還有，思科路由器在維護(hù)模塊中存在可遠(yuǎn)程操控的后門，可使用遠(yuǎn)程網(wǎng)絡(luò)數(shù)據(jù)觸發(fā)，也可通過特殊指令觸發(fā)，對思科路由器進(jìn)行配置、操控。

思科路由器系列產(chǎn)品的訪問認(rèn)證機(jī)制設(shè)計(jì)上，也存在多處未知安全漏洞，黑客可以繞過認(rèn)證機(jī)制獲得最高管理權(quán)限，甚至可以將惡意代碼植入固件。

阿里云發(fā)現(xiàn)的這個(gè)漏洞，為啥說是計(jì)算機(jī)歷史上最大的漏洞呢（核彈級漏洞）？第一，黑客通過這個(gè)漏洞，可以在服務(wù)器上做任何事；第二，這個(gè)漏洞極為普遍。

在服務(wù)器的組件中，日志組件是應(yīng)用程序中不可缺少的部分。而其中Apache（阿帕奇）的開源項(xiàng)目log4j是一個(gè)功能強(qiáng)大的日志組件，被廣泛應(yīng)用。

11月24日，阿里云程序員們，發(fā)現(xiàn)這個(gè)組件有致命的漏洞。攻擊者只要提交一段代碼，就可以進(jìn)入對方服務(wù)器，而且可以獲得最高權(quán)限，控制對方服務(wù)器。

這漏洞影響面有多大？全球大廠，悉數(shù)中招，比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、百度，網(wǎng)易、新浪以及特斯拉。

蘋果被攻擊，系統(tǒng)可能崩潰；亞馬遜被攻擊，可能是一場財(cái)務(wù)災(zāi)難；阿里被攻擊，支付寶里的錢搞不好變成糊涂賬；特斯拉被攻擊，那可是要人命的……

而像 IT 通信（互聯(lián)網(wǎng)）、工業(yè)制造、金融、醫(yī)療衛(wèi)生、運(yùn)營商等各行各業(yè)都將受到波及，全球互聯(lián)網(wǎng)大廠、游戲公司、電商平臺等也都有被影響的風(fēng)險(xiǎn)。

更要命的是，這個(gè)漏洞使用門檻極低。即使是毫無經(jīng)驗(yàn)的互聯(lián)網(wǎng)小白，只要按照簡單的指令操作，就可以變成服務(wù)器殺手。

已經(jīng)有網(wǎng)友證實(shí)，更改 iPhone 名稱就可以觸發(fā)漏洞。還有網(wǎng)友試了試百度搜索框、火狐瀏覽器里輸入帶${ 的特殊格式請求，就能造成網(wǎng)頁劫持。

阿里最早公開這個(gè)漏洞，按說是個(gè)巨大的功勞，但是阿里云的操作卻兩頭不討好。因?yàn)樗堰@個(gè)漏洞報(bào)告給了阿帕奇（Apache）基金會(huì)。這個(gè)阿帕奇基金會(huì)，是美國控制下的。

為啥說兩頭不討好呢？因?yàn)橹袊诹R阿里云,美國方面可能也在罵。對于美國來說，內(nèi)心戲是這樣的：就諞（piǎn）你能！勞資藏了這么久的網(wǎng)絡(luò)武器，你特么給我公開了！

為啥這么說？因?yàn)閾?jù)說美國早就知道這個(gè)漏洞，但沒有聲張。大家不用奇怪，這是美國的基本操作，后門和漏洞其實(shí)是一種戰(zhàn)略資源。

一旦發(fā)現(xiàn)，美國只會(huì)竊喜，是不會(huì)公開的。在必要的時(shí)候出其不意，給對手以致命的一擊，把對方的網(wǎng)絡(luò)搞癱瘓，把對方的數(shù)據(jù)給毀滅。

美國軍方，已經(jīng)根據(jù)掌握的漏洞和后門，研制了各種網(wǎng)絡(luò)攻擊武器，目前至少2000種，包括各種蠕蟲病毒、木馬病毒、邏輯炸彈、間諜軟件。

2019年波及全世界的勒索病毒，據(jù)說就是美國網(wǎng)絡(luò)武器被泄露出去之后，被民間黑客組織掌握，然后到處勒索，全球150個(gè)國家23萬臺電腦中招。

勒索病毒給我們敲響了警鐘，因?yàn)槲覀兊暮芏嗾块T、加油站都被黑了。有大學(xué)生的畢業(yè)論文剛弄好就被黑了，簡直痛不欲生。

在美國，如果有企業(yè)發(fā)現(xiàn)漏洞，首先要提交給美國情報(bào)部門，然后得到批準(zhǔn)后才能發(fā)布。沒有批準(zhǔn)，那就是被美國情報(bào)部門扣下當(dāng)武器了。

互聯(lián)網(wǎng)時(shí)代，國家安全自然延伸到了網(wǎng)絡(luò)。各個(gè)國家，都在想辦法堵自己漏洞，找別人家的漏洞。同樣的漏洞，那就是看誰率先掌握。

美國是互聯(lián)網(wǎng)領(lǐng)域的絕對霸主，而我們一直在摸著美帝過河。所以我們也在想方設(shè)法收集漏洞資源，這關(guān)系到跟美國的戰(zhàn)略平衡和國家安全。

今年9月1日，為落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求，工信部網(wǎng)絡(luò)安全管理局組織建設(shè)的工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺正式上線運(yùn)行。

而這個(gè)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條明確指出，各企業(yè)發(fā)現(xiàn)安全漏洞后，應(yīng)當(dāng)在2日內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送相關(guān)漏洞信息。

報(bào)送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號、版本以及漏洞的技術(shù)特點(diǎn)、危害和影響范圍等。

阿里云的問題是把這個(gè)武器提交給了阿帕奇（Apache）基金會(huì)，卻沒有向工信部提交，這不僅僅是個(gè)政治錯(cuò)誤，關(guān)鍵是違法了。

工信部生氣那是肯定的了，而且是暴跳如雷那一種。啥叫信息共享平臺??？就是大家都把漏洞提交到這里，做到群防群治，維護(hù)了自己利益，也維護(hù)行業(yè)利益，更維護(hù)國家利益。

現(xiàn)在倒好，阿里云享受著別人提交過來的漏洞，自己發(fā)現(xiàn)了卻悶不做聲，偷偷提交給了美國的阿帕奇基金會(huì)。

網(wǎng)絡(luò)安全，有時(shí)候比的就是速度。安全信息的傳遞，應(yīng)該是分秒必爭的。晚一秒，國內(nèi)的重要服務(wù)器說不定就會(huì)被攻陷。

工信部12月9日通過公開渠道了解了這一漏洞之后，全國的程序員正準(zhǔn)備歡度周末，結(jié)果都被喊來徹夜加班打補(bǔ)丁，問題是我們比美國晚了整整15天。

15天的時(shí)間，美國情報(bào)部門不知道在我們國內(nèi)重要的服務(wù)器上逛多少圈了，拷貝了多少信息，安裝了多少非法程序。

美國方面可能也會(huì)很生氣，阿里云發(fā)現(xiàn)了這個(gè)漏洞，等于作廢了一個(gè)網(wǎng)絡(luò)武器。所以阿里云此舉兩頭不討好。

毫無疑問，阿里云是中國最優(yōu)秀的程序員聚集地之一，是全球領(lǐng)先的云計(jì)算及人工智能科技公司。2020年全球云計(jì)算IaaS市場，阿里云以9.5%的市場份額，排名第三。

最近，國際權(quán)威機(jī)構(gòu)Gartner發(fā)布最新報(bào)告，阿里云在計(jì)算、存儲、網(wǎng)絡(luò)、安全四項(xiàng)核心評比中均斬獲第一，超過了亞馬遜、微軟、谷歌等國際廠商。

技術(shù)上要爭先，政治上也要過硬，堅(jiān)決不能再相信“技術(shù)無國界”的鬼話。就算是技術(shù)無國界，可企業(yè)和技術(shù)人員都有自己的祖國。最關(guān)鍵的，一定要守好法律底線。

希望阿里云在接下來的半年好好反思，也提醒其他企業(yè)引以為戒，提高政治意識、國安意識以及法律意識。

微信掃一掃，進(jìn)入讀者交流群

獻(xiàn)一朵花： 鮮花數(shù)量：