百科问答小站 logo
百科问答小站 font logo



如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位? 第2页

              

user avatar   Ivony 网友的相关建议: 
      

这个事情我觉得阿里云是有点儿冤的。

熟悉我的都知道我是阿里黑,但是就事论事的讲,发现了问题,第一时间报告给其作者,这个事情是没什么毛病的。

一般的互联网公司法务又不懂技术,虽然这个事情很可能是阿里云的工程师自己发给Apache的,但是即便是同时通报给法务部门,要给他们解释清楚这是个什么漏洞估计都要好多天……

我觉得主要是这个事情后来的发酵太大了,传播太广了,还有些营销号说这是近十年来最严重的Bug差点儿没把我笑死……

这种低级错误GitHub上真是一搜一大把,只是这次正好出在Log4j这种广泛使用的框架上了而已。而且讲道理,Log4j这玩意儿的应用,也没很多人想的那么广泛,只是一堆Apache基金会的Java项目受影响而已,非Java的项目几乎都不用这玩意儿……


总的来说,阿里云这次挺冤的,另外,Apache基金会要抓抓内鬼了,这特么种点后门进去未免也太简单了……



还有人给我发私信说这种漏洞是核弹级的,因为可以远程执行代码……。那SQL注入是不是氢弹级的,还能远程删库呢……再说了,你以为SQL注入就只能执行SQL?


user avatar   leon-3-75 网友的相关建议: 
      

题目就没写全。

他发现了阿帕奇产品的问题是第一时间向美国阿帕奇软件基金会报告,但十几天后才报告工信部。问题是工信部有规定的,发现类似的漏洞2个工作日以内向工信部汇报,这是明确的规定,所以,这是板上钉钉的违规行为。半年内阿里云不会接到任何对公业务了,而且,以后大企业是否选择阿里云也要打个问号了,信任已经存疑了


user avatar   yi-zhi-shuai-xiao-yang 网友的相关建议: 
      

如果说阿里发现漏洞先报告国家,再通知Apache,这算屁股红。

如果说阿里发现漏洞先报告Apache再马上告诉国家,这算技术牛,懂大局。

如果说阿里发现漏洞先报告Apache再规定时间内告诉国家,这算正常商业,无可厚非。

如果说阿里发现漏洞先报告Apache然后就不管,等Apache公布漏洞后,国家才知道,这就有意思了。

阿里到底是哪个国家的公司?这漏洞还不是小漏洞,范围大,影响大。他本着我是国际公司,开源的精神告诉了美国的开源公司,然后又没告诉中国风险,试问下,这算怎么回事。

联想在说自己是哪国公司的时候,还支支吾吾。阿里可以大声的说,自己是一家立足于世界的国际公司。

你觉得Apache不会告诉美国?从阿里告诉Apache到Apache公开,中间隔了十几天,十几天时间估计可以把网络玩个遍了。

阿里毕竟和联想一样是一个设立在中国的跨国公司。和联想最大的不同估计是阿里还有大量的外资。阿里的屁股正不正,这由大家评说。但总的来说,阿里让我想到了一些明朝的晋商集团。


后续:

阿里云官方今日回应称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。

阿里的回应更加搞笑,阿里会不知道这个漏洞的严重性?用途这么大的组件出现这么严重的BUG,他会不知道严重性?他是在侮辱阿里的安全人员啊。


有人说我外行,实际上,第一,我是一个搞软件开发的,所以别说我外行了。第二,行业规矩不代表是正确的。第三,行业规矩不代表美国企业会遵守,详细见马斯克的卫星变道事件,美国企业比中国会站屁股多了,美国IEEE一个学会把阿里踢出合作名单。第四,国家为了让这些歪屁股资本家遵守规矩,所以定了新的规矩,其中,阿里是签订了,两天内必须报告的规矩。简单来说,阿里不单单是歪屁股,而且还不遵守规矩。现在只是对他不遵守规矩的事情进行了处罚,实际上,我觉得更改对阿里歪屁股进行触发。看看外国科技公司屁股多正,中国的科技公司各个买办

中国啊,还是太讲规矩了,对资本家还是太好了




user avatar   xia-yu-tian-da-san-67 网友的相关建议: 
      

简单说说我的看法,虽然我也是圈外人

1、安全圈没有小白兔

2、0day漏洞发现了,特别这次的log4j漏洞,其实是核弹级别的,其实一般来说往往是挖挖金矿,用完后再公布

3、普通的漏洞第一时间通知apache官方没啥的,这次的核弹级漏洞,通知apache官方,apache需要测试,需要想解决方案,这个时间差其实够做很多事情了。特别工信部声称也是通过公开渠道才知道这个消息的,这对于国家来说很尴尬。

而且apache公布方案是深夜——可能对于他们来说是白天,这个也很尴尬。


最后,重复一遍,安全圈高管没有小白兔,阿里云估计起码要下台个副总裁谢罪。


对接apache是需要的,但是在此之前,第一时间和工信部、公安部沟通,更加必要。阿里云这么多高级安全专家,不会不懂这个事情的必要性。


最后我强调下:安全圈经常游走于灰色地带,所以对法律法规政治因素其实是很敏感的。包括很多安全届著名的攻击案例都是国战性质的(例如美帝对伊朗伊拉克的网络攻击)。这些都是写在安全教科书上,这其中还有阿里雇佣的安全专家写的著作

所以阿里这次难辞其咎,他们没有权力推脱我不知道我不敏感。

另外一方面,发现这个漏洞是阿里对世界的贡献,这一点也需要正确认知他们的贡献——当然其实有另外个可能是其他组织早就发现但是秘而不宣。对于宣布漏洞的组织,我们还是需要对此致谢和保持敬意。所以这个事情是两个角度看待。


user avatar   zhangshujia 网友的相关建议: 
      

0day漏洞第一时间通报代码主创方是业内惯例,是白帽行为的惯例,技术团队例行就做了。

但通报上峰则必须是公司行为,阿里云首先不是安全公司,安全团队也是相对弱势的support team,这方面将其对比奇安信有些不公允,而我猜测阿里安全工程师都不知道有个两日内通告国内的规定。

再者,0day不是核泄漏,绝大多数情况下外部访问不能直接exploit,有充分时间让主创方确认最佳修补方案,随后共同通报CVE组织,广而告之。

上纲上线,就算先提交给上峰,他们有能力补?



user avatar   ncepu-xu 网友的相关建议: 
      

也许阿里云有错,但更大的错在某些公众号和想炫耀技术的人

最早,只是个别几位大佬了解这个漏洞并成功复现,管理员在群里明确说明:不要再讨论这个漏洞了,禁止公布漏洞细节,大家聊其他的事情。当时我分析Log4j2源码,并阅读官方文档,参考commit,大概推测出了漏洞原理,简单尝试后成功RCE,不过我并没有告诉任何人,也不打算在任何平台分享,开始写漏洞分析文章,打算等官方通报并发布新版本后发表

本以为没什么事,结果当天晚上某公众号发出了漏洞利用的细节,在安全圈中称之为POC:能够让完全不懂Java安全的小白也可以利用该漏洞。该公众号有不少的粉丝,人传人,后果就是全网脚本小子的狂欢,疯狂dnslog。该公众号管理员中,能独立分析出漏洞利用细节的安全人员确实是懂技术的,但是,为了炫耀技术也好,为了公众号粉丝也罢,都不应该发出去

实际情况不只是这篇公众号,还有很多具有一定技术的安全人员,为了炫耀等原因,将自己研究出的漏洞细节公布,无论是发到安全交流群里,或是发到博客,或者公众号,或者抖音B站等。让广大脚本小子群体得知了该漏洞利用细节,这才是该漏洞被广泛利用并造成危害最根本的原因

其实该漏洞的挖掘难度不是非常大,如果告诉你Log4j2有JNDI注入漏洞,然后给你一份源码,熟悉Java安全的师傅们基本都可以找到。但任何人通过任何方式利用了该漏洞,如果造成损失和影响,都可能会算到阿里云头上,因为漏洞报告者是阿里云


user avatar   makeroomfor1 网友的相关建议: 
      

阿里发现漏洞,报告给阿帕奇,美国就得知了漏洞,此时中国所有大公司(除了阿里)都面临高危风险(包括很多军工保密单位)。中国处于完全被动状态,阿里和美国掌握主动权,此时美国窃取中国信息轻而易举。

如果阿里先报告给政府,可以保证中国所有大公司都已知了风险,不会那么的被动。

信息时代,微小时间差就会产生不可估量的数据泄露。

不要说什么开源精神,国家利益高于一切,看看英特尔不用新疆产品,你能有啥反制措施?log4j2漏洞这机会千载难逢,被断送


user avatar   zorrolang 网友的相关建议: 
      

漏洞细节

在谈论阿里之前,我们先从技术处理层面看一下这个事情。关于这件事其实有很多细节都还没有披露出来,目前Apache方面的通告基本可以参考这个:

搜索"CVE-2021-44228"就可以看到Apache关于这个漏洞的描述,我摘取前面的一部分放在下面,大家可以看到这个漏洞的描述、影响范围(from 2.0-beta9 to 2.14.1)、安全级别、以及修复版本号(当然Apache和下游的供应商也会想办法在早先的版本上修复这个问题)等。

Fixed in Log4j 2.15.0 (Java 8)

CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.

CVE-2021-44228 Remote Code Execution
Severity Critical
Base CVSS Score 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Versions Affected All versions from 2.0-beta9 to 2.14.1

Description
In Apache Log4j2 versions up to and including 2.14.1 (excluding security releases 2.3.1, 2.12.2 and 2.12.3), the JNDI features used in configurations, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.

感兴趣的可以打开上面的链接自己看一下,后面还有很多内容。比如给出了在未修复的版本上如何暂时“缓解”这个漏洞办法,还有他们如何在各个版本上解决这个问题的方案等。当然最后也明确感谢了漏洞的发现方:

Credit:
This issue was discovered by Chen Zhaojun of Alibaba Cloud Security Team.

以及追踪解决这个漏洞的过程:

Limit the protocols JNDI can use and restrict LDAP.
Message lookups should be disabled by default

阿里错在哪里

对技术细节感兴趣的可以翻看上面的部分的更多链接,了解更多技术细节。因为问题问的是如何看待阿里云被罚,所以我们还是说一下阿里的问题在哪。

从时间线上看:

  • 1)上面Apache没有给出他们具体收到阿里报告的时间,但是从bug的追踪记录看绝对早于2021年12月5日,甚至可能早于12月。那阿里到底是哪一天察觉这一漏洞的,目前还没有官方明确的信息,相信应该更早。
  • 2)那么工业和信息化部网络安全威胁和漏洞信息共享平台(后面简称为“工信部”)又是什么时候才知道这个事情的呢?根据工信部官方的描述,他们是在2021年12月9日才得知这一漏洞的:
2021年12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。

那12月9日是个什么日子?12月9日是Apache已经在自己的版本上处理完了这个漏洞(甚至应该也提前已知会了一些相关公司等),然后公开披露的日子,也就是说到这一天你想不知道都难,因为这一天全世界搞这方面的都会知道了,你想不知道都会有人跟你聊起来。而工信部就像这个“一直被蒙在鼓里的傻孩子”,新闻中的措辞是工信部“收到有关网络安全专业机构报告”,这就相当于是大家都知道了,然后才有人过来告诉你,而这个“有关网络安全专业机构”可能还不是阿里,如果是阿里可能工信部就直接说了。

从这里我们就可以看出,阿里错在过于敷衍了工信部的地位,或者他们自己低估了这个事件可能带来的影响力。不管是哪个,都是阿里内部管理上的问题。因为从技术规范角度来说,从开源软件中发现漏洞后报给上游软件供应者一点问题都没有,工信部也不会因为你把问题报给Apache而处罚。问题出在把问题上报给工信部的时间,甚至可能一直都没上报给工信部,工信部可能最终也是从别人那知道的。

这就问题大了,工信部不是一个简单的部门,他下面牵连着很多相关成员。或者换句话说你可以将工信部理解为阿里云的重量级客户(虽然不是直接客户),这样问题就很好理解了,甲方爸爸管你吃管你穿,结果有这么大一个漏洞你不第一个告诉我就忍了,我竟然差不多是大家都知道后最后一个知道的。

这就好比有一个熊孩子,发现他爸爸正在穿的一条裤子后面有了个洞,然后他第一个先打电话通知了这条裤子的生产厂商,说你们这个款式 的裤子的某个位置没缝好有个洞,生产厂商知道后感谢了熊孩子,并表示一定尽快修复这条生产线的做工问题。然后熊孩子就美滋滋的回家睡觉去了,任凭他爸爸穿着那条破洞的裤子被人看了好几天都不知道,直到生产厂商那边解决了生产问题,通告下来说所有穿这款裤子的人都注意一下自己的裤子有洞,并明确感谢了这个熊孩子,这时他爸爸还不知道,直到一个同事看到了这个通告,认出了是XXX的儿子,这时他的爸爸才知道自己一直穿着破洞的裤子给别人看,而他的儿子是第一个知道的。你想想如果这是你的儿子,你禁他半年零花钱过分不?

到此,阿里云被工信部处罚暂停合作6个月已经不算重了。要不是看在还是自家儿子的份上早就终止一切合作了。

对阿里的影响

这件事对阿里的影响应该是不言而喻的:

  1. 首先好的影响是让阿里的技术团队的能力得到肯定,毕竟发现了这个漏洞。
  2. 不好的影响就比较多了,最直接的就是其被信任的程度直接下降,这会成为阿里云和其它人谈合作的一个污点。
  3. 另外一个直接的不好影响就是阿里的股票可能会再次下跌,造成公司的经济损失(不知道我那几个在阿里云工作的朋友今年的年终奖怎么样)。要知道阿里的股票已经带着中概股一路下跌了:


阿里云部分本来没怎么跌,结果现在整这么一出,估计阿里云的部分也得跌。唉,不知道该怎么评价阿里了。你说你可怜它是中国企业吧,它接连干出来的事情确实不地道,你说你惩罚他吧,自己又肉疼。只能希望阿里能吸取教训,重新振作吧,别总自己作自己。


user avatar   freezind 网友的相关建议: 
      

这也能扯这么多?

就是单纯不知道这个流程而已,很简单的。真正干活的工程师不可能知道这份规定的,怎么公开怎么PR,肯定是领导和相关部门说了算的。

实际上不上报也未造成任何影响,因为这个事很快就人尽皆知了。只是和工信部网络安全威胁信息共享平台合作的流程上出了问题。完全不涉及爱国不爱国,3.75还是3.0的。实际上就是你不上报,平台肯定也知道了(否则那真是有大问题了),但你把平台规定当摆设也不对,这次借机打个杀威棒。

贴一下相关规定:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

可以看到规定要求先通知上游(Apache),再在2日内发送相关漏洞信息。所以不涉及爱不爱国,单纯是相关规范不了解,通知社区是程序员的职业素养,而不知道还有这么个事而已。


user avatar   ling-jian-94 网友的相关建议: 
      

信息共享平台的意义本来就是你知道有漏洞了上报,平台分享给其他成员,大家都能及时得到通知。你在那收别人的信息收的欢,自己发现的反而没报告,这算啥……暂停自然就是为这个事情的警告。

安全漏洞这种事情为什么需要有信息共享平台,因为安全信息的送达是分秒必争的,如果安全漏洞在被发现之后先被攻击者知晓,就会造成不可挽回的损失,所以有必要有专门的通知渠道,保证在漏洞被广泛揭晓之前,先给关键服务提供商修复的机会,国家主导的平台就是为了确保有个尽量可信的送达机制能让这样的信息在尽可能保密的情况下尽快送达各个合作方,阿里因为自身疏忽没好好配合,那不就是没有尽到合作方义务吗?

安全漏洞研究是必须要遵循工作流程规范的,如果工作没做好,反而会成为攻击者的帮凶。这就好比好心帮忙检查大楼坚固不坚固当然是好事,但检查的时候一声招呼不打直接把楼弄塌了,他是好心,你要在楼里面你怎么想?




              

相关话题

  有没有可能「劣币」的存在反而有利于整个系统/环境/平台的发展? 
  面对网络暴力时,正确的做法是什么? 
  如何看待深信服的「离职倾向分析」服务?是否侵犯员工隐私?你在职投简历过程中遇到过什么问题? 
  福建一男子初筛阳性仍坐动车返乡,致同车厢 201 人密接,已被采取刑事强制措施。如何杜绝这种行为? 
  知乎用户粉丝数排行榜是怎样的? 
  警方通报连云港「15岁男孩宿舍被打身亡」,打人孩子可能面临什么处罚?校园暴力责任又该如何界定? 
  面对疫情我们是不是骑虎难下了? 
  如何看待周鸿祎称「打工是用老板的钱给自己交学费,在公司混日子是浪费生命」? 
  美国称追回付给黑客的大部分比特币赎金,对于比特币交易来说意味着什么? 
  员工如何戳穿创业公司 CEO 拿虚假数据骗投资人并获得融资? 

前一个讨论
为何俄语网页占比这么高?如何评价汉语网页占比与越南语网页相当?
下一个讨论
Flutter 革命性的地方在哪里?





© 2024-12-18 - tinynew.org. All Rights Reserved.
© 2024-12-18 - tinynew.org. 保留所有权利