绿坝被指侵犯知识产权及违反开源协议
2009-06-12 09:32:32 Administrator

轰轰烈烈的“绿霸-花季护航”流氓软件的事情大家都已经知道了,鉴于所谓的国情,很多事情都不说也罢了。抛开政治因素以单纯的技术角度看这个软件,尤其令人诧异的是这个流氓软件对BSD软件许可证肆无忌惮的践踏和侵权!

请看绿坝-花季护航软件技术分析,请注意本文以下分析内容:

引用
从 XFImage.xml可观察到,绿霸使用了OpenCV的haar分类器进行人脸检测。绿霸附带的cximage.dll、CImage.dll、xcore.dll和Xcv.dll也来自OpenCV的库文件。都反映出绿霸主要使用了OpenCV来进行图像方面的处理。不过就像一般国产软件的做法,绿霸大概也无视了OpenCV的BSD许可证

OpenCV是什么软件呢? 请看wikipedia,OpenCV是Intel资助的开源计算机视觉库。它由一系列 C 函数和少量 C++ 类构成,实现了图像处理和计算机视觉方面的很多通用算法。OpenCV采用的是BSD license,对非商业应用和商业应用都是免费的。那么BSD有什么要求呢:
BSD要求如果再发布的只是二进制类库/软件,则需要在类库/软件的文档和版权声明中包含原来代码中的BSD协议。

好了,事情说到这里就很清楚了,那么这个所谓的“滤霸-河蟹护航”软件发行包有没有BSD协议声明呢?显而易见了!更不可思议的事情是:这个用三方库和开源软件包拼凑起来的玩具竟然还在国家专利局申请了专利!

我强烈呼吁OpenCV组织向这个流氓公司发出律师函,指控这个所谓的垃圾公司的侵权行为,让这个垃圾公司彻底关门。最令人不可以理解的是这个侵权的垃圾软件竟然通过了所谓的中国软件评测中心的所谓广泛的评测。我想我们应该理解为什么中国是一个软件盗版大国了。

来源

上网过滤软件“绿坝-花季护航”(简称绿坝)名声大噪后,引起了国际社会的关注。美国密歇根大学的一位教授称绿坝侵犯了开源协议,另外一家名为Solid Oak的美国公司则表示绿坝侵犯了其知识产权。绿坝的开发公司之一、北京大正语言知识处理科技公司一位负责人表示,他们目前不能就绿坝一事发表评论。

绿坝被指违反开源协议

6月12日,美国密歇根大学计算机科学与工程系J. Alex Halderman教授发表了一份绿坝分析报告,其中提到绿坝包含多个安全漏洞,建议安装了的用户立即卸载。同时,报告还指出,绿坝违反了开源协议。

Halderman在报告中分析,绿坝主要用于不良图像过滤的文件cximage.dll、CImage.dll、xcore.dll和 Xcv.dll均来自OpenCV。OpenCV是Intel资助的一个开源的计算机视觉库,它有一系列 C 函数和少量 C++ 类构成,实现了图像处理和计算机视觉方面的很多通用算法。

OpenCV中国的项目负责人此前向媒体表示,他检测后发现,绿坝的核心识别程序文件XFImage.xml完全来自OpenCV的 haarcascade_frontalface_alt2.xml,绿坝只是将源文件中的版权信息删除,内容跟OpenCV提供的文件完全相同。

中国开源软件推进联盟副秘书长袁萌教授向新浪科技解读,OpenCV采用的是BSD许可证,当商业软件使用其开源程序时,需要在软件版权信息中加上BSD许可证声明,绿坝并未在其软件中加入这一声明。袁萌认为,这同样也是侵权。

美国公司计划起诉绿坝侵权

据国外媒体报道,美国一家名为Solid Oak的公司计划起诉绿坝侵犯其知识产权。Solid Oak公司创办人Brian Milburn表示,绿坝的部分代码是从他们拥有知识产权的商业软件中窃取,他计划向美国当地的法庭申请禁令,阻止中国开发商出售绿坝软件。不过他坦承,此事成功的难度很大,因为涉及到管辖权的问题,Solid oak公司需要到中国、按照中国的法律进行起诉。据了解,Solid oak公司是一个不到20人的小公司。

上述美国密歇根大学的Halderman教授在其报告中指出,绿坝的网站黑名单档案是来自Solid Oak公司的CyberSitter程序。报告还指出,更为巧合的是,绿坝的程序还“意外”的含有CyberSitter程序2004年发布的一份新闻简报。

绿坝软件的两家开发公司暂未对上述信息置评。

公开资料显示,绿坝的开发公司之一、郑州计算机系统工程有限公司的相关负责人对外表示,其图形过滤技术获得了国家三项发明专利,还获得过第九届、第十二届国际软件博览会金奖。

美国计算机安全专家发现“绿坝”存在严重的安全漏洞

在对“绿坝”进行了测试之后,美国密歇根大学计算机科学与工程部的Scott Wolchok, Randy Yao和J. Alex Halderman发现“绿坝”软件存在由于编程错误导致的严重的安全漏洞。任何网站都可以利用这些漏洞控制安装了“绿坝”的计算机,用来偷窃私人数据、发送垃圾邮件或用作僵尸网络的机器。此外,黑客也可以利用这些漏洞,在“绿坝”自动更新时安装恶意程序。

这些漏洞是在仅对该软件进行了不到12小时的测试之后就发现的。研究人员相信这只是冰山的一角。由于“绿坝”软件频繁使用不安全的和过时的编程技术,很容易引入许多其他的漏洞。要纠正这些问题,必须对该软件进行重大的改写,并做仔细的重新测试。研究人员建议用户立即卸载“绿坝”以保护自己。如果“绿坝”软件按现在的版本安装,将会严重削弱中国计算机安全性。虽然他们发现的这些具体漏洞很容易打上补丁,但是这些已知的漏洞反映的是系统性的错误,要纠正全部问题,需要对程序做大规模的改写和全面的测试,这是在7月1日开始预装之前难以完成的。研究报告的全文见:

http://www.cse.umich.edu/~jhalderm/pub/gd/

Summary

We have discovered remotely-exploitable vulnerabilities in Green Dam, the censorship software reportedly mandated by the Chinese government. Any web site a Green Dam user visits can take control of the PC.

According to press reports, China will soon require all PCs sold in the country to include Green Dam. This software monitors web sites visited and other activity on the computer and blocks adult content as well as politically sensitive material.

We examined the Green Dam software and found that it contains serious security vulnerabilities due to programming errors. Once Green Dam is installed, any web site the user visits can exploit these problems to take control of the computer. This could allow malicious sites to steal private data, send spam, or enlist the computer in a botnet. In addition, we found vulnerabilities in the way Green Dam processes blacklist updates that could allow the software makers or others to install malicious code during the update process.

We found these problems with less than 12 hours of testing, and we believe they may be only the tip of the iceberg. Green Dam makes frequent use of unsafe and outdated programming practices that likely introduce numerous other vulnerabilities. Correcting these problems will require extensive changes to the software and careful retesting. In the meantime, we recommend that users protect themselves by uninstalling Green Dam immediately.
……

Conclusion

Our brief testing proves that Green Dam contains very serious security vulnerabilities. Unfortunately, these problems seem to reflect systemic flaws in the code. The software makes extensive use of programming techniques that are known to be unsafe, such as deprecated C string processing functions including sprintf and fscanf. These problems are compounded by the design of the program, which creates a large attack surface: since Green Dam filters and processes all Internet traffic, large parts of its code are exposed to attack.

If Green Dam is deployed in its current form, it will significantly weaken China’s computer security. While the flaws we discovered can be quickly patched, correcting all the problems in the Green Dam software will likely require extensive rewriting and thorough testing. This will be difficult to achieve before China’s July 1 deadline for deploying Green Dam nationwide.

 
该文章最后由 Administrator 于 2021-07-26 08:12:26 更新,目前是第 3 版。