上星期六去了由 PISA 主辦,莫乃光、楊和生、賴灼東主講的 "解剖綠壩研討會",我現場 twitter 了一些相片,由於當時我用 iPhone 做 live blogging 的關係,相片有點模但主要內容還清楚可見,望別介意,現在來點匯編:
當綠壩發現有"不良"網站內容時,你只會看到 blank page 空白頁,就像網站不存在的樣子,沒有警告字句,你根本不知道這網址是錯了,不存在,暫時去不到,還是你自己的電腦設定有問題,以程式開發角度來看完全不合格,最少你要告知你的用戶你去不到,是因為"內容不良",而不是出現空白頁,需知道看不到並不代表不存在。
為什麼安裝了綠壩還可以看到支聯會的網站??不是政府開通,而是綠壩的運作效能很低(當然是 software based),當你的電腦不夠快時,綠壩的運作效能也不夠快,所以 "block 唔切"。用綠壩電腦如果夠慢,反而可以看到更多網站,享有更大的資訊自由,真係搞笑~~
在測試中,綠壩要 17 個學習循環(learning nodes)才可以辨認出支聯會網屬於"不良"網站,它的 algorithms 比想像中要弱得多。測試時講者在綠壩的 log 裡找到很多 screen capture,原來綠壩會在發現"有問題"內容時 screen capture 你的畫面,令人壞疑可能中國政府在"有需要時"使用。綠壩像 malware 多於過濾軟件。
大會還請到 Valkyrie-X Security Research Lab 來為綠壩"解剖"(Reverse-Engineering)。
解剖圖。
發覺原來 master hash password 是 1122????????,這樣不但政府可以查知你的電腦活動,連駭客也可以輕易得知,被偷資料的機會大大增加。另外,還測試出只要 9 bits 的數據字串就可以令綠壩出現 overstack 的情況,回應的 code 是 61616161,駭客可以在你的電腦加入駭客軟件,只需接收這個字串就可以了。
綠壩不但未能有效做到過濾不良資訊的目的,反而增加用戶被駭的機會,而且在使用過程帶來很多不便,又消耗電腦資源,實在不知道為什麼中國政府要強制安裝,希望可以收回這項政策。
後記:最令人驚訝的是,綠壩除了會過濾加菲猫,猪相片外,還有中華人民共和國國旗,我們在台下試了試,很是有趣。
