就五眼联盟发布Log4j漏洞联合公告的一点联想

安全
上周三,五眼联盟的网络安全机构发布了一份联合公告,目的是共同应对恶意对手广泛利用 Apache Log4j 软件库中的多个漏洞。

众所周知,以美国为首集合英国、澳大利亚、加拿大、新西兰组建的情报共享联盟,也就是我们常说的“五眼联盟”。上周三,五眼联盟的网络安全机构发布了一份联合公告,目的是共同应对恶意对手广泛利用 Apache Log4j 软件库中的多个漏洞。

在这里,阴谋论一下。曾经美国的情报机构被维基解密公布了大量的网络武器,在一段时间内我一直关注着维基解密这个网站,其中对美国CIA开发存储的Vault 7系列网络武器进行了报道。所以,在网络武器研发与保有量上,我们有理由相信,五眼联盟的成员国每一个都是大户,在其共享的基础上,我们更有理由相信,他们组成了最大的黑客合法“黑帮”。

有时,五眼联盟个别成员还时不时的拉上以色列,玩不完的猫腻。其中大家耳熟能详的“震网”蠕虫病毒,就是美以杰作。

[[442083]]

回到Log4j漏洞,在最近工信部对阿里的处罚中,我们看到其实这次阿里某种意义上,为国外的情报机构递了把刀,让国外的情报机构整整在中国的网络中肆无忌惮半个月。西方情报组织是否早就掌握这个漏洞未尝可知,毕竟高端的网络武器,西方情报机构是不轻易示人的,如永恒之蓝、Vault 7、Vault 8,都是存在很长一段时间了。只是阿里把这事给西方情报机构捅出来了,所以网上说阿里两头不落好,从这个角度看,是极有可能的,美国不见得乐意接收阿里的一片“忠诚”。

退一步讲,就算西方情报机构未掌握这个漏洞,但在阿里上报给阿帕奇基金会,而阿帕奇基金会则第一时间上报给美国情报机构,否则欧美各国政府不可能先于中国政府发出警告,而这个时间差既是厂家抓紧时间修复漏洞的最佳时机,也是情报机构研制黑客工具的最佳时机,因为在这个时间段它某种意义上还是“0Day”,其破坏性是毋庸置疑的。这也从侧面说明,美国的组织在遵循其国家有关漏洞相关要求时,是非常积极配合的。

阿里此次“失误”,要么是阿里不尊重国家相关法律法规,故意为之;要么是内部管理混乱,出现这种低级错误。所以,我们该怀疑其居心还是怀疑其内部管理混乱呢?套用一句时髦的话大家“联想”吧!

本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系祺印说信安公众号。

 

 

责任编辑:赵宁宁 来源: 祺印说信安
相关推荐

2021-12-14 23:44:26

漏洞Log4j项目

2022-03-25 13:42:15

Log4j漏洞网络安全

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2022-01-02 07:07:55

CISAApache Log4漏洞

2024-11-13 14:41:20

2023-11-10 10:08:23

2022-01-24 10:02:53

漏洞微软网络攻击

2021-12-23 11:03:25

Log4j 漏洞漏洞

2022-03-30 11:29:53

漏洞补丁Spring

2021-12-27 12:08:30

漏洞网络安全GitHub

2021-12-27 11:15:01

CISA漏洞Log4j

2020-10-12 15:24:26

五眼联盟公众安全加密

2021-12-13 01:49:34

漏洞Log4j代码

2021-12-24 09:52:31

Traefik Log4J 漏洞

2021-12-29 14:47:43

Apache团队Log4j漏洞

2021-12-11 19:04:38

漏洞

2022-01-06 09:52:39

Log4j漏洞攻击

2024-11-15 16:21:56

2021-12-23 19:20:43

漏洞赏金计划漏洞log4j

2021-12-13 06:56:46

漏洞Log4j对象
点赞
收藏

51CTO技术栈公众号