【翻墙问答】阿里巴巴无向中国当局通报LOG4J漏洞而受罚

2021.12.31
【翻墙问答】阿里巴巴无向中国当局通报LOG4J漏洞而受罚 2017年12月11日,时任阿里巴巴董事长马云在阿根廷出席世贸部长峰会期间的一场电商论坛。今年以来阿里集团及其下公司接连受打击。最近,阿里云因未先通报Log4j漏洞给中国政府,被工信部通报,并处以政府暂停合作半年惩罚。
法新社

问:阿里云的安全团队,发现了在主机上常用、建基于Java语言上的日志软件Apache Log4J有重大保安漏洞,阿里巴巴的团队第一时间向Apache基金会通报事件,而并非向中国当局通报,结果因此遭到中国当局的处分。其实阿里巴巴的做法是否正确?如果阿里巴巴公司第一时间向中国当局通报,而非向Apache基金会通报,又会有甚么问题?

李建军:其实第一时间向Apache基金会通报,而非向当局通报,是业界惯常而且正确的做法,因为Apache基金会有机制确保漏洞可以被修复而不会被其他不法之徒发现。而Apache在得悉该漏洞后迅速作出填补,并在公布修复包后,才正式公布所发生的问题,这种做法既能防止问题曝光后不法之徒趁机利用漏洞发动攻击,也能保障全球各地的主机可以在黑客光顾前完成升级修补漏洞。因此,阿里巴巴并无理由因遵守全球惯用的做法而受罚。

相反,如果阿里巴巴团队发现漏洞后,第一时间向中国当局呈报,中国当局有可能将漏洞告知中国解放军的黑客,并且禁止阿里巴巴公司的人员向Apache基金会通报,这很可能会造成史无前例的网络灾难。发现问题首先向政府通报这本已违反专业共识,更要注意的是,中国当局并非正常政府,长年以来中国都有雇用大量黑客从事不法活动,偷取异见人士以及各国政府的情报,这已非甚么新闻。因此,第一时间向中国当局通报,这个做法根本上并不恰当,除非中国当局愿意不由这个漏洞中得到好处,但以中国当局的超限战思维,这样的要求根本是不切实际。

问:近年阿里巴巴、腾讯等中国科网公司的保安团队都十分积极参与开放源码软件的保安漏洞研究,近年不少重大保安漏洞都由他们发现。这次中国当局的做法,会否造成寒蝉效应,到头来令网络变得更不安全?日后又会否因为大陆科企发现问题第一时间通报当局,令中国当局可以比很多人早知道漏洞所在,并乘机从中取利?

李建军:网络因中国当局的措施变得更不安全,这几乎是肯定,因为中国当局的做法,有如将中国精英的网络保安专家,由为全球各地用户研究漏洞,变成中国当局的棋子,甚至要求这些公司人员提交可以应用这些漏洞的攻击方案,届时全球网络将出现大混乱。

因应这个情况,在中国当局推出这类荒谬措施之后,用户要更加留意平日网上甚至家中电脑出现的奇怪现象,如果发现非常不寻常之处,不妨在西方国家的网络论坛主动提出,寻求各方的协助,务求在中国公司的人发现漏洞之前,已经有高手成功研究漏洞的细节,并快速写出修补方案,避免让漏洞成为中国当局的工具。

如果用户自己有一定技术知识,可以尝试自己参与找出漏洞的工作,并通知相关的公司和团队。更何况有部分基金会或公司会为发现漏洞的「白客」提供丰厚奖金,这也是中国有部分公司会主动参与这类工作的原因——不单有助提升公司的声誉,本身也算得上一门有利可图的工作。有部分程式设计师更因此获得西方国家的大公司青睐,获得不错的工作机会。但中国当局现时的做法,就令这些中国公司的技术人员未能够参与这项可以名利双收的工作。

问:至于LOG4J的漏洞,至今都仍未解决,那作为用户,又有甚么可以注意?

李建军:对大部分用户,由于LOG4J漏洞主要针对主机,所以在个人层面基本上无事可做,只能留意一旦信用卡等有人盗用的情况,就立即通知银行,并且换一张新咭。但如果你自己拥有VPN主机翻墙,就应尽快更新Linux作业系统,因为你不知你自己的主机有否运行以及使用LOG4J,因为LOG4J的用途实在太广泛,有很多软件都有LOG4J的软件元件在内。亦要留意你的VPN,会否遇上一些不寻常活动,因为这些不寻常活动有可能反映有黑客利用LOG4J漏洞打你的主意,在LOG4J的问题未彻底解决之前,要加紧留意你的主机安全,这点十分之重要。

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。