阿里云发现的核弹级漏洞,第一反应报给了国外。过了半个月,工信部看新闻才知道……
12月22日,工业和信息化部网络安全管理局通报称,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
简单来说,阿里云技术非常好,率先发现了个核弹级的Log4j2漏洞,并且第一时间上报到国外Apache。
美国确实有有数千枚核弹,但不一定有数千个这样的漏洞!
而我们国家,要通过公开新闻,才知道上述漏洞。而那时候,距离阿里云首次发现漏洞,已过去了15天。
阿里云发现了个核弹
11月24日,阿里云安全团队,向Apache报告了Apache Log4j2远程代码执行(RCE)漏洞。
一时间,这个高危漏洞,引发全球网络安全震荡!
美国国家安全局、德国电信CERT、中国国家互联网应急中心(CERT/CC)等,多国安全机构,相继发出警告。
目前,包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、 Steam等平台服务器,都证实了,有被攻击的风险。
已经有网友证实,更改iPhone名称,就可以触发漏洞。。。
有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次的攻击。
利用这个漏洞,攻击者几乎可以获得无限的权利。
比如他们可以提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。
有业内人士戏称,这个漏洞可以参选:“计算机历史上最大的漏洞”。
为什么阿里云先报告给国外?
却遗忘了,上报给工信部?
根据工信部这次重锤阿里云的通报,有两个重点:
1、并没有禁止阿里云,向产品供应方Apache通报漏洞。
2、对阿里云未及时向电信主管部门报告。
工信部在意的是太迟报告了!阿里云报告给了apache,反馈给开源社区没问题,但是只反馈给开源社区那问题就大了。
网络安全漏洞,打的就是时间差。我们顺下时间,大家知道问题有多严重。
11月24日,阿里云安全团队发现漏洞,报告给了Apache。
12月7日,Apache官方发布了安全补丁,可并没有多大作用。
12月9日,漏洞已经“完全武器化”,网络上出现大量利用漏洞的攻击行为。
到了这时候,工信部才知道,立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
直到12月10日凌晨,斗鱼、京东、网易等企业才相继发出了公告。
中间足足17天时间,我们的某些科研院所,或者核心位置,是否一直暴露在危险范围内呢?
这17天,如果利用漏洞发起攻击,影响的范围将堪比2017年“永恒之蓝”病毒。
当年的WannaCry勒索病毒,致使美国、英国、俄罗斯、中国等至少150个国家,30万名用户中招。
有心人,完全可以利用这个公布漏洞的时间差,来做很多以前做不到,或难以做到的事,后果不堪设想。
作为阿里云,有没有责任?
阿里云
让人失望的合作方
阿里云和国家信安部是合作方,乙方发现了个漏洞,可能会危害甲方,第一时间提醒下甲方,这要求不过份吧?
而这次,阿里云似乎忘了。
要知道,这不单是工程伦理问题,也是个国家安全问题。
根据工业和信息化部 、网信办、公安部《关于印发网络产品安全漏洞管理规定的通知》,明确规定。
关于漏洞的规定是:应立即通知产品提供者,应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
也就是说,发现漏洞,你当然可以通知Apache,但同时也应该要通报给工信部。
成年人能不做选择,两个都上报啊,中间完全没有难度。
但阿里这次半个月都不上报,漏洞还得工信部自己看新闻发现,也难怪工信部,重锤处罚阿里云了。
阿里巴巴美股股价,盘前跳水,跌约3.81%。
海外扩张中的阿里云
阿里2021投资者日上,董事会主席兼首席执行官张勇表示,海外市场潜力巨大,海外业务增长迅速,并将其确定为阿里未来几年的主要增长动力之一。
张勇认为,全球市场的拓展离不开数字基础设施建设,阿里云在海外市场的产业数字化探索、蚂蚁在海外支付的多年投入,这些都将长期支持未来全球化战略的发展。
阿里云智能总裁张建锋表示:阿里云正在加速拓展海外市场,东南亚市场的营收增长超60%。
张建锋透露:
我们的服务团队、解决方案团队在逐渐实现本地化,这是我们在国际化过程中非常重要的一步。
这阿里云通报漏洞,或许也应该是本地化的一部分吧?
据公开数据,阿里云在马来西亚、新加坡、印尼、菲律宾、日本、德国、迪拜、美国等25个地域建立了数百座云数据中心,付费客户数量超过400万。
阿里的第二个新引擎
根据阿里发布财报显示,2021财年,阿里云营收达601.2亿元,比上一财年400亿元收入大幅增长50%。
对比历史数据,2015财年,阿里巴巴首次披露云计算营收,当年阿里云全年收入为12.71亿元,到2021财年营收601.2亿元,7年间增长46倍。
其中,阿里云深耕政企服务市场,政企行业收入占比持续上升。
据IDC数据,阿里云在工业云市场、数字政府市场、金融云市场均排名市场第一。
此前 Canalys 发布中国云计算市场 2021 年第三季度报告显示,阿里云、华为云、腾讯云和百度智能云依旧占据市场第一梯队,其中阿里云市场份额排名第一。
一鲸落,万物生。
而显然,此次被工信部暂停信息共享平台合作,显然会对阿里云的营收和市场份额,造成一定的影响。
我们无法知道阿里云怎么想的,但是他至少可以看看他怎么做的。虽然截稿前,月月鸟还没看到,阿里云的回应。
犯错要认罚,认罚要诚恳。
云服务,看来注定是个分散的市场,需要随时有随时替补的厂商。互联网野蛮生长的终点近在眼前。一鲸落,万物生。
华为云、腾讯云、电信都是有力的候选,云市场的竞争将不断升级。
综合自中国日报
—END—