久久99国产精品尤物-国产高清色播视频免费看-男生肌肌往女人桶爽视频-精品国产-91PORNY九色|www.jqdstudio.net

學爸蛋總：兩頭不討好！阿里云這回犯的錯誤，有多嚴重？

點擊：  作者：學爸蛋總    來源：超級學爸 微信號  發布時間:2021-12-23 10:35:04

 

今天看到一則新聞，說工信部網絡安全管理局發出一項通報，要求阿里云進行為期六個月的整改。

 

這六個月內，阿里云被取消了工信部網絡安全威脅信息共享平臺合作單位資格。六個月后，工信部會根據整改情況，研究是否恢復其資格。

 

咋回事呢？其實我記得不久前，還在夸阿里云，說阿里云立功了，發現了一個可能是計算機歷史上最大的漏洞。

 

那為啥阿里云又被工信部通報批評了呢？這是因為，阿里云發現這一核彈級漏洞以后，第一時間報告給了美國的阿帕奇協會。

 

工信部一直被蒙在鼓里，直到后來奧地利和新西蘭的計算機小組對這一漏洞發出了預警，工信部這才知道。

 

阿里云發現漏洞是在11月24日，而工信部得知情況，是在12月9日，中間已經過了15天。關鍵是工信部最后還是因為第四方滿世界嚷嚷才知道的。

 

這十五天，中國的互聯網簡直是在裸奔。因為，已經有黑客掌握了這個漏洞，已經在利用這個漏洞進行網絡攻擊。

 

什么是漏洞？漏洞就是軟件、硬件或協議的設計缺陷。舉個例子，我們的房子有一扇防盜門，每次回家都認認真真開鎖，進家后趕緊反鎖上。

 

然而實際情況是，這扇門有漏洞。因為上邊有個洞，沒有鑰匙也可以自由出入。如果這個洞是廠家故意留的，那就后門，如果是設計缺陷，那就是漏洞。

 

 

 

 

 

漏洞和后門沒有嚴格的區別。后門，有的是設計階段，為了方便測試或者方便修改而留的，或者說是檢修口，或者叫調試接。

 

自毀程序也是一種后門。美國就曾將自毀智能芯片設伏于出口的飛機、火箭發射器或導彈等軍用設施和武器中，開啟無線接收功能，以便接收自毀命令。

 

有的芯片或軟件設計廠商，有時候就是故意留后門，就相當于賣鎖的或配鑰匙的，故意多留了一把鑰匙，隨時可以到別人家轉一圈。

 

這個后門只有廠家自己知道，或者這個后門干脆是神秘客戶定制的（美國國安局：你直接報我身份證號吧），一旦被發現了，他就說對不起，這是系統漏洞，我來給你打個補丁。

 

2016年，英特爾被曝光了一個后門，也就是ME程序。英特爾可以通過ME引擎做它想做的任何事，除非你完全斷網。

 

ME程序可以在系統休眠、電腦啟動及系統運行時保持活動，可以控制開機、關機，讀取所有開放文件、檢查所有已運行的程序、追蹤用戶的鍵盤、鼠標動作，甚至還能截屏。

 

關鍵是在曝光之前，這是個秘密，用戶被蒙在鼓里。為了把這個程序關掉，技術人員費了老大的勁，最后發現了一個隱藏的比特開關。

 

而該比特開關還有標記reserve_hap，旁邊的注解： “High Assurance Platform (HAP)enable”，而這個HighAssurance Platform (HAP) 是 NSA （美國國安局）的一個程序。

 

因此，這個Me程序，其實就是英特爾根據NSA的要求設置的，這樣NSA可以在必要的時候，控制特定的計算機。

 

這就是為啥我們要發展完全自主可控的CPU，這就是為啥幾乎所有的大國重器中用的都是龍芯，就是為了避免這種尷尬。

 

還比如美國的思科公司，其路由器等網絡信息產品2013年之前在全球擁有極高的占有率，但是思科產品陸續被發現了1300多個漏洞。

 

更有甚者，我國網絡安全部門曾經在思科路由器上，找到了嚴重的預置式的后門。這些后門和所謂的漏洞，成了美國棱鏡門的幫兇，全球網絡都在美國的監聽之下。

 

思科路由器多款主流產品的VPN隧道通訊和加密模塊存在預置后門。利用這個“后門”，可獲取密鑰等核心敏感數據，可還原VPN加密信息內容，實現數據監測。

 

思科多款路由器存在隱蔽監視陷門。通過這些預設的陷門，可以隱蔽地將流經思科路由器的網絡數據選擇性地傳輸到指定的IP地址，為網絡監視提供數據條件。

 

還有，思科路由器在維護模塊中存在可遠程操控的后門，可使用遠程網絡數據觸發，也可通過特殊指令觸發，對思科路由器進行配置、操控。

 

思科路由器系列產品的訪問認證機制設計上，也存在多處未知安全漏洞，黑客可以繞過認證機制獲得最高管理權限，甚至可以將惡意代碼植入固件。

 

阿里云發現的這個漏洞，為啥說是計算機歷史上最大的漏洞呢（核彈級漏洞）？第一，黑客通過這個漏洞，可以在服務器上做任何事；第二，這個漏洞極為普遍。

 

在服務器的組件中，日志組件是應用程序中不可缺少的部分。而其中Apache（阿帕奇）的開源項目log4j是一個功能強大的日志組件，被廣泛應用。

 

11月24日，阿里云程序員們，發現這個組件有致命的漏洞。攻擊者只要提交一段代碼，就可以進入對方服務器，而且可以獲得最高權限，控制對方服務器。

 

這漏洞影響面有多大？全球大廠，悉數中招，比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、百度，網易、新浪以及特斯拉。

 

蘋果被攻擊，系統可能崩潰；亞馬遜被攻擊，可能是一場財務災難；阿里被攻擊，支付寶里的錢搞不好變成糊涂賬；特斯拉被攻擊，那可是要人命的……

 

而像 IT 通信（互聯網）、工業制造、金融、醫療衛生、運營商等各行各業都將受到波及，全球互聯網大廠、游戲公司、電商平臺等也都有被影響的風險。

 

更要命的是，這個漏洞使用門檻極低。即使是毫無經驗的互聯網小白，只要按照簡單的指令操作，就可以變成服務器殺手。

 

已經有網友證實，更改 iPhone 名稱就可以觸發漏洞。還有網友試了試百度搜索框、火狐瀏覽器里輸入帶${ 的特殊格式請求，就能造成網頁劫持。

 

阿里最早公開這個漏洞，按說是個巨大的功勞，但是阿里云的操作卻兩頭不討好。因為他把這個漏洞報告給了阿帕奇（Apache）基金會。這個阿帕奇基金會，是美國控制下的。

 

為啥說兩頭不討好呢？因為中國在罵阿里云,美國方面可能也在罵。對于美國來說，內心戲是這樣的：就諞（piǎn）你能！勞資藏了這么久的網絡武器，你特么給我公開了！

 

為啥這么說？因為據說美國早就知道這個漏洞，但沒有聲張。大家不用奇怪，這是美國的基本操作，后門和漏洞其實是一種戰略資源。

 

一旦發現，美國只會竊喜，是不會公開的。在必要的時候出其不意，給對手以致命的一擊，把對方的網絡搞癱瘓，把對方的數據給毀滅。

 

美國軍方，已經根據掌握的漏洞和后門，研制了各種網絡攻擊武器，目前至少2000種，包括各種蠕蟲病毒、木馬病毒、邏輯炸彈、間諜軟件。

 

2019年波及全世界的勒索病毒，據說就是美國網絡武器被泄露出去之后，被民間黑客組織掌握，然后到處勒索，全球150個國家23萬臺電腦中招。

 

勒索病毒給我們敲響了警鐘，因為我們的很多政府部門、加油站都被黑了。有大學生的畢業論文剛弄好就被黑了，簡直痛不欲生。

 

在美國，如果有企業發現漏洞，首先要提交給美國情報部門，然后得到批準后才能發布。沒有批準，那就是被美國情報部門扣下當武器了。

 

互聯網時代，國家安全自然延伸到了網絡。各個國家，都在想辦法堵自己漏洞，找別人家的漏洞。同樣的漏洞，那就是看誰率先掌握。

 

美國是互聯網領域的絕對霸主，而我們一直在摸著美帝過河。所以我們也在想方設法收集漏洞資源，這關系到跟美國的戰略平衡和國家安全。

 

今年9月1日，為落實《網絡產品安全漏洞管理規定》有關要求，工信部網絡安全管理局組織建設的工信部網絡安全威脅和漏洞信息共享平臺正式上線運行。

 

而這個《網絡產品安全漏洞管理規定》第七條明確指出，各企業發現安全漏洞后，應當在2日內向工信部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。

 

 

 

報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。

 

阿里云的問題是把這個武器提交給了阿帕奇（Apache）基金會，卻沒有向工信部提交，這不僅僅是個政治錯誤，關鍵是違法了。

 

工信部生氣那是肯定的了，而且是暴跳如雷那一種。啥叫信息共享平臺??？就是大家都把漏洞提交到這里，做到群防群治，維護了自己利益，也維護行業利益，更維護國家利益。

 

 

 

 

現在倒好，阿里云享受著別人提交過來的漏洞，自己發現了卻悶不做聲，偷偷提交給了美國的阿帕奇基金會。

 

網絡安全，有時候比的就是速度。安全信息的傳遞，應該是分秒必爭的。晚一秒，國內的重要服務器說不定就會被攻陷。

 

工信部12月9日通過公開渠道了解了這一漏洞之后，全國的程序員正準備歡度周末，結果都被喊來徹夜加班打補丁，問題是我們比美國晚了整整15天。

 

 

 

15天的時間，美國情報部門不知道在我們國內重要的服務器上逛多少圈了，拷貝了多少信息，安裝了多少非法程序。

 

美國方面可能也會很生氣，阿里云發現了這個漏洞，等于作廢了一個網絡武器。所以阿里云此舉兩頭不討好。

 

毫無疑問，阿里云是中國最優秀的程序員聚集地之一，是全球領先的云計算及人工智能科技公司。2020年全球云計算IaaS市場，阿里云以9.5%的市場份額，排名第三。

 

最近，國際權威機構Gartner發布最新報告，阿里云在計算、存儲、網絡、安全四項核心評比中均斬獲第一，超過了亞馬遜、微軟、谷歌等國際廠商。

 

技術上要爭先，政治上也要過硬，堅決不能再相信“技術無國界”的鬼話。就算是技術無國界，可企業和技術人員都有自己的祖國。最關鍵的，一定要守好法律底線。

 

 

 

希望阿里云在接下來的半年好好反思，也提醒其他企業引以為戒，提高政治意識、國安意識以及法律意識。

 

作者：學爸蛋總 來源： 超級學爸（圖片來源網絡 侵刪）