阿里云被关6个月小黑屋,他冤吗?
12月22日,阿里云被暂停工信部网络安全威胁信息共享平台合作单位身份6个月,那他到底冤不冤呢?通报原因显示:近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发,该漏洞可能导致设备远程受控,获取设备的最高操作权限,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。是近年来互联网上最严重的漏洞之一,12月10日,黑客利用漏洞攻击仅几千次,隔天就增至4万次,72小时后,攻击就超过80万次,正如网上所说,这属于核弹级漏洞。令人遗憾的是,阿里发现了如此严重的漏洞,没有第一时间向国家主管部门汇报, 而是第一时间报给的M国,对国内却是只字未提,直到此事在国外上了热搜,才被我国工信部门察觉,及时采取相应的补救措施。
而在此期间,我国已有部分企业遭到黑客利用本次漏洞的攻击,所以阿里云这次被关小黑屋,一点都不冤。
提起漏洞,大家可以都觉得这是开发人员无意为之,属于工作上的失误,及进打上补丁,进行系统升级,就可以解决了 ,但是这事如果牵扯到M国,那可未必是无意为之。
如果这个漏洞是开发者故意为了,那就不叫漏洞,那叫"后门",有些后门是开发者设置好,并提前告知使用者,以便在设备出现问题时,由开发者通过"后门"进行远程操作,快速解决问题,而有些"后门",开发者没有告诉使用者,甚至一般的开发人员都不知情, 有神秘组织将后门添加进去,以便随时随地进行远程监控,进而获取机密数据信息,臭名昭著的棱镜门就是这样的骚操作,M国利用这个后门监听全世界,甚至连自己的盟友都不放过。我们的信息一定要掌握在自己人手里,甚至只能由政府相关部门掌握,如果一旦信息泄露,特别是被国外别有用心的人掌握,那将会造成毁灭情的灾难。
有些漏洞是无意为之,而有些漏洞是刻意而为,据了解,在M国如果有人发现计算机的安全漏洞,第一时间是要跟M国情报部门沟通,由情报部门审核,只有他们觉得这个漏洞可以公布,你才可以向社会公布,至于那些不能公布的,明眼人都知道。
所以如果是你发现了如此严重的计算机系统漏洞,你在向开发人员报告的同时,是不是应该同时向国家监管部门汇报?甚至应该是第一时间向国家监管部门汇报呢?
阿帕奇是谁呀,他是全球开源软件界的"大哥大",全球的大厂几乎都在用阿帕奇的开源软件,在我国的应用也是极其广泛,如此重要的安全漏洞信息,我们竟然是在15天之后从别人那里知道的,面对这个核弹级漏洞,阿里云对我们连个标点符号都没说,这就好比,你媳妇发现你们的东西被偷了,她没告诉你,而她第一时间告诉了隔壁老王,你十五天后才从隔壁老王那听说你们东西被偷了,但是早在2个月前,你就告诉过你媳妇,如果咱们家东西丢了,你要第一时间告诉我。
至于阿里云为什么是这样一种匪夷所思的心理状态,我们不得而知,据阿里云最新回应称"早期未意识到阿帕奇漏洞的严重情",面对如此"核弹级"的漏洞,阿里云这个占比国内云服务40%以上份额的企业,竟然称"未意识到漏洞的严重情",仅仅是按照"业界惯例"向M国公司报告,要我说,关你6个月的小黑屋,一点都不冤,甚至还有点轻。
至少在6个月内,阿里云不会接到任何政府的云服务合作项目,公信力也将大打折扣,希望阿里云端正态度,认真整改,并且我觉得最重要的是要端正态度。