说说某悲剧软件

偶们天朝强大的性缠布说是7月1号起所有在中国大陆销售的电脑都要预装一名为“绿坝-花季护航”的说是用于保护未成年人的信息过滤软件,嘛,其实没偶啥事,偶一来不打算在国内买电脑(虽然近期是打算更换笔记本,8过偶肯定会在更便宜的日本更换),二来估计做那软件的公司压根就不认识Mac OS X之类的东西吧,就算偶想装也装不起啊

8过这件事这两天炒得沸沸扬扬的,因此就顺便多查询了一下关于这个软件的一些情况

因为没用过这个,所以这里贴一个亲自用过这软件的用户的评测

关于软件的使用效果偶就不多说了——那个谁谁谁说过的,没有亲自使用过的人没有发言权,因此偶只根据这个评测和其他偶所看到的一些关于这个软件的资料做做吐槽工作

首先——说是国家提供4170W人民币的采购费用供网民免费使用一年,偶是不知道那个软件原价多少钱一年,偶随便试了一个普通的PC游戏在国内的价格(69元人民币),得出来的结果是国家购买了60万套,然后这个软件是由原来的“绿坝”和“花季护航”两个软件的制作公司合作完成的,因此使用了现在的这个名字,说实话——本来Windows自己就有家长控制系统,非要花这个冤枉钱用这个不知道啥名的软件干啥?(具体情况欢迎查看关于该软件的谈判响应书

然后是软件的安装方式:只能安装到system32目录,用户不能自定义安装目录,软件自己本身也没有一个集合的文件夹,所有文件全部被零散地放入system32文件夹——话说,这和流氓软件或者病毒有什么区别?(事实上,更糟糕的是软件还没有Uninstall反安装程序,也没法通过系统的添加/删除程序控制面板删除)

接下来说说UI,也就是所谓的用户界面——说实话,偶第一想到的是这究竟是Windows 95年代的软件还是MS-DOS年代的软件?除了比起DOS的黑白多了14种颜色以外,偶实在看不出来这玩意儿的UI比Ghost先进多少,要知道Leopard上都已经由512×512的32位色图标了

然后说说本软件的“最大亮点”——图像过滤,根据官方的谈判说明,该软件的误判断低于7%,可是似乎事实证明误判率非常高,相比之下倒是据说某些人的比基尼泳装居然没有被过滤,此外在打开该软件时上网速度奇慢——好吧,或许从某种角度来说让广大小朋友们“因为受不了过慢的网速而戒除网瘾”也说不定,8过如果是偶的话,直接去网吧好了

下面是如果打开了图片过滤就会清除浏览器的所有缓存——在没有给用户任何警告的情况下擅自删除用户的浏览缓存很有可能给用户带来重大的损失,强制性推广这个破烂软件的国家会给偶们赔偿么?

这件事可能是所有关于这个滤霸的新闻里面最囧的一件——不久前新闻宣布该软件被一小学生成功破解,并且经证实该破解方法有效——具体做法是修改system32目录下的kwpwf.dll文件,将里面的文本替换成D0970714757783E6CF17B26FB8E2298F,然后该软件的密码就变成了112233,关于这一点偶想稍微详细说明一点:
首先就如偶刚刚说过的,system32目录是Windows系统里面最重要的目录之一,一旦这个目录发生什么状况,后果将可能是毁灭性的,而这个破烂软件不仅将软件强制安装在这个目录,而且不建立单独的文件夹,而是将文件全部直接零散地放入进去——试想,如果因此造成的重名文件被覆盖,那么后果是如何?
此外,为什么将里面的文本替换成那个数值之后密码就变成112233?事实上包括这个软件在内,可以说所有的软件在保存密码的时候,都不是保存的密码的文本,而是将密码使用hash函数(中文译作散列函数)转换之后存储的,之后对比用户输入的密码是否正确同样也是对比用户输入的密码使用该hash函数转换之后是否和原hash数值一致,这样做的好处是第一不会暴露用户的本来的密码,第二是散列函数在理论上通常是单向函数,也就是说即时通过某种手段拿到这个hash的结果,你也无法推算出原来的密码——因为比如即时你使用这个hash值作为密码,他被再一次散列函数之后得出来的数值又将不一样,而这里,刚刚那个长长的字符串(实际上是32位16进制整数)就是密码112233使用某种hash函数得出的值(具体参考这里
于是问题出现了——这是使用的那一种hash函数呢?经过本人的实际验证,得出的结论是——这是MD5函数,也就是通常偶们用于做验证数据完整性的时候使用的函数,实际上MD5在刚刚问世的时候的确被用于作为保存密码的手段,但随后被证实该函数的严重加密缺陷,现在已经可以人工“制造”两个MD5值一模一样的两个不同的内容了
没错——也就是说,即使不修改这个文件,通过一定的手段,也可以反向计算出(或者使用某强大的MD5数据库查找出)原来的密码或根原来的密码有着相同MD5值的字符串,因此现在MD5几乎已经不再用于保存密码了——而这个破烂软件居然仍然在使用老掉牙的MD5来保存密码,实在是让人觉得做这软件的人没有一点诚意(关于MD5,欢迎各位翻墙查看这里)至少也得像rar的加密一样,做个几十年不被破解的hash函数吧(豆知识:截止目前为止,加密rar压缩包的密码加密方式仍然未被破解,也就是说暂时只有硬破这一种方式来破解rar压缩包)

官方声称这是多款参与竞标的软件当中最优秀的一款——就这样的效果也能是最优秀的?更何况偶们从来没听说过这么一种类似的竞标

而且强制安装在Windows的系统目录之下,一旦软件发生什么Bug,带来的后果都将是毁灭性的(对于Windows用户来说),更糟糕的是这个软件弱小的自我保护方式,让人非常容易就能在里面植入恶意代码,从而让你的电脑成为黑客的肉鸡或其他病毒进入你的电脑的桥梁——别忘了如果是在D盘或者其他非系统盘的话,一切都还好说,系统盘中病毒的后果可是非同小可,症腐你准备在这里出多少钱赔偿全国这么多用户呢??

事实上——根据最新的消息,某大学研究人员已经发布了详细的分析报告,指出绿坝程序里面的某高危漏洞,他们已经放出一个网页,如果用户在运行绿坝的状态下打开该网页就会使浏览器崩溃(暂无其他危害,但是如果有心完全可以在此基础上植入恶意代码),欢迎各位安装了绿坝的不怕死的同学尝试进入该网页;同时该报告还指出如果该漏洞被恶意利用,那么5000完的用户都将被黑客所控制,也就是说——此举足以构成一个全世界最大的僵尸网络

症腐说这个软件是用于保护未成年人的——试问,购买电脑的人群里面,有多少比例是未成年人?又有多少比例是家有未成年人的家长?这里面又有多少是可能是在这一年内到了开始接触电脑的年龄了的?

该软件的自动更新也做的非常糟糕——一旦无法连接至官方服务器,软件就会不断重试,因此一旦官网被黑客黑掉,试想全国这么多用这个糟糕的破烂软件的用户,一下子那么多的连接服务器重试,完全就一对DNS服务器的DDoS攻击啊,足以让全国陷入混乱啊,比馒头还强大啊

此外本人最想吐槽的仍然还是定时截屏功能——说是定时截屏以帮助家长了解孩子正在电脑上干什么,要知道如果孩子正在聊QQ,聊天记录自然就被曝光了;此外虽然通常默认状况下密码在屏幕上也是以*(Windows机器上)的样式显示,但仍然有完整显示密码的显示方式,如果是这样的情况下输入密码的屏幕被截下来,那么用户的很多个人信息都将被曝光,万一还是银行账户或者信用卡的Security Code,症腐给赔偿么?
好吧其实这些还是小事,大事是这直接导致孩子的隐私权被侵犯——孩子再下也总还是有自己的隐私权的,当家长的小时候也不喜欢自己的家长偷看自己的日记吧,难道现在的孩子就愿意自己的家长看自己的聊天记录么?

总之,这一软件就是一悲剧,人民只得抱以看热闹的心情搬个小板凳继续对后续发展进行惨无人道的围观

Author: 星野恵瑠

Mac user, Niji-Ota, Chinese, Now working in Japan at MAGES. Inc., Future's aim is that one day my name can be listed in Wikipedia

3 thoughts on “说说某悲剧软件”

  1. 我就不多说啥了 看这个:
    新华网北京6月12日:工业和信息化部要求计算机预装“绿坝-花季护航”上网过滤软件一事近日引起广泛关注,其中一个现象很有意思,即支持意见大多来自用户,反对意见主要来自少数媒体和商家。

Leave a Reply

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax

(;;) (:D) (!!!!) (……) (^o^;) (==) (OoO) (=v=o) more »Note: Commenter is allowed to use '@User+blank' to automatically notify your reply to other commenter. e.g, if ABC is one of commenter of this post, then write '@ABC '(exclude ') will automatically send your comment to ABC. Using '@all ' to notify all previous commenters. Be sure that the value of User should exactly match with commenter's name (case sensitive).