兩頭不討好!阿里雲這回犯的錯誤,有多嚴重?

今天看到一則新聞,說工信部網路安全管理局發出一項通報,要求阿里雲進行為期六個月的整改。
這六個月內,阿里雲被取消了工信部網路安全威脅資訊共享平臺合作單位資格。六個月後,工信部會根據整改情況,研究是否恢復其資格。
咋回事呢?其實我記得不久前,還在誇阿里雲,說阿里雲立功了,發現了一個可能是計算機歷史上最大的漏洞。
那為啥阿里雲又被工信部通報批評了呢?這是因為,阿里雲發現這一核彈級漏洞以後,第一時間報告給了美國的阿帕奇協會。
工信部一直被矇在鼓裡,直到後來奧地利和紐西蘭的計算機小組對這一漏洞發出了預警,工信部才知道。
阿里雲發現漏洞是在1124日,而工信部得知情況,是在129日,中間已經過了15天。關鍵是工信部最後還是因為第四方滿世界嚷嚷才知道的。
這十五天,中國的網際網路簡直是在裸奔。因為,已經有駭客掌握了這個漏洞,已經在利用這個漏洞進行網路攻擊。
什麼是漏洞?漏洞就是軟體、硬體或協議的設計缺陷。舉個例子,我們的房子有一扇防盜門,每次回家都認認真真開鎖,進家後趕緊反鎖上。
然而實際情況是,這扇門有漏洞。因為上邊有個洞,沒有鑰匙也可以自由出入。如果這個洞是廠家故意留的,那就後門,如果是設計缺陷,那就是漏洞。
漏洞和後門沒有嚴格的區別。後門,有的是設計階段,為了方便測試或者方便修改而留的,或者說是檢修口,或者叫除錯接。
自毀程式也是一種後門。美國就曾將自毀智慧晶片設伏於出口的飛機、火箭發射器或導彈等軍用設施和武器中,開啟無線接收功能,以便接收自毀命令。
有的晶片或軟體設計廠商,有時候就是故意留後門,就相當於賣鎖的或配鑰匙的,故意多留了一把鑰匙,隨時可以到別人家轉一圈。
這個後門只有廠家自己知道,或者這個後門乾脆是神秘客戶定製的(美國國安局:你直接報我身份證號吧),一旦被發現了,他就說對不起,這是系統漏洞,我來給你打個補丁。
2016年,英特爾被曝光了一個後門,也就是ME程式。英特爾可以透過ME引擎做它想做的任何事,除非你完全斷網。
ME程式可以在系統休眠、電腦啟動及系統執行時保持活動可以控制開機、關機,讀取所有開放檔案、檢查所有已執行的程式、追蹤使用者的鍵盤、滑鼠動作,甚至還能截圖。
關鍵是在曝光之前,這是個秘密,使用者被矇在鼓裡。為了把這個程式關掉,技術人員費了老大的勁,最後發現了一個隱藏的位元開關。
而該位元開關還有標記reserve_hap,旁邊的註解:High Assurance Platform (HAP)enable”,而這個HighAssurance Platform (HAP)NSA(美國國安局)的一個程式。
因此,這個Me程式,其實就是英特爾根據NSA的要求設定的,這樣NSA可以在必要的時候,控制特定的計算機。
這就是為啥我們要發展完全自主可控的CPU,這就是為啥幾乎所有的大國重器中用的都是龍芯,就是為了避免這種尷尬。
還比如美國的思科公司,其路由器等網路資訊產品2013年之前在全球擁有極高的佔有率,但是思科產品陸續被發現了1300多個漏洞。
更有甚者,我國網路安全部門曾經在思科路由器上,找到了嚴重的預置式的後門。這些後門和所謂的漏洞,成了美國稜鏡門的幫兇,全球網路都在美國的監聽之下。
思科路由器多款主流產品的VPN隧道通訊和加密模組存在預置後門。利用這個“後門”,可獲取金鑰等核心敏感資料,可還原VPN加密資訊內容,實現資料監測。
思科多款路由器存在隱蔽監視陷門。透過這些預設的陷門,可以隱蔽地將流經思科路由器的網路資料選擇性地傳輸到指定的IP地址,為網路監視提供資料條件。
還有,思科路由器在維護模組中存在可遠端操控的後門,可使用遠端網路資料觸發,也可透過特殊指令觸發,對思科路由器進行配置、操控。
思科路由器系列產品的訪問認證機制設計上,也存在多處未知安全漏洞,駭客可以繞過認證機制獲得最高管理許可權,甚至可以將惡意程式碼植入韌體。
阿里雲發現的這個漏洞,為啥說是計算機歷史上最大的漏洞呢(核彈級漏洞)?第一,駭客透過這個漏洞,可以在伺服器上做任何事;第二,這個漏洞極為普遍。
在伺服器的元件中,日誌元件是應用程式中不可缺少的部分。而其中Apache(阿帕奇)的開源專案log4j是一個功能強大的日誌元件,被廣泛應用。
1124日,阿里雲程式設計師們,發現這個元件有致命的漏洞。攻擊者只要提交一段程式碼,就可以進入對方伺服器,而且可以獲得最高許可權,控制對方伺服器。
這漏洞影響面有多大?全球大廠,悉數中招,比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、百度,網易、新浪以及特斯拉
蘋果被攻擊,系統可能崩潰;亞馬遜攻擊,可能是一場財務災難;阿里攻擊,支付寶裡的錢搞不好變成糊塗賬;特斯拉攻擊,那可是要人命的……
而像IT通訊(網際網路)、工業製造、金融、醫療衛生、運營商等各行各業都將受到波及,全球網際網路大廠、遊戲公司、電商平臺等也都有被影響的風險。
更要命的是,這個漏洞使用門檻極低。即使是毫無經驗的網際網路小白,只要按照簡單的指令操作,就可以變成伺服器殺手。
已經有網友證實,更改iPhone名稱就可以觸發漏洞。還有網友試了試百度搜索框、火狐瀏覽器裡輸入帶${的特殊格式請求,就能造成網頁劫持。
阿里最早公開這個漏洞,按說是個巨大的功勞,但是阿里雲的操作卻兩頭不討好。因為他把這個漏洞報告給了阿帕奇(Apache)基金會。這個阿帕奇基金會,是美國控制下的。
為啥說兩頭不討好呢?因為中國在罵阿里雲,美國方面可能也在罵。對於美國來說,內心戲是這樣的:就諞(piǎn)你能!勞資藏了這麼久的網路武器,你特麼給我公開了!
為啥這麼說?因為據說美國早就知道這個漏洞,但沒有聲張。大家不用奇怪,這是美國的基本操作,後門和漏洞其實是一種戰略資源。
一旦發現,美國只會竊喜,是不會公開的。在必要的時候出其不意,給對手以致命的一擊,把對方的網路搞癱瘓,把對方的資料給毀滅。
美國軍方,已經根據掌握的漏洞和後門,研製了各種網路攻擊武器,目前至少2000種,包括各種蠕蟲病毒、木馬病毒、邏輯炸彈、間諜軟體。
2019年波及全世界的勒索病毒,據說就是美國網路武器被洩露出去之後,被民間駭客組織掌握,然後到處勒索,全球150個國家23萬臺電腦中招。
勒索病毒給我們敲響了警鐘,因為我們的很多政府部門、加油站都被黑了。有大學生的畢業論文剛弄好就被黑了,簡直痛不欲生。
在美國,如果有企業發現漏洞,首先要提交給美國情報部門,然後得到批准後才能釋出。沒有批准,那就是被美國情報部門扣下當武器了。
網際網路時代,國家安全自然延伸到了網路。各個國家,都在想辦法堵自己漏洞,找別人家的漏洞。同樣的漏洞,那就是看誰率先掌握。
美國是網際網路領域的絕對霸主,而我們一直在摸著美帝過河。所以我們也在想方設法收集漏洞資源,這關係到跟美國的戰略平衡和國家安全。
今年91日,為落實《網路產品安全漏洞管理規定》有關要求,工信部網路安全管理局組織建設的工信部網路安全威脅和漏洞資訊共享平臺正式上線執行。
而這個《網路產品安全漏洞管理規定》第七條明確指出,各企業發現安全漏洞後,應當在2日內向工信部網路安全威脅和漏洞資訊共享平臺報送相關漏洞資訊。
報送內容應當包括存在網路產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響範圍等。
阿里雲的問題是把這個武器提交給了阿帕奇(Apache)基金會,卻沒有向工信部提交,這不僅僅是個政治錯誤,關鍵是違法了。
工信部生氣那是肯定的了,而且是暴跳如雷那一種。啥叫資訊共享平臺啊?就是大家都把漏洞提交到這裡,做到群防群治,維護了自己利益,也維護行業利益,更維護國家利益。

現在倒好,阿里雲享受著別人提交過來的漏洞,自己發現了卻悶不做聲,偷偷提交給了美國的阿帕奇基金會。
網路安全,有時候比的就是速度。安全資訊的傳遞,應該是分秒必爭的。晚一秒,國內的重要伺服器說不定就會被攻陷。
工信部129日透過公開渠道瞭解了這一漏洞之後,全國的程式設計師正準備歡度週末,結果都被喊來徹夜加班打補丁,問題是我們比美國晚了整整15天。
15天的時間,美國情報部門不知道在我們國內重要的伺服器上逛多少圈了,複製了多少資訊,安裝了多少非法程式。
美國方面可能也會很生氣,阿里發現了這個漏洞,等於作廢了一個網路武器。所以阿里雲此舉兩頭不討好。
毫無疑問,阿里雲是中國最優秀的程式設計師聚集地之一,是全球領先的雲端計算及人工智慧科技公司。2020年全球雲端計算IaaS市場,阿里雲以9.5%的市場份額,排名第三。
最近,國際權威機構Gartner釋出最新報告,阿里雲在計算、儲存、網路、安全四項核心評比中均斬獲第一,超過了亞馬遜、微軟、谷歌等國際廠商。
技術上要爭先,政治上也要過硬,堅決不能再相信“技術無國界”的鬼話。就算是技術無國界,可企業和技術人員都有自己的祖國。最關鍵的,一定要守好法律底線。
希望阿里雲在接下來的半年好好反思,也提醒其他企業引以為戒,提高政治意識、國安意識以及法律意識。

閱讀原文