(例如,法轮功)。列为黑名单的条目被放置在三个文件中,使用了一个简单的非密钥式的混乱处理。我们解密了这三个文件的内容:xwordl.dat,xwordm.dat和xwordh.dat。我们还发现未加密文件FalunWord.lib似乎是一个供更复杂的语句处理算法使用的单词列表。当绿坝检测到这些词汇时,违反规定的程序会被强行关闭,并弹出一个错误的消息(如上图所示)。
网址过滤 绿坝网站使用白名单和黑名单文件中的模式来过滤网址(*fil.dat,adwapp.dat,和TrustUrl.dat)。这些文件和文本过滤器使用相同的简单的非密钥式的混乱处理。五个黑名单分别对应于绿坝选项对话框中内容过滤的类别(如下图所示)。
我们有证据表明,其中的一些黑名单采用了美国设计的过滤程序CyberSitter。尤其是,我们找到的一个加密的配置文件,wfileu.dat,它引用了CyberSitter网站下载的黑名单。我们还发现了一个安装文件,xstring.s2g,似乎黑名单仅截止至2006年。最后,csnews.dat是一个加密的由CyberSitter设计的2004年新闻简报。我们猜想,这个文件是一个意外,因为它和过滤器有相同的文件扩展名。
安全问题
经过一天的软件测试,我们发现了两个主要的安全漏洞。首先,在软件监测网站的方式存在一个错误。其次,软件黑名单更新方式中存在一个漏洞。两者都允许远程执行任意代码和控制电脑。
网页过滤漏洞
绿坝拦截网络流量,软件进程检查用户访问网站是否有黑名单包含的网址。为了实现网络监测,它使用socket接口向软件注入了一个名为SurfGd.dll的库。当用户访问一个网站,这段代码会检查网址是否在黑名单中并记录访问的网址。
我们发现,处理Web站点的请求的代码中存在编程错误。处理网址的代码,使用了固定大小的缓冲区,一个特制的URL地址可以溢出这个缓冲区和破坏执行堆栈。用户访问的任何网站可以重定向浏览器到一个包含恶意网址的页面,并控制电脑。
我们已经设计了一个触发此错误的示例网址。如果您安装了绿坝,按一下我们示例攻击网页上的按钮,将导致您的浏览器(或标签)崩溃。
这一技术性验证测试表明,我们已经能够控制执行堆栈。一个实际的攻击者可以利用这个漏洞来执行恶意代码。
绿坝的设计使得几乎所有的浏览器都可以利用这个漏洞。现在,用户保护自己最可靠的方就是卸载绿坝。
黑名单更新漏洞
我们发现的第二个问题是绿坝读取过滤文件的方式。这个问题将使绿坝的制造商或者第三方冒充他们执行任意的代码,并在用户的电脑上安装完一个过滤器的更新后安装恶意软件。用户可以从绿坝配置程序中启用自动过滤器更新。
绿坝读取过滤文件使用了不安全C语言字符串库。在这些地方,它使用fscanf函按行数读取过滤文件到程序执行堆栈中一个固定长度的缓冲区。这是典型的缓冲区溢出漏洞。例如,如果文件TrustUrl.dat中的一行超过某一固定长度,缓冲区将会溢出,破坏执行堆栈,甚至可能让攻击者控制进程。
如果用户已启用过滤器的更新功能,过滤文件可以由软件制造商远程替换。利用我们发现的漏洞,更新可以破坏这些有易受攻击的文件。这可能会允许绿坝的设计者控制任何一台安装了绿坝和启用自动过滤器的电脑。此外,更新是通过未加密的HTTP连接,这可能会允许第三方冒充更新服务器(例如,利用DNS漏洞)和通过这种攻击来控制用户的电脑。
清除绿坝
绿坝只允许知道管理员密码的用户才能卸载该软件。我们测试了卸载程序,发现它似乎能从计算机中有效移除绿坝。但是,它不能删除一些日志文件,有证据表明使用者的活动记录仍然隐藏在系统中。
鉴于如上所述的严重的漏洞,用户能够保护自己的最可靠的方法是立即利用其卸载功能删除该软件。
结论
我们简短的测试证明,绿坝有非常严重的安全漏洞。不幸的是,这些问题似乎反映代码中系统性的缺陷。该软件广泛使用的编程技术,已知是不安全的,如不推荐使用C语言的字符串处理函数,包括sprintf和fscanf。这些问题因为设计程序变得复杂,建立一个大型攻击面:因为绿坝过滤器,处理所有的网络流量,大部分的代码将受到攻击。
如果以当前的形式部署绿坝软件,这将大大削弱中国的计算机安全。虽然我们发现的漏洞可以迅速地修复,但是想修复所有问题可能会需要大量的修改和全面的测试。这意味着从7月1日开始全国范围内部署绿坝将难以实现。
本帖一共被 1 帖 引用 (帖内工具实现)家园 可有具体漏洞表 好歹我等也是业内人士,自己攻击玩玩~~
- 复 可有具体漏洞表
家园 你可以直接上他们的网站玩玩 金惠的网站有SQL注入漏洞。
....感觉我象教唆犯。
家园 试过阿D注入工具失败, 有好的工具奉献出来玩玩!
家园 别,这可是犯法的! 最近刑法修正案提高了这方面的最高刑期了。没足够的利益干这事没必要。
家园 穷疯了知道吗? 所以真想干.
再说肯定有人干的.国内的主要网站经常给人家挂马.象http://www.yinsha.com今天才恢复过来.
其实,今天在国内,干这个门槛真的很低,随便那个网吧都有一群孩子在那里玩盗号.网上工具极多.在有您想那个网站或者那个服务器只要出钱,就有人给你.
在国内,卖流量的,卖游戏号的,卖工具的有一整条链.象对个人PC挂马,利用漏洞上传的工具极多.随便网上下回来看看教程几分钟就会.
-------------------------------------------
实际上,我也不会真的挂马.因为没意义,但如果发现绿霸真有漏洞可以挂马,肯定不少人出工具的.象前年,一朋友利用IE漏洞来刷流量,一天有成万的收入.比抢好多了.
以前电信的互连星空可以买游戏卡的时候,他们一天挣几千的不在少数.其实,国内主要你不出阁,谁管你.
家园 显然可以认定是谣言 判定原因:放狗搜下绿坝,质疑的新闻成堆。
edit 至少被这东西加工过。从现在的情况看显然媒体的声音在引导此事,但是并没有这里说的这么严重。
家园 谣言?为什么这篇专题没有了呢? http://www.people.com.cn/GB/32306/81152/9456987.html
家园 这个谣言不能说完全一点道理有没有 我在pchome死活给不了差评
顺便关心了一下360的恶评,貌似也不容乐观
家园 你这个显然显然没道理 不要说放狗 百度都能搜到不少色情 暴力 flg的东西呢。 放狗搜得到质疑新闻 就能显然出 这个是谣言了?
家园 显然你不太明白 中宣部向中国各级媒体和宣传主管部门发出通知,要求媒体不得质疑最近国内外引起轩然大波的强制预装上网过滤软件。百度,google什么的只是我用的工具
放绿坝新闻的是谁?媒体
这“通知”限制的谁?媒体
百度 google只是告诉我网络媒体上确实有质疑的新闻。
媒体上还有新闻,说明这通知有问题,至少被加工过
家园 分外怀念江core时代随意登陆图区的快乐时光 家园 那时候找一次兰兰, 到网吧,扔下钱,挂在那里下载,明天来看看下完了没有!