Pages

Sunday, 9 January 2022

阿里巴巴無向中國當局通報LOG4J漏洞而受罰

 問:阿里雲的安全團隊,發現了在主機上常用、建基於Java語言上的日誌軟件Apache Log4J有重大保安漏洞,阿里巴巴的團隊第一時間向Apache基金會通報事件,而並非向中國當局通報,結果因此遭到中國當局的處分。其實阿里巴巴的做法是否正確?如果阿里巴巴公司第一時間向中國當局通報,而非向Apache基金會通報,又會有甚麼問題?

李建軍:其實第一時間向Apache基金會通報,而非向當局通報,是業界慣常而且正確的做法,因為Apache基金會有機制確保漏洞可以被修復而不會被其他不法之徒發現。而Apache在得悉該漏洞後迅速作出填補,並在公布修復包後,才正式公布所發生的問題,這種做法既能防止問題曝光後不法之徒趁機利用漏洞發動攻擊,也能保障全球各地的主機可以在黑客光顧前完成升級,修補漏洞。因此,阿里巴巴並無理由因遵守全球慣用的做法而受罰。

相反,如果阿里巴巴團隊發現漏洞後,第一時間向中國當局呈報,中國當局有可能將漏洞告知中國解放軍的黑客,並且禁止阿里巴巴公司的人員向Apache基金會通報,這很可能會造成史無前例的網絡災難。發現問題首先向政府通報這本已違反專業共識,更要注意的是,中國當局並非正常政府,長年以來中國都有僱用大量黑客從事不法活動,偷取異見人士以及各國政府的情報,這已非甚麼新聞。因此,第一時間向中國當局通報,這個做法根本上並不恰當,除非中國當局願意不由這個漏洞中得到好處,但以中國當局的超限戰思維,這樣的要求根本是不切實際。

問:近年阿里巴巴、騰訊等中國科網公司的保安團隊都十分積極參與開放源碼軟件的保安漏洞研究,近年不少重大保安漏洞都由他們發現。這次中國當局的做法,會否造成寒蟬效應,到頭來令網絡變得更不安全?日後又會否因為大陸科企發現問題第一時間通報當局,令中國當局可以比很多人早知道漏洞所在,並乘機從中取利?

李建軍:網絡因中國當局的措施變得更不安全,這幾乎是肯定,因為中國當局的做法,有如將中國精英的網絡保安專家,由為全球各地用戶研究漏洞,變成中國當局的棋子,甚至要求這些公司人員提交可以應用這些漏洞的攻擊方案,屆時全球網絡將出現大混亂。

因應這個情況,在中國當局推出這類荒謬措施之後,用戶要更加留意平日網上甚至家中電腦出現的奇怪現象,如果發現非常不尋常之處,不妨在西方國家的網絡論壇主動提出,尋求各方的協助,務求在中國公司的人發現漏洞之前,已經有高手成功研究漏洞的細節,並快速寫出修補方案,避免讓漏洞成為中國當局的工具。

如果用戶自己有一定技術知識,可以嘗試自己參與找出漏洞的工作,並通知相關的公司和團隊。更何況有部分基金會或公司會為發現漏洞的「白客」提供豐厚獎金,這也是中國有部分公司會主動參與這類工作的原因——不單有助提升公司的聲譽,本身也算得上一門有利可圖的工作。有部分程式設計師更因此獲得西方國家的大公司青睞,獲得不錯的工作機會。但中國當局現時的做法,就令這些中國公司的技術人員未能夠參與這項可以名利雙收的工作。

問:至於LOG4J的漏洞,至今都仍未解決,那作為用戶,又有甚麼可以注意?

李建軍:對大部分用戶,由於LOG4J漏洞主要針對主機,所以在個人層面基本上無事可做,只能留意一旦信用卡等有人盜用的情況,就立即通知銀行,並且換一張新咭。但如果你自己擁有VPN主機翻牆,就應儘快更新Linux作業系統,因為你不知你自己的主機有否運行以及使用LOG4J,因為LOG4J的用途實在太廣泛,有很多軟件都有LOG4J的軟件元件在內。亦要留意你的VPN,會否遇上一些不尋常活動,因為這些不尋常活動有可能反映有黑客利用LOG4J漏洞打你的主意,在LOG4J的問題未徹底解決之前,要加緊留意你的主機安全,這點十分之重要。

No comments:

Post a Comment