“其实很多人是不太好分辨“专家”与“砖家”的,这个很正常,要不然不可能有“砖家”们的存在空间了!要区分有很多种方法,比如 对比的方法 比如联想的那个事情就应该对比着看 单看一家就可能被迷糊 另外一个方法 抓住照妖镜时刻 就是要抓住自己还比较了解的历史时刻 用自己的一些经历体会 比如这次log4j2漏洞” 黑哥朋友圈
这个是我在12月11日发的朋友圈内容,随着工信部的处罚通知公布后这个漏洞才算是正式出圈了,也就导致更多的“妖魔鬼怪、牛鬼蛇神”出没,主要集中在知乎、微博、公众号等…
一、阿里云被暂停工信部合作单位6个月:没毛病!很正常!
首先我需要强调的是阿里云被工信部的“处罚”是没毛病的,我没有找到工信部正式的公告函内容,大家看到的内容都是从新闻上获取核心内容如下:
近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。 https://finance.sina.com.cn/tech/2021-12-22/doc-ikyakumx5634036.shtml
内容整理如下:
1、阿里云是工信部网络安全威胁信息共享平台合作单位
2、阿里云没有及时给工信部报告漏洞,没有履行合作单位的职责,所以被暂停合作单位6个月
这个处理阿里云可以说完全不冤枉!但是这里处理依据是什么呢?于是很多人包括很多业内人士都对标了今年7月份发布9月1日开始执行的《工业和信息化部 国家互联网信息办公室 公安部 关于印发网络产品安全漏洞管理规定的通知》
http://www.gov.cn/zhengce/zhengceku/2021-07/14/content_5624965.htm
很多人都引用第七条的细则(一)(二)条内容:
在一些群里讨论的时候,很多也是这个意见,但是他们却忽视了第七条的主干 “第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务” 这实际是指产品所有者“官方”,显然Log4j2这个项目并不是阿里云旗下!
然后我们回到工信部的“处罚”公告新闻内容,始终没有找到跟漏洞管理规定相关的描叙,最起码在原始的几个公开的新闻公告里是没看到的!
二、阿里云发现“Bug”提交给Apache开源项目组 有没有问题?
注:由于刚刚不久阿里云发布了一个官方说明里:
https://mp.weixin.qq.com/s/dWublxXRE2NHae7SRXUuiA
里使用的是“bug”这个单词,所以我这里也就是bug了
这个问题实际上我在《谁应该为Log4j2 RCE漏洞负责?》一文中简单提过了,答案很肯定:完全没问题!先不提之前全世界安全社区倡导的《负责任的漏洞披露流程》,我们直接引用上面提到的《网络产品安全漏洞管理规定》的规定里,第六条明确规定:
“第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。” http://www.gov.cn/zhengce/zhengceku/2021-07/14/content_5624965.htm
所以那些yy、套帽子的阴谋家们,我只想狠狠(奶凶的那种)问一声:“你们这是..究竟想干什么!!!”
三、漏洞是老外先知道的??
我还看到一些不负责任的媒体乱写啥:“随后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警” 完全是“断章取义”春秋手笔,按国家信息安全漏洞共享平台《关于Apache Log4j2存在远程代码执行漏洞的安全公告》 是在12月10日上午发布的公告(实际收到报告应该是10.9日)
至于哪些鼓吹“漏洞危害” 都是马后炮 这个问题参考 《谁应该为Log4j2 RCE漏洞负责?》
当然还有啥子公众号说啥子:“要是澳大利亚不出来讲句话,….” 澳大利亚五眼之一嘛?他们不一直都是美国的狗腿子吗?我想澳大利亚的cert负责人看到后直接来个否认三连:我不是!我没有!别吓说!
所以这个时候我只想狠狠(奶凶的那种)问一声:“你们这是..究竟想干什么!!!”
四、“真相”只有一个…
在此之前我得偷偷告诉你们:你们用的window、liunx、macos那都是外国人的,你们用的程序都是用英文字母写的,用国外开发语言开发编译的 … (那他们非要跟log4j2过不去?)
“美帝试图联合阿帕奇开源委员会在基础组件Log4j里留下了一个威力巨大核弹漏洞,他们已经精心准备了快10多年了,准备在某一关键时刻突然引爆以达到网络攻击的邪恶目的,就在这个危机的关头阿里云的黑客发现了这一巨大隐藏核弹踪迹,并直面阿帕奇开源社区,当面戳穿了并最终通过全世界的安全运维人员连夜部署修复补丁,这最终严重挫败了美帝的阴谋,挽救了互联网!” [申明:以上段子来源于互联网,如需要版权请联系我]
所以…
“以某国为首的西方势力一直试图通过IT网络软硬件设施的垄断植入各自漏洞后门,吾辈网安技术人必须致力于技术研究深挖这些漏洞后门,挫败他们的阴谋!~” [转] [申明:以上段子来源于互联网,如需要版权请联系我]
当然也有人看到阿里云的公告后吐槽:
“兄弟听说你是搞网络安全的?” “你tm才是搞安全的,你全家搞安全!老子是开发好吧!是程序员!你懂?!” [申明:以上段子来源于互联网,如需要版权请联系我]
五、求求你们了
网络安全一年的产出都比不上人家一个网络游戏,求求你们行行好!网络安全没钱的,搞网络安全的都是屌丝,妥妥的弱势群体,人很少的开个公司的招不到人,所以更加没啥流量了,放过他们吧!毕竟以前吹牛逼说自己是“黑客”都被认为是“杀马特”被抹杀,现在好了说自己是“搞安全”的都不行了,还得要让程序员兄弟背锅受累!!!求求你们了,你们去祸害隔壁吧,隔壁好几个玩“元宇宙”的!还有几个千万网红“直播偷税漏税”的!哦对了,还有几个要离婚的渣男!!!!
原文始发于微信公众号(黑哥说安全):照妖镜之群魔乱舞