Le logiciel de filtrage pornographique du gouvernement chinois est vulnérable

La France avec ses ~65 millions d'habitants compte ~33 millions d'internautes. Dernièrement, la loi aux multiples noms HADOPI, LCI, OLIVENNES... a été sérieusement perturbée par la décision (n° 2009-580)  du Conseil Constitutionnel ; les sages s'alignent sur l'avis du Parlement Européen à savoir qu'Internet est une composante de la liberté d'expression, considérée comme un droit fondamental auquel seul un juge peut porter atteinte. Rappel: HADOPI prévoit de vendre aux internautes soucieux de leur sécurité un programme espion certifié qui va permettre de filtrer et contrôler les données entrantes et sortantes des communications électroniques.

Maintenant, passons à la Chine, ~1 milliard 350 millions d'habitants dont 250 millions d'internautes, c'est un des pays qui contrôle le plus strictement l'espace Internet au monde. Il y a quelques jours, le ministère chinois de l'Industrie et de la Technologie de l'information a annoncé que tous les fabricants d'ordinateurs seront tenus d'installer préalablement un logiciel de filtrage qui vise à filtrer et bloquer des contenus malsains, dont la pornographie (interdite) et la violence. "Green Dam", c'est son nom, devra être implanté sur toutes les machines vendues dans le pays à compter du 1er juillet 2009, y compris les machines importées et les fabricants devront fournir des comptes au gouvernement.


Summary: We have discovered remotely-exploitable vulnerabilities in Green Dam, the censorship software reportedly mandated by the Chinese government. Any web site a Green Dam user visits can take control of the PC. According to press reports, China will soon require all PCs sold in the country to include Green Dam. This software monitors web sites visited and other activity on the computer and blocks adult content as well as politically sensitive material. We examined the Green Dam software and found that it contains serious security vulnerabilities due to programming errors. Once Green Dam is installed, any web site the user visits can exploit these problems to take control of the computer. This could allow malicious sites to steal private data, send spam, or enlist the computer in a botnet. In addition, we found vulnerabilities in the way Green Dam processes blacklist updates that could allow the software makers or others to install malicious code during the update process. We found these problems with less than 12 hours of testing, and we believe they may be only the tip of the iceberg. Green Dam makes frequent use of unsafe and outdated programming practices that likely introduce numerous other vulnerabilities. Correcting these problems will require extensive changes to the software and careful retesting. In the meantime, we recommend that users protect themselves by uninstalling Green Dam immediately.

 Après à peine 12 heures de tests, l'étude Analysis of the Green Dam Censorware System de Scott Wolchok, Randy Yao, & J. Alex Halderman est édifiante. Pour être honnête, j'ai d'abord pensé à une mauvaise blague mais après téléchargement et petites vérifications de la preuve de faisabilité, il s'avère que c'est la triste vérité, les composants n'ont pas été audités et s'exposent à de sérieuses vulnérabilités qui peuvent entraîner une compromission complète de la machine. Imaginez un réseau de millions de zombies ? Surprenant, le contenu du fichier 'adwfil.dat' stipule que le site français de l'ISIMA (Institut Supérieur d'Informatique de Modélisation et de leurs Applications) n'est pas fréquentable pour... les internautes chinois ! Ci-dessous, une liste des fichiers ayant été décryptés:

    * adwapp.dat - http://privatepaste.com/aey5BIlkyx
    * adwfil.dat - http://privatepaste.com/091MdBUyDv
    * auctfil.dat - http://privatepaste.com/f20vFALQPl
    * bnrfil.dat - http://privatepaste.com/76uATdcCsN
    * bsnlst.dat - http://privatepaste.com/b6tJvZlQJN
    * chtfil.dat - http://privatepaste.com/32hbY5XUgy
    * csnews.dat - http://privatepaste.com/bb1RyuqiVu
    * cultfil.dat - http://privatepaste.com/dc1NtZn183
    * entfil.dat - http://privatepaste.com/bd0qklsJuD
    * finfil.dat - http://privatepaste.com/b414bkBNPv
    * fmfil.dat - http://privatepaste.com/3d114bf1mD
    * fshrfil.dat - http://privatepaste.com/b8kPPu9ZiV
    * gblfil.dat - http://privatepaste.com/53CXciru9I
    * gdwfil.dat - http://privatepaste.com/49ftIfdRqJ
    * gnfil.dat - http://privatepaste.com/c6lU71HHUT
    * hatfil.dat - http://privatepaste.com/1005oQLOJv
    * iawfil.dat - http://privatepaste.com/951A0xSKW2
    * imgfil.dat - http://privatepaste.com/cehwHinyM0
    * jbfil.dat - http://privatepaste.com/7d1cmQ7bdW
    * lgwfil.dat - http://privatepaste.com/a1ndIrVvEn
    * movfil.dat - http://privatepaste.com/99cMT8Xjyr
    * mp3fil.dat - http://privatepaste.com/f0uBTti5uh
    * nvgamfil.dat - http://privatepaste.com/9aYQOBgQoU
    * perfil.dat - http://privatepaste.com/7driTj667b
    * picsfil.dat - http://privatepaste.com/34TI4cSbZE
    * pkmon.dat - http://privatepaste.com/580KvOFYV4
    * popfil.dat - http://privatepaste.com/c10gAsIEuq
    * psyfil.dat - http://privatepaste.com/ae0GA79ZFm
    * sporfil.dat - http://privatepaste.com/e20QeOlezv
    * swfil.dat - http://privatepaste.com/aeSIsoDlKd
    * tafil.dat - http://privatepaste.com/26FTx1Dfjz
    * tapfil.dat - http://privatepaste.com/ae0UoosGMk
    * TrustUrl.dat - http://privatepaste.com/4c0Q3tzzb0
    * vgamfil.dat - http://privatepaste.com/1auoil5bP2
    * viofil.dat - http://privatepaste.com/f79OiqXC6J
    * wfile.dat - http://privatepaste.com/450zZe32hn
    * wfileu.dat - http://privatepaste.com/9c0oaeS0i1
    * wrestfil.dat - http://privatepaste.com/eapAh32NC8
    * wzfil.dat - http://privatepaste.com/170Epo2wTZ

Merci à l'illustre inconnu, 'minagi' pour ses recherches.

Quelques heures après la publication de l'étude:  Exploit ITW
<!-- Green Dam Remote Buffer Overflow(shellcode for WinXP sp2) -->
<!-- by Seer[N.N.U] 101702333@qq.com / raven87033@hotmail.com  -->

Liens connexes:
- China confirms security flaws in Green Dam, rushes to release a patch ( June 15, 2009, Dancho Danchev )
- Green Dam URL Processing Buffer Overflow exploit (meta) ( June 16 2009, Recognize-Security )
- Chinese government delays Green Dam requirement (maybe forever) ( June 30 2009, Tom Kelchner )
- Green Dam Remote Change System Time Exploit ( July 1 2009, milw0rm )
- China's Dam Delay ( July 2 2009, Sean Sullivan )

Cette entrée a été postée par Matt sur Vendredi, 12 juin 2009 à 08:03. Vous pouvez laisser un commentaire, ou utiliser le trackback Les commentaires seront vérifiés avant publication.

Rétroliens

Rétrolien spécifique pour ce billet

    Pas de rétroliens

Commentaires

Afficher les commentaires en (Vue non groupée | Vue groupée)

    Pas de commentaires


Ajouter un commentaire



Pour éviter le spam par des robits automatisés (spambots), merci d'entrer les caractères que vous voyez dans l'image ci-dessous dans le champ de fomulaire prévu à cet effet. Assurez-vous que votre navigateur gère et accepte les cookies, sinon votre commentaire ne pourra pas être enregistré.
CAPTCHA
 
Les commentaires postés doivent être approuvés avant d'être affichés dans le blog.