2009年5月19日,工业与信息化部发布了《关于计算机预装绿色上网过滤软件的通知》(工信部软【2009】226号文),要求在国内销售的计算机全面预装名为“绿坝-花季护航”的软件,在国内外引起了较大反响,对该软件的安全性、功能和性能等方面提出了诸多质疑。
2009年6月15日-17日,中国计算机学会青年计算机科技论坛(YOCSEF)组织相关专家对“绿坝-花季护航”软件进行了技术分析,初步分析结果如下:
1.安全性
该软件的初始发行版本在处理过滤url时存在一个可被攻击的缓冲区溢出漏洞,使得安装该软件的计算机系统在访问恶意网站时能够被黑客控制。(目前的版本已修复该漏洞,但版本号未变)。
此外,该软件通过网络更新,更新网站本身可能存在的安全漏洞也是潜在的重要安全隐患。
2. 功能漏洞
2.1 加密机制
对屏蔽文件列表采用的加密方法过于简单,该列表易被破解。
2.2 对IP地址的过滤功能
该软件在实现过滤功能时仅能对使用域名方式的网络访问加以过滤,对该域名对应的IP访问不能有效过滤。例如:
http://www.battle.net/ (会被屏蔽,如果开了暴力游戏的话,默认是开的)
http://12.129.242.40/ (不会被屏蔽)
3. 性能问题
该软件图片过滤功能的实现方式是:过滤器从远程重新下载图片,然后对过滤器下载的图片进行分析,这使得任何正常的图片都会被下载两次。而且软件不支持缓存,使得对同一图片再次请求时,仍需再次从网络上下载。这种实现方式将大大增加用户浏览时的网络带宽需求,而且对用户的浏览体验具有较大的影响。
4. 基本结论与建议
当前的绿坝-花季护航软件尚不是一款成熟的软件产品,还不具备进行大规模安装和部署所需的软件质量。本软件现有版本大规模安装后对我国的网络安全将产生较大的潜在风险。YOCSEF将继续组织专家对该软件进行分析,并通过相关渠道报告相关的安全风险与功能问题。
建议软件开发商对软件进行进一步完善,并通过广泛的第三方软件安全性、功能与性能测试(包括对更新网站的安全评测和网络管理机制的评测)后再进行大规模推广。
附录:YOCSEF简介
YOCSEF—-青年计算机科技论坛(CCF Young Computer Scientists & Engineers Forum)是由中国计算机学会(China Computer Federation)于1998年创建的一个系列性学术活动,它的宗旨就是根据IT发展的需求开展活动,为计算机工作者提供一个交流的场所,为业界创造更多的机会:为IT领域很有活力的年轻的科技工作者创造展示才能的机会;为对IT发展很有见地的业内人士提供发表高见、相互交流的机会;为关心公益性活动的企业展示企业形象的机会;为专业媒体提供鲜活的素材;为参加者获取最新信息和业界动态;创办YOCSEF分论坛将最新的IT信息传到更多的地方。
YOCSEF靠两个轮子支撑:一是最新技术报告,二是IT界热点问题讨论(专题论坛),这使得每一位参加者既有机会获得最新技术信息,又有机会发表自己对某些问题的独到见解。
YOCSEF全由很具活力的年轻人在策划。但对参加者没有任何限制,开放性是它成功的重要因素。所谓开放式,就是任何人都有机会策划、组织、演讲、赞助、报道和参与等,只是这种开放式要有规则的保证。比如,想成为YOCSEF学术委员会委员,就必须投入,要有独到的想法,在IT第一线工作,此外还必须经学术委员会无记名投票通过。有了规则,每一位“从业人”必须尽心尽力,否则就会“出局”等等。有了开放式,一百多位专家为YOCSEF作过主题演讲。YOCSEF已经办到了杭州、上海、长沙、沈阳、哈尔滨、济南、广州、重庆、武汉、成都、郑州、苏州等地,在京研究生中也有了YOCSEF的组织,而且正在筹建其他分论坛。有了开放式,一批又一批有成就的年轻专家成为YOCSEF的新委员。
YOCSEF已经走过将近十年,今后,它只有继续贴近需求,才能表现出强大的生命力。从今年起,YOCSEF一方面将进一步推进委员制建设,另一方面将加强整个论坛的规范和评估,本着“创造机会”的宗旨,加强内部整合,努力提升论坛和学术报告会的影响力,使YOCSEF再创辉煌。
更多YOCSEF的内容请参加http://www.yocsef.org.cn/mcti/index.jsp
本文来源:IT168 作者:佚名