重返博浪人生-第406章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


收割，偏偏下层对这些被预设好的观念深信不疑，改都改不了……
　　温良也不是什么烂好人，他只是认为博浪发展得越好，为社会创造的附加价值必然越多，也越有利于这些人进行收割，那踏马不是给他们忙活了？多冒昧啊！
　　多冤呐！
　　反正博浪集团至今所有面向个人群体的产品都不支持分期付款，像是手机之类价格昂贵的产品现在都暂不支持国内用户以个人用信用卡付款。
　　海外？管他们去死，反正账是消费者与银行的，跟博浪半毛钱关系没有了，而款项早已结算给了博浪……
　　迎着老苗头的目光，温良思考片刻，说道：“那莪得直话直说，你别忙上火，我的看法是，你们别玩那套解释权归你们所有的操作，不要用模棱两可的规定来约束，要明确规定哪些行为不被允许，无论做什么，事物的动态发展性质注定了总会有错误发生，亡羊补牢为时未晚！”
　　“具体到信息行业，互联网的言论自由需要维护，怎么维护的最简便办法就是想尽一切办法禁止水军，约束营销公司的业务范畴等等。”
　　“你做得不好就不要怕人议论，但这并不意味着说什么都对，我最担心的就是现在人们越来越依赖于通过舆论来解决问题，甚至干涉司法等等……”
　　说到这里，温良又来气了：“其实都是你们的锅，监督监督说得好听，都踏马放屁一样，懒驴上磨，不打不动，一动就一刀切，真踏马不知道申论选的都是什么东西？！”
　　然后温良又意兴阑珊的摆摆手：“算了算了，扯太远，反正如果你们能真正把利民放在第一位，我觉得一切问题都能迎刃而解。”
　　老苗头想了下：“这样吧，你趁回家休息的这些天，稍微整理一下你的想法，给我一个大略的草案？”
　　“没问题。”温良自是满口答应下来。
　　老苗头随口道：“不白让你帮忙，可以突出你的地方我不会抢功。”
　　“谢了。”温良也不跟他客气。
　　“……”
　　临走前，老苗头拍了拍温良的胳膊：“订婚是个大事情，你们不打算摆酒，我也不能一点表示没有，搬几箱烟酒茶叶吧。”
　　“省了你装模作样的顺手牵羊。”
　　温良眉开眼笑：“那敢情好，谢谢苗爷爷，苗爷爷大气。”
　　说着话就指挥起了老苗头的生活秘书给他搬东西。
　　“那些没什么年份的就算了。”
　　“茅台少拿点，不够珍贵。”
　　“诶，对了。”
　　“……”
　　见老苗头还跟了出来，温良赶紧摆手：“那什么，别送了，留步留步，不用那么客气。”
　　老苗头：“！！！”
　　我踏马是想揍你！
　　要把我家搬空是吧！
　　…………
　　温良在这方面还真是与众不同，他去哪个老头家基本都是空着双手，带着嘴去，大多数时候不带东西走，能带的时候一点不客气。
　　跟进货一样。
　　所以温总的私人库藏还是比较可观的，还是那句话，国内的环境呐，有些东西踏马花钱买不到！
　　反正温良大包小包往胡同口子那台奔驰上搬的时候，这条胡同里一些严肃的小年轻都忍不住探头探脑。
　　尤其是胡同口子那两个年纪稍微大点的小伙，他们眼珠子都快瞪圆了。
　　心里估摸着在寻思踏马太阳打西边出来的？
　　“……”
　　回酒店的车上，温良再次拨了李泽的电话。
　　已经过去了两小时，他也比较关心排查进展。
　　能让老苗头说出影响严重，以及温良能有印象的后世同名漏洞，怎么都不可能去轻视，博浪可是主要以信息科技为主的企业啊！


第475章　完全躺赢的博浪
　　“怎么样，我们的损失大不大？”温良脸上水静无波，心绪平静。
　　重视没错，可反正事情已经发生，怎么都得接受，没必要为难自己，面对就完事了。
　　李泽爽朗的笑声从听筒中传出：“不用着急，我们现在还是零损失！”
　　“嗯？”
　　“好奇吧？”
　　“当然，老苗头给我的消息，能严重到他都知道……”
　　“原来如此！”
　　说着，李泽收敛了笑意：“知道你身边有人，排查也花了不少时间，就没有着急联系你，从目前的情况来看，已经可以肯定我们会受到的影响微乎其微，可以忽略不计。”
　　接着李泽详细解释了情况：“我们所有对外的服务系统里面只有早期Apache刚推出时用过这个日志组件，后来因为其开源特性我们弃用了。”
　　“其中，因为星辰云系统我们花了很大心血自主研发，几乎所有第三方开源组件都只是以作参照物而不会并入正式版，所以星辰云服务等对外的企业级产品也不受影响。”
　　“而目前逐步进入试点运行的星辰服务系统更是甚少引入过第三方开源组件。”
　　“另一方面，因为星辰体系的完全自主研发性质，对一些模块的定义是与目前主流系统全然不同的，比如很大一部分适用于其它系统平台的命令行乃至调用参数的方式等都存在一些定义层面的不同……这当时是因为要规避各类专利侵权风险。”
　　“总之，得益于你最开始强调的合规性、自主性，我们所有的自主平台在初期虽然走得十分艰难，需新造了一套体系，但也正因为如此，所以因与众不同而安全。”
　　说完这些，李泽转而说道：“根据集团网络安全与用户隐私大部门下的网络安全部门反馈，这个漏洞已被阿里云提交给了Apache，另据可靠消息Apache已经开始测试补丁方案，不日将推出。”
　　“公司相关人员经过海量分析，评估出了这個日志组件漏洞的影响范围，比非常严重还要严重，预估是近年来发现的最严重的计算机漏洞！”
　　“攻击门槛之低超乎想象，攻击者能通过攻击漏洞获得的操作权限堪称无限！而且据不完全统计，几乎所有Java类框架都会用这个日志组件，使用范围之广也很罕见。”
　　听完李泽简短的描述，温良笑了起来：“准备准备，阿里系要遭大殃了。”
　　“怎么说。”李泽没有着急激动，连语气都认真了起来。
　　温良耐心的回答道：“阿里云发现了漏洞并报告给开发的行业组织Apache，哪怕只是优先报告，在后续交流中知道漏洞的影响范围有共享给包括工信在内的相关主管单位，也没事；
　　但阿里云没有，不仅是发现时不共享，也不仅仅是知道严重情况后还不共享，哪怕是在工信现在已经主动发现了漏洞的情况下，还是没有通气……
　　偏偏漏洞影响范围广、攻击门槛低、攻击还堪称无所不在，又是在这种关键时候，你说他不遭殃，谁遭殃？”
　　李泽很快想到了关键点：“印象中相关单位的流程不是很清晰，而且阿里云是普通企业，能找借口解释吧？”
　　温良反问：“你觉得以阿里云当下的发展态势，它家业务广泛不？”
　　“明白了。”李泽这才兴奋起来，“我会好好准备的，你且等着看戏吧，我们在前期因为没法拿到专利授权、初期因为阿美莉卡人为管束得不到新授权所多花费的每一分研发成本都会在不久的将来赚回来！”
　　温良倒是很平静：“不要先出头，等一等工信的公告，也别通知友商了，能通知他们的时候会有人主动通告的，我们不要多管闲事。”
　　李泽应声。
　　结束通话后，温良翻了翻手机，查收了一封几分钟前才抄送给他的公司邮件，内容是简明扼要的描述了这个叫Log4j2的组件漏洞前因后果和影响范围。
　　没有因邮件收件方可能不懂技术而缩略技术分析过程。
　　博浪的内部流程本来就有一些规定，糊弄的事情不是没有，而是只要带了脑子就不会把掺杂糊弄的事情抄送给温良他们这些高管。
　　温良他们是可能不懂技术，但偌大一个博浪，难道找不出一个懂技术的？
　　而且泛技术部门的人只要带了脑子上班，就应当清楚主要的两个经常在公司出没的技术总工是创始人团队成员。
　　一个是李博文，一个是孙宝银。
　　更别说另一创始人团队成员张郁林是自研操作系统总工啊……这踏马去糊弄技术内容，比主动离职要更痛快一些。
　　事实上，让温良去敲代码是真敲不出来，但让他看技术流程原理……呵呵，你说他能懂不懂吧。
　　这几把东西如果毫无参照的情况下，确实模模糊糊，但真要有内容摆在眼前，那是能轻易串起来的。
　　翻了三分钟的样子，温良啧啧称叹：“这都属于惯性思维漏洞了，如果当时我还在技术岗位，这玩意估计我有可能发现……”
　　“居然敢相信人类的输入每次都无误……啧啧啧……”
　　他还真不是自吹自擂。
　　李泽之所以说这个漏洞的攻击门槛低到令人发指真有原因，就只是一个简单的输入错误……比如在输入url时加入一个空格……就可以绕过各种各样的校验，直接在被访问的机器乃至一整个局域网内执行被预先设定好的任意内容，是任意内容。
　　什么读取文件等等那不过是轻而易举的事情。
　　Log4j2日志组件功能很强大，可惜对各类参数的判断不严谨。
　　总之，以温良曾经写代码时的那种模块化思维，很容易发现原生组件代码里定义的判断条件不严谨。
　　所以……按照后世阿里云方面的辩解，说初期不知道漏洞的严重性，属于公关术语。
　　跟技术一点关系没有。
　　纯粹是阿里系内部真的……有点烂。
　　不仅是上层没有相关心思，就连技术层面也可能没想过要通知国内主管单位，预防网络安全风险。
　　因为这是个发现以后就会知道很低级但很严重的错误。
　　…………
　　晚8点多，温良刚回到下榻酒店，那边厢老苗头的秘书应召来到了老苗家。
　　与秘书同来的还有一个工程师主管。
　　有亲自参与了此次严重漏洞处理过程。
　　老苗头面色缓和且儒雅，坐姿端庄大气，是那种大佬应有的模样，不似约莫半小时前那种散漫样儿。
　　连此前有些散的头发也又变得一丝不苟了。
　　秘书跟着老苗头也有几年了，当然知道他的脾性，主动的直接汇报起来：“经过与友邻单位的合作，紧急排查抢修，已完全所有重点单位主要服务器的漏洞修复，也形成了简单的临时规避解决方案。”
　　“据目前统计，其中国防科工等几个重点单位的对外服务器均有证据表明有通过该漏洞的入侵，部分资料有被非法访问痕迹，总次数超过千次……
　　其中部分单位近期连番遭遇海量网络攻击疑似与此漏洞有关。”
　　“某单位可能有机密等级的电子文件被非法访问……”
　　一五一十的描述完毕后，秘书轻吸了一口气：“根据和友邻单位的初步共同研判，此次漏洞造成的潜在损失可能超过了棱镜。”
　　“这个漏洞之简单，攻击之深度……实在是过于罕见，据可靠消息，Apache方面会将此漏洞列为CVSS通用漏洞评分系统最高级别的10分，超危险。”
　　秘书汇报完毕后，看向一旁同来的工程师主管：“其它方面还请林工来补充。”
　　林工当仁不让，补充了重点：“经过系统性分析，此漏洞原理十分简单，一经发现即可轻易判断危险等级，常规情况下触发概念不大，但触发门槛十分低，总计只需要编写三行代码。”
　　“……此外，经友邻单位的综合信息汇总，基于星辰内核衍生而立的重点单位内部系统上因无法装载该漏洞日志组件，且因不支持触发漏洞的其中一个JNDI接口，从而完全无法被攻击，也包括所有以星辰内核衍生的操作系统产品；
　　其中单位试点使用于非关键服务的星辰云，也因此没有这个漏洞。”
　　“已较为常态使用的阿里云产品，则全部发现了这个漏洞，阿里云的维护工程师至今仍没有通报该漏洞，也没有进行临时规避解决……”
　　老苗头都忍不住在心中腹诽：“艹。”
　　他是真无语了。
　　怎么踏马能有这种单位！
　　他可是那么儒雅随和的人啊！
　　都忍不住生艹了。
　　随后，老苗头做出了决定：“既然已经形成了临时规避解决方案，也有了初步结论，即刻将风险通告给更广泛范围。”
　　“三小时后正式对外发公告。”
　　秘书依言记下，在斟酌中提出了自己的建议：“是否等到明天白天？”
　　老苗头直接否决：“没有必要再等了。”
　　之后，秘书先帮忙将林工送出了老苗家，然后又折返回去，他知道老苗头还有指示。
　　老苗头直接安排：“明天上午发起个会议，商议信息安全风险规范建设、以及商量如何组建常态化信息安全防范组织。”