撰文 / 《財(cái)經(jīng)天下》周刊作者 康嘉林

編輯 / 游勇

阿里云因?yàn)橐粋€(gè)安全漏洞，被推到了風(fēng)口浪尖。

起因是11月24日，阿里云安全團(tuán)隊(duì)向美國(guó)開(kāi)源社區(qū)Apache（阿帕奇）報(bào)告了一條安全漏洞。這是一條Log4j2遠(yuǎn)程代碼執(zhí)行（RCE)漏洞，全球各地的安全機(jī)構(gòu)都已發(fā)出了警告。

這原本只是一個(gè)小圈子內(nèi)的事情，但隨著事態(tài)擴(kuò)大，阿里云在這過(guò)程中的處置方法遭到了質(zhì)疑。阿里云把這個(gè)安全漏洞報(bào)告給美國(guó)阿帕奇后，并沒(méi)有及時(shí)向國(guó)家工信部報(bào)告。直到15天后，工信部才知曉，并立即組織了有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開(kāi)展漏洞風(fēng)險(xiǎn)分析，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

據(jù)中國(guó)日?qǐng)?bào)報(bào)道，因?yàn)闆](méi)有及時(shí)向電信主管部門(mén)報(bào)告信息安全漏洞，工信部網(wǎng)絡(luò)安全管理局最終決定，暫停阿里云作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

不過(guò)，工信部網(wǎng)站只發(fā)布了風(fēng)險(xiǎn)提示，并沒(méi)有對(duì)阿里云進(jìn)行相關(guān)處罰的通報(bào)?！耙?yàn)槭菚和：献?，并非行政處罰?！睋?jù)一位知情人士透露。

在行業(yè)人士看來(lái)，阿里云的做法符合之前的行業(yè)規(guī)范，但從今年開(kāi)始，對(duì)于國(guó)內(nèi)從事網(wǎng)絡(luò)安全的企業(yè)和人員提出了更多的要求。阿里云被處罰一事也在警示著大家：在信息安全面前，國(guó)家利益大于一切。

“核彈級(jí)”的漏洞

“Log4j2安全漏洞的影響面特別大?！绷帜暎ɑ?duì)《財(cái)經(jīng)天下》周刊說(shuō)，他是國(guó)內(nèi)一位知名的網(wǎng)絡(luò)安全專家。

Log4j2的漏洞采用的是java的一個(gè)組件，用來(lái)寫(xiě)日志，因?yàn)楸容^好用，所以被廣泛采用。林默聲介紹，用java開(kāi)發(fā)的大部分東西都會(huì)用到Log4j的組件，所以這次出現(xiàn)漏洞之后，影響非常深遠(yuǎn)。

據(jù)稱，攻擊者可以通過(guò)這個(gè)漏洞提取敏感數(shù)據(jù)、將文件上傳到服務(wù)器、刪除數(shù)據(jù)、安裝勒索軟件、或進(jìn)一步散播到其它服務(wù)器。外界甚至將這一漏洞形容為“核彈級(jí)”。一位安全領(lǐng)域的專家告訴《財(cái)經(jīng)天下》周刊，Log4j2作為組件一般位于軟件供應(yīng)關(guān)系的底層，因此關(guān)于此漏洞的放大效應(yīng)將逐漸顯現(xiàn)。

11月24日，這個(gè)漏洞率先被阿里云的團(tuán)隊(duì)發(fā)現(xiàn)，并將這一信息報(bào)告給了Log4j的運(yùn)營(yíng)方阿帕奇基金會(huì)。

奧地利和新西蘭官方的計(jì)算機(jī)應(yīng)急小組率先對(duì)這一漏洞進(jìn)行了預(yù)警。而后，美國(guó)國(guó)家安全局、德國(guó)電信CERT也都緊急發(fā)出了安全預(yù)警，而我國(guó)工信部也將該安全漏洞定性為高危漏洞。

12月7日，在阿里云團(tuán)隊(duì)發(fā)現(xiàn)漏洞后的兩周時(shí)間，Apache官方發(fā)布了安全補(bǔ)丁，可并沒(méi)有多大作用。

危害已經(jīng)產(chǎn)生，勒索軟件已經(jīng)開(kāi)始盯上了這個(gè)漏洞。而奇安信安全服務(wù)團(tuán)隊(duì)透露，截至12月13日，已經(jīng)陸續(xù)接到10多起利用ApacheLog4j2漏洞勒索攻擊的應(yīng)急響應(yīng)需求。其攻擊源主要分布在荷蘭、中國(guó)、德國(guó)、美國(guó)、奧地利等國(guó)家。目前，新西蘭計(jì)算機(jī)緊急響應(yīng)中心（CERT）、美國(guó)國(guó)家安全局、德國(guó)電信CERT、中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CERT/CC）等多國(guó)機(jī)構(gòu)相繼發(fā)出警告，足見(jiàn)該漏洞所引發(fā)的擔(dān)憂與疑慮。

有關(guān)報(bào)道顯示，黑客在72小時(shí)內(nèi)利用Log4j2漏洞，向全球發(fā)起了超過(guò)84萬(wàn)次攻擊。

影響還在持續(xù)，因?yàn)樾扪a(bǔ)漏洞會(huì)是一個(gè)漫長(zhǎng)的過(guò)程。官方在源代碼的漏洞補(bǔ)上之后，引用這個(gè)源代碼的所有軟件還需要修復(fù)，修復(fù)之后還得讓這個(gè)軟件的所有客戶升級(jí)才行。而這個(gè)漫長(zhǎng)過(guò)程給攻擊者留出了很大的空間。

此前，已有安全專家撰文預(yù)測(cè)，該漏洞的影響還會(huì)持續(xù)數(shù)月，屆時(shí)相關(guān)的攻擊和影響面才會(huì)有所減弱。

開(kāi)源熱潮席卷全球，縱觀全球信息產(chǎn)業(yè)，更是呈現(xiàn)“得開(kāi)源者得生態(tài)，得開(kāi)源者得天下 ”的態(tài)勢(shì)。開(kāi)源最大的特點(diǎn)無(wú)疑是全球共享和開(kāi)放屬性，導(dǎo)致任何一個(gè)極為基礎(chǔ)的代碼漏洞都可能引發(fā)連鎖的蝴蝶效應(yīng)，各大互聯(lián)網(wǎng)企業(yè)計(jì)算平臺(tái)會(huì)組建安全專家進(jìn)行巡邏和探針，用于發(fā)現(xiàn)安全漏洞。

正如奇安信的預(yù)測(cè)，ApacheLog4j2漏洞影響面大，利用門(mén)檻低，未來(lái)幾天會(huì)有更多的僵尸網(wǎng)絡(luò)、挖礦病毒、勒索軟件等利用此漏洞發(fā)起攻擊，其危害不容忽視。

阿里云錯(cuò)在哪兒？

在這件事情的處理上，阿里云的做法存在問(wèn)題。由于阿帕奇軟件基金會(huì)成立于美國(guó)，阿里云的問(wèn)題在于，將漏洞及時(shí)報(bào)告給了美國(guó)，相反卻沒(méi)有向我國(guó)工信部報(bào)告，屁股坐歪了。

不過(guò)，也有業(yè)內(nèi)人士提出，發(fā)現(xiàn)外國(guó)開(kāi)源軟件漏洞，向廠家反饋是正常操作。

一位程序員告訴《財(cái)經(jīng)天下》周刊，業(yè)界的開(kāi)源條例遵循的是《負(fù)責(zé)任的安全漏洞披露流程》，這份文件將漏洞披露分為5個(gè)階段，依次是發(fā)現(xiàn)、通告、確認(rèn)、修復(fù)和發(fā)布。發(fā)現(xiàn)漏洞并上報(bào)給原廠商，是業(yè)內(nèi)常見(jiàn)的程序漏洞披露的做法。

2017年10月，微軟發(fā)布了新一輪安全更新，修復(fù)了Office的高危漏洞(CVE-2017-11826)。黑客可以利用該漏洞，發(fā)送惡意的Office文件，用戶中招后會(huì)成為被控制的“肉雞”。

而發(fā)現(xiàn)該漏洞的是360安全團(tuán)隊(duì)。根據(jù)360的描述，360通過(guò)與微軟安全團(tuán)隊(duì)的積極配合，火速推進(jìn)了該漏洞補(bǔ)丁的發(fā)布，使其在發(fā)現(xiàn)一周內(nèi)得以妥善修復(fù)。在后續(xù)的官方公告中，微軟對(duì)360的貢獻(xiàn)進(jìn)行了公開(kāi)致謝。

而在2018年，騰訊電腦管家安全團(tuán)隊(duì)也因?yàn)椴东@了一例Flash 0day漏洞，并迅速上報(bào)給了Adobe官方。對(duì)方發(fā)布公告專門(mén)對(duì)騰訊表示了感謝。

2020年，騰訊安全團(tuán)隊(duì)向Linux社區(qū)提交了兩個(gè)Linux X.25套接字漏洞，該漏洞的風(fēng)險(xiǎn)等級(jí)高，攻擊者利用漏洞可能控制整個(gè)系統(tǒng)。這些漏洞尚未被修復(fù)時(shí)，騰訊已將漏洞細(xì)節(jié)按Linux社區(qū)規(guī)則予以公開(kāi)披露。

而且，林默聲對(duì)《財(cái)經(jīng)天下》周刊透露，把漏洞報(bào)給原廠商而不是平臺(tái)方，也會(huì)有潛在的好處。包括微軟、蘋(píng)果和谷歌在內(nèi)的廠商對(duì)報(bào)告漏洞的人往往會(huì)有獎(jiǎng)勵(lì)，“最高的能給到十幾萬(wàn)美元”。

更重要的是名譽(yù)獎(jiǎng)勵(lì)。幾乎每一家廠商對(duì)第一個(gè)報(bào)告漏洞的人或者集體，都會(huì)公開(kāi)致謝?！皩?duì)于安全研究人員而言，這種名聲也會(huì)非常在意?！绷帜曊f(shuō)，獲得廠商致謝的次數(shù)，也是網(wǎng)絡(luò)安全行業(yè)的研究人員比拼的東西，“你今年得到了5次致謝，我得到了10次，我就比你牛”。

另外，“咱們的漏洞平臺(tái)又修復(fù)不了，這就是為什么要報(bào)給原廠商?！绷帜曊f(shuō)。

但是，除了行業(yè)規(guī)則，國(guó)家相關(guān)部門(mén)在今年有了新的規(guī)定。2021年7月，工信部、網(wǎng)信辦和公安部聯(lián)合下發(fā)的《關(guān)于印發(fā)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》中規(guī)定，發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對(duì)安全漏洞進(jìn)行驗(yàn)證，評(píng)估安全漏洞的危害程度和影響范圍；對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。

該通知同時(shí)規(guī)定，發(fā)現(xiàn)漏洞后，還應(yīng)當(dāng)在2日內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)（CNVD）報(bào)送相關(guān)漏洞信息。

上述安全專家猜測(cè)，工程師一般本著解決軟件漏洞的思維，重點(diǎn)放在解決技術(shù)問(wèn)題上，對(duì)于上報(bào)、政策等環(huán)節(jié)或許沒(méi)有經(jīng)驗(yàn)，但此次事件反映出云計(jì)算廠商還需增強(qiáng)在安全漏洞方面的敏感度。

“過(guò)去這么多年的規(guī)矩都是這樣的，阿里云也是按照老黃歷來(lái)辦事的，只不過(guò)現(xiàn)在的政策有不同的要求了，大的形勢(shì)也不一樣了?！绷帜曊f(shuō)，“阿里云不見(jiàn)得是有意為之?！?/p>

“阿里云這次如果是兩邊同時(shí)報(bào)了會(huì)好一點(diǎn)，或者時(shí)間差不要這么大。”林默聲說(shuō)，國(guó)內(nèi)還是通過(guò)外媒的炒作才知道有這么一個(gè)漏洞。

在復(fù)雜的國(guó)際形勢(shì)下，阿里云的做法顯得非常不合時(shí)宜?！案舯谑浅鸺?，你告訴仇家你的門(mén)沒(méi)關(guān)好，你啥意思？而且不僅僅是涉及他們家的門(mén)，我們家也用了這個(gè)門(mén)，你是不是應(yīng)該先告訴自己家？”林默聲打了個(gè)比方，這個(gè)漏洞不僅僅是原廠商的問(wèn)題，也與國(guó)內(nèi)利益息息相關(guān)?？陀^上，攻擊者可以利用這個(gè)漏洞修補(bǔ)的間隙來(lái)攻擊國(guó)內(nèi)的基礎(chǔ)設(shè)施。

但也有分析認(rèn)為，阿里云起初并沒(méi)有意識(shí)到這個(gè)漏洞的嚴(yán)重性。這一點(diǎn)從阿里云官方聲明中也能得到核實(shí)?！霸诎l(fā)現(xiàn)該安全bug后，按業(yè)界慣例以郵件方式向軟件開(kāi)發(fā)方Apache開(kāi)源社區(qū)報(bào)告這一問(wèn)題并請(qǐng)求幫助。因在早期未意識(shí)到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息?！?/p>

從示范到示警

阿里云作為國(guó)內(nèi)最大的云計(jì)算公司，此前一直是其他云計(jì)算公司學(xué)習(xí)的對(duì)象。

今年，阿里云迎來(lái)了自己的第三個(gè)盈利季度，是第二家宣布盈利的行業(yè)選手，而第一家是亞馬遜的AWS。十年間，盡管云計(jì)算行業(yè)從小眾走向輝煌，但虧損難題一直是云企內(nèi)部的心病，如鯁在喉。

一直以來(lái)，國(guó)內(nèi)云計(jì)算發(fā)展重心根植于重資產(chǎn)的IaaS而非高毛利的SaaS產(chǎn)品，重資產(chǎn)意味著高投入，馬云十年前內(nèi)部講話的那句“每年投10億，投個(gè)10年，做不出來(lái)再說(shuō)”尤在耳畔，云計(jì)算堪比碎鈔機(jī)，能否盈利？起碼在國(guó)內(nèi)是一個(gè)沒(méi)有無(wú)解的題目。

現(xiàn)在，阿里云的盈利成績(jī)單給出了解題思路，一位業(yè)內(nèi)人士告訴《財(cái)經(jīng)天下》周刊，阿里云摸著石頭過(guò)河，其他廠商摸著阿里云過(guò)河。

腳踩著堅(jiān)硬石頭，阿里云將云和釘釘打通為一體，將云的基礎(chǔ)能力通過(guò)釘釘呈現(xiàn)給企業(yè)用戶，提高業(yè)務(wù)數(shù)字化效率，這種模式也曾是微軟切入云的重要工具，憑借Azure云+Teams組合拳，微軟在云計(jì)算行業(yè)中崛起并縮小了與AWS的差距。

如今有樣學(xué)樣，阿里云在云上構(gòu)建中臺(tái)、數(shù)據(jù)中心等基礎(chǔ)設(shè)施，落地則由釘釘?shù)膽?yīng)用執(zhí)行，直接調(diào)用云上工具。在企業(yè)尋求數(shù)字化轉(zhuǎn)型時(shí)，可以通過(guò)這套流程直接購(gòu)買大型系統(tǒng)，再適配企業(yè)間的具體業(yè)務(wù)模塊，用低代碼開(kāi)發(fā)應(yīng)用，直接上云。

在今年舉行的云棲大會(huì)上，《財(cái)經(jīng)天下》周刊獨(dú)家獲悉，阿里云內(nèi)部再一次組織梳理與升級(jí)，云釘一體后，平頭哥與云智能、達(dá)摩院部門(mén)實(shí)現(xiàn)平級(jí)。平頭哥是阿里巴巴旗下芯片公司，由達(dá)摩院和中天微共同成立，原本是阿里達(dá)摩院旗下組織，達(dá)摩院被視作是阿里內(nèi)部的“核高基”項(xiàng)目組，其下設(shè)語(yǔ)音、視覺(jué)、智能計(jì)算、量子等多個(gè)實(shí)驗(yàn)室，是主攻前沿技術(shù)的機(jī)構(gòu)平臺(tái)。

這體現(xiàn)了平頭哥、達(dá)摩院和云計(jì)算在技術(shù)上分層、協(xié)同的狀態(tài)，平頭哥從底層芯片提供彈性、通用資源，相當(dāng)于云的底座；達(dá)摩院在上層提供數(shù)據(jù)化、智能化的可能性。

過(guò)去十年，云計(jì)算屬于技術(shù)人員，未來(lái)，云計(jì)算將橫向拓展至非互聯(lián)網(wǎng)企業(yè)的生態(tài)中，將有更多非技術(shù)性傳統(tǒng)企業(yè)知道如何用云，這是阿里云探索出的云方向，這一趨勢(shì)或?qū)⒔o中國(guó)云市場(chǎng)帶來(lái)更多的利潤(rùn)空間。

云作為一種商業(yè)模式，在中國(guó)市場(chǎng)終于“跑通”了基礎(chǔ)邏輯，開(kāi)始變現(xiàn)?？梢哉f(shuō)，此時(shí)此刻，阿里云的一舉一動(dòng)都對(duì)行業(yè)起著示范效應(yīng)。

但這次的漏洞披露事件，則是一次警醒，作為頭部的云計(jì)算企業(yè)需要更嚴(yán)苛的標(biāo)準(zhǔn)要求自己。

今年年中，浙江省通信管理局通報(bào)阿里云未經(jīng)用戶同意擅自將用戶留存的注冊(cè)信息泄露給第三方合作公司，自查后的阿里云稱是內(nèi)部電銷員工違反紀(jì)律，潦草蓋過(guò)質(zhì)疑聲。

《財(cái)經(jīng)天下》周刊獲悉，相比大眾的質(zhì)疑聲浪，行業(yè)內(nèi)部的整頓從上周末便已開(kāi)始。一家小型云計(jì)算的企業(yè)負(fù)責(zé)人何野（化名）說(shuō)，上周五，先是召集了主力工程師打補(bǔ)丁，內(nèi)部評(píng)測(cè)的結(jié)果是漏洞的挖掘難度不是非常大。本周公司會(huì)再梳理一遍流程制度，用于程序員培訓(xùn)。

如果業(yè)務(wù)體量不大，對(duì)于上報(bào)流程和政策解讀確實(shí)會(huì)有所缺失。這則事件確實(shí)敲響了警鐘，不能低估影響面，“有些事不上秤沒(méi)有二兩重，一上秤一千斤也打不住。”何野擊中了問(wèn)題的要害，“這種問(wèn)題，早發(fā)現(xiàn)、早解決，對(duì)阿里云和其他網(wǎng)絡(luò)安全威脅信息共享平臺(tái)成員都是有益的?！?/p>

關(guān)鍵詞： 漏洞 阿里云 安全漏洞 財(cái)經(jīng)天下 廠商 工信部 微軟 周刊