“明白了。”李泽这才兴奋起来,“我会好好准备的,你且等着看戏吧,我们在前期因为没法拿到专利授权、初期因为阿美莉卡人为管束得不到新授权所多花费的每一分研发成本都会在不久的将来赚回来!”
温良倒是很平静:“不要先出头,等一等工信的公告,也别通知友商了,能通知他们的时候会有人主动通告的,我们不要多管闲事。”
李泽应声。
结束通话后,温良翻了翻手机,查收了一封几分钟前才抄送给他的公司邮件,内容是简明扼要的描述了这个叫Log4j2的组件漏洞前因后果和影响范围。
没有因邮件收件方可能不懂技术而缩略技术分析过程。
博浪的内部流程本来就有一些规定,糊弄的事情不是没有,而是只要带了脑子就不会把掺杂糊弄的事情抄送给温良他们这些高管。
温良他们是可能不懂技术,但偌大一个博浪,难道找不出一个懂技术的?
而且泛技术部门的人只要带了脑子上班,就应当清楚主要的两个经常在公司出没的技术总工是创始人团队成员。
一个是李博文,一个是孙宝银。
更别说另一创始人团队成员张郁林是自研操作系统总工啊……这踏马去糊弄技术内容,比主动离职要更痛快一些。
事实上,让温良去敲代码是真敲不出来,但让他看技术流程原理……呵呵,你说他能懂不懂吧。
这几把东西如果毫无参照的情况下,确实模模糊糊,但真要有内容摆在眼前,那是能轻易串起来的。
翻了三分钟的样子,温良啧啧称叹:“这都属于惯性思维漏洞了,如果当时我还在技术岗位,这玩意估计我有可能发现……”
“居然敢相信人类的输入每次都无误……啧啧啧……”
他还真不是自吹自擂。
李泽之所以说这个漏洞的攻击门槛低到令人发指真有原因,就只是一个简单的输入错误……比如在输入url时加入一个空格……就可以绕过各种各样的校验,直接在被访问的机器乃至一整个局域网内执行被预先设定好的任意内容,是任意内容。
什么读取文件等等那不过是轻而易举的事情。
Log4j2日志组件功能很强大,可惜对各类参数的判断不严谨。
总之,以温良曾经写代码时的那种模块化思维,很容易发现原生组件代码里定义的判断条件不严谨。
所以……按照后世阿里云方面的辩解,说初期不知道漏洞的严重性,属于公关术语。
跟技术一点关系没有。
纯粹是阿里系内部真的……有点烂。
不仅是上层没有相关心思,就连技术层面也可能没想过要通知国内主管单位,预防网络安全风险。
因为这是个发现以后就会知道很低级但很严重的错误。
…………
晚8点多,温良刚回到下榻酒店,那边厢老苗头的秘书应召来到了老苗家。
与秘书同来的还有一个工程师主管。
有亲自参与了此次严重漏洞处理过程。
老苗头面色缓和且儒雅,坐姿端庄大气,是那种大佬应有的模样,不似约莫半小时前那种散漫样儿。
连此前有些散的头发也又变得一丝不苟了。
秘书跟着老苗头也有几年了,当然知道他的脾性,主动的直接汇报起来:“经过与友邻单位的合作,紧急排查抢修,已完全所有重点单位主要服务器的漏洞修复,也形成了简单的临时规避解决方案。”
“据目前统计,其中国防科工等几个重点单位的对外服务器均有证据表明有通过该漏洞的入侵,部分资料有被非法访问痕迹,总次数超过千次……
其中部分单位近期连番遭遇海量网络攻击疑似与此漏洞有关。”
“某单位可能有机密等级的电子文件被非法访问……”
一五一十的描述完毕后,秘书轻吸了一口气:“根据和友邻单位的初步共同研判,此次漏洞造成的潜在损失可能超过了棱镜。”
“这个漏洞之简单,攻击之深度……实在是过于罕见,据可靠消息,Apache方面会将此漏洞列为CVSS通用漏洞评分系统最高级别的10分,超危险。”
秘书汇报完毕后,看向一旁同来的工程师主管:“其它方面还请林工来补充。”
林工当仁不让,补充了重点:“经过系统性分析,此漏洞原理十分简单,一经发现即可轻易判断危险等级,常规情况下触发概念不大,但触发门槛十分低,总计只需要编写三行代码。”
“……此外,经友邻单位的综合信息汇总,基于星辰内核衍生而立的重点单位内部系统上因无法装载该漏洞日志组件,且因不支持触发漏洞的其中一个JNDI接口,从而完全无法被攻击,也包括所有以星辰内核衍生的操作系统产品;
其中单位试点使用于非关键服务的星辰云,也因此没有这个漏洞。”
“已较为常态使用的阿里云产品,则全部发现了这个漏洞,阿里云的维护工程师至今仍没有通报该漏洞,也没有进行临时规避解决……”
老苗头都忍不住在心中腹诽:“艹。”
他是真无语了。
怎么踏马能有这种单位!
他可是那么儒雅随和的人啊!
都忍不住生艹了。
随后,老苗头做出了决定:“既然已经形成了临时规避解决方案,也有了初步结论,即刻将风险通告给更广泛范围。”
“三小时后正式对外发公告。”
秘书依言记下,在斟酌中提出了自己的建议:“是否等到明天白天?”
老苗头直接否决:“没有必要再等了。”
之后,秘书先帮忙将林工送出了老苗家,然后又折返回去,他知道老苗头还有指示。
老苗头直接安排:“明天上午发起个会议,商议信息安全风险规范建设、以及商量如何组建常态化信息安全防范组织。”
“公告中要体现出对阿里云的处罚决定吗?”秘书问了个特别的问题。
老苗头摇头:“等大家商量之后再决定。”
最后又说了句:“把星辰、星辰云的表现结果告诉温良。”
秘书再次点头。
…………
稍晚些时候,温良就收到了信息通知。
温良又通知了李泽,让他随时准备出击。
如此这般,因为一个漏洞,这个前半夜国内无数互联网公司、信息科技公司的技术支撑部门全都忙成了一锅粥。
尽管损失可能已经造成,但也正因为此,必须得抓紧每一分钟赶紧把漏洞处理干净,别再造成新损失。
不能说一个人黑进来是黑,十个人黑进来也是黑这种叼话。
随后,深夜11点多,工信下属网安局发布了工作动态公告。
《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》
公告内容表示:
『阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会……
10月25日,网安下属职员日常巡查发现阿帕奇Log4j2组件存在严重安全漏洞,已开展漏洞风险分析与排查及修复……
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞……
为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞官方补丁发布,现将临时解决方案下发。
网安将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全……』
深夜发布公告这一举动,自然很快触动了各类群体。
也很快被广泛传播。
引发了夜猫子吃瓜网友的各类谈论。
很快,向来擅长于熬夜的程序猿们纷纷冒泡,通过各种渠道表达了对事件的关注。
网友们也聊得热火朝天。
“这次工信反应好快啊,居然还完成了临时解决方案,有点意外。”
“我文科生不懂这些东西,不过从公告中发现了个比较有意思的点,这漏洞是阿里云发现的,但只通告了阿帕奇,没有通告网安,还是网安自己发现的,有没有懂行的说一说这个漏洞到底有多大影响?”
秃头是我身为强者的尊严:“刚阅读了临时解决方案和漏洞情况,影响范围怎么说呢……只要是联网机器,只要使用了这个组件,底裤都能被看光的程度,据我所知,这个Log4j2是去年阿帕奇重点推出的日志组件项目;
目的是为了应对加入阿帕奇又退出阿帕奇并开发了Log4j的作者新作Slf4j……总之,因为阿帕奇组织下的Apache是全世界排名第一的web服务器,所以嘛……Log4j2现在的使用范围你懂的。”
熬夜是我的保护色:“只能说吓出一身冷汗,我反正是感觉有点完犊子了。”
每献祭一根头发即可技术+1:“我发现了个有意思的事情,博浪可能是此次漏洞中的最佳躺赢选手,出于好奇,我刚才自建环境复现漏洞,因为我还比较喜欢新鲜事物,所以我有一台星海工作站……尝试搭建环境时发现星辰桌面系统不支持这个日志组件,官方文档中有自带日志组件,也不支持JNDI接口;
有意思的是,我随后打开‘星辰灵境’运行Windows,成功复现漏洞,并且执行了攻击操作……
好在‘星辰灵境’是通俗的特别沙盒模式运行,可以通过攻击随意操作运行的Windows系统任意内容,包括读取文件,但不会影响到主系统星辰桌面,换句话说,无论怎么搞,星辰类系统不受这个超罕见超危险漏洞影响。”
莪是每天睡不着所以晚上吃瓜的选手:“6666,还有这种操作,那岂不是说星辰系统是目前全球最安全系统?”
“我觉得吧,我终于找到了网上所有批评博浪重复造轮子的反击方式!!!”
“……”
第476章 各方争相瓜分,博浪不争不抢赢麻了
这个晚上,很多人没法好好睡觉了。
漏洞影响范围实在太广了,又是深夜11点多才出现的通告,所以有很大一部分程序员、网络安全工程师、渗透工程师、网络工程师等是从被窝中匆匆赶去的公司。
一些网络安全公司,如三百六、天融信之类的,也是疯忙。
理论上国内最不忙的知名信息科技公司只有两家。
一是阿里系。
一是躺赢选手博浪集团。
但实际上,一家更比一家忙。
阿里系的高管又不是全傻的,这种深夜公告对阿里云的影响是难以预料的。
而博浪集团正在全力准备于这场超过此前棱镜影响的事件中,攫取利益。
博浪集团总部顶层战略决策中心
李泽正坐镇指挥。
上上下下很忙碌。
原则上最长间隔每三十分钟需要集中汇报一次形势变化,如有特别事件,随时汇报。
“已有网友主动发布了
使用星海工作站模拟复现漏洞并攻击的内容,因星辰桌面系统不支持第三方组件而宣告失败,但有通过‘星辰灵境’运行Windows复现……”
“截止刚才,白鹅、百度、京东、三百六、天融信等一系列公司都有一些舆论营销动作……”
李泽轻轻颔首:“继续关注。”
舆情中心负责人嘴唇动了动,还是没吱声。
已经低头看向桌案上电脑屏幕的李泽平声开口:“不要因为新利益出现,就想丢掉长久以来的原则,总是会出现新的利益,但口碑的建立机会不常有。”
“明白了!”负责人连道,“多谢泽总批评!”
李泽的意思很简单。
博浪从去年开始坚持呼吁,坚持不再在国内市场进行非必要网络营销与推广策略,只进行必要广告宣传与重要公告发布,不能因为眼前大家争相下场就立马放弃坚持。
博浪集团的确是国内市场最有能力、最有资本进行舆论营销的公司。
但也是最没必要的。
因为口碑已经出现了。
星海品牌用其卓越的产品体验感,超凡的技术领先优势,前后还不到一年时间便已经在全球范围内初步树立了口碑。
一个品牌真正要成型,需要时间的沉淀与长期坚持。
这是個很简单明了的事情。
比如,从广义上来说,后世在国内市场头部已经只剩下唯二的两个手机品牌苹果和菊厂,哪怕是在国内市场,不管承不承认,前者的口碑比后者要稳健一些。
销量也能说明这一点。
若单以高端系列……即同级别对比,菊厂的高端mate系列所有机型的总销量差不多只是苹果在中国市场总销量的20%。
mate系列的总销量大约是苹果在中国市场表现最好的2015年年度销量的1。4倍。
这还是没拿苹果全球市场的销量数据来对比。
总而言之,舆论营销这玩意就是一把双刃剑,无论怎么用,用的好与坏,结果都一样,伤人伤己。
抛开口碑、体验感等因素,那么中国的消费者到底为什么要选择苹果?
反正,当人们需要花钱买单的时候,其选择会相对更真实。
博浪现在面临的处境比菊厂后世的处境有过之无不及,博浪在舆论层面的优势是国内所有互联网公司、营销公司捆在一起都比不过的。
是博浪不能用?不是,是博浪不想。
要知道国内市场目前最有号召力,人气最高最真实的网红、明星,99%以上与博浪是品牌合作人的关系。
可博浪终端至今没找过任何代言人,也没找过任何网红、明星做广告推销。
这里涉及到的是理念不同。
包括广告、营销、舆论营销等等在内的一切手段,永远比不过用户最真实感受到的体验,如此而已。
李泽跟着博浪集团的发展混到现在,对这些看起来简单的理念早已了然于胸。
一个简单的例子。
白鹅等一系列公司现在着急忙慌的通过舆论营销,能比上现在网友们热烈讨论着的‘躺赢的博浪’吗?
比不上的。
这甚至都算不上口碑,只是单纯的技术领先~
不讲道理的那种。
李泽汇总着各类信息,脑子里逐渐形成了清晰的思路。
‘根据相关流程,这