作者:一桶布丁
当然这位业内大佬也说了,还好这个漏洞是宁教授先曝出来的,而且因为时差的原因,所以目前华夏应该是最先收到这个消息的,这也意味着华夏受损会最小……
互联网的特点被发挥到极致,无数消息在宁班群里汇总,很快大家便理出了脉络,了解到这个下午发生了些什么……
怎么说呢?宁班的孩子们是真服了。他们想过如果宁为教授出手,肯定能快速平息争议,他们甚至相信宁为如果打想打招呼,能把网上那些言论都删掉。
如果真是这种情况的话,大家也许会觉得解气,但心里肯定不会太舒服。因为那并不是他们所认可的方式。
但现在的情况真不一样了。
当许多孩子再登录之前那个程序员论坛,他们真的体验到了耀武扬威的感觉……
因为已经有人冒充宁班成员的身份,在里面发帖了,帖子热度很高,还全是膜拜声。
“宁班的大佬们别闹了,你们以后是要引领行业的,别跟我们这些小角色置气。”
“我错了,我真错了,以后我再也不在论坛上凑这种热闹了,再也不说java永远滴神了,饶了我们吧。”
“宁班的这几位少侠,有话咱们好好说。真的,我们好多人已经集体@管理员,把那个喜欢废话的家伙丢小黑屋了,你们还满意吗?满意的话拜托跟你们宁教授说说好话,拜谢了!!!这样忙一整年,铁人也熬不住啊!”
“别盯着咱们java啊,PHP就没问题吗?VB就是完美的吗?C#真的没有漏洞吗?宁班的大佬们,跟你们家宁教授说说,也让他们忙一下吧!别得着Java猛薅啊!求你们了。”
“艹,你们什么人啊?我们搞VB的又没惹到宁班,某些人别想着挑事儿!宁班很强,有目共睹!”
……
其实大家可以肯定论坛上说自己是宁班同学的这个ID,肯定不是他们班上的人,因为这条帖子是下午四点多发的,这个时间宁班全员都在操场上挥汗如雨呢,今天可没谁请假。
这其实是能让宁班的孩子们愤怒的点,但这个时候大家没谁计较这些。甚至绝大部分孩子都已经不太好意思继续在论坛上落井下石了。
这些优秀而又骄傲,思想比一般孩子成熟却又没有经过社会历练的小天才们,在论战落入下风的时候激情满满的想着怎么才能吵赢,但当对面已经溃不成军的时候,恳求服软的时候,却真的让他们没了动力继续去痛打落水狗,只是在心头暗爽着……
于是宁班的群聊里,顿时热闹起来。
“哈,这帮家伙知道厉害了吧?”
“宁教授太狠了,出手就是王炸!”
“嘿嘿,我觉得可以到论坛里说上一句,只要他们不诋毁宁班,我们就保证不首先动用宁教授!”
“笑死我了,刚刚我看企鹅网上已经曝出来了,这几天全国java程序员都得加班想办法修复这个漏洞,连安全公司的程序员都不例外。而且国内几乎所有科技公司的安全部门都在发通告,暂不接收ApacheLog4j2远程代码执行漏洞。现在就是Apache官方还没消息,肯定是因为时差,这次好玩了,应该不止是华夏出问题,全球所有使用Java的科技公司都要解决这个问题。”
胆子大一点的甚至开始直接@宁为了。
“@宁为,宁教授,您出来说两句啊!”
有人带头,一帮孩子顿时热情起来,争先恐后的开始@起他们的精神导师……
……
不是宁为没关注宁班的群聊,而是他现在也挺忙的。
宁为是下午给甲骨文那边发的消息,时差导致那个时候正是大洋彼岸的凌晨2点多,人们睡得最熟的时候。所以最先反应过来的还是华夏国内那些网络安全公司跟各大云服务商。
毕竟这种等级的漏洞太骇人了,一个处理不好,天知道多少设备会沦陷。毕竟Log4j2是个极为常用的通用组件库,这也就导致了该漏洞几乎影响了java生态下所有的主流框架,这些主流框架又覆盖了几乎所有的Java技术。
可想而知反响有多大了。
所以外界的反应简直再正常不过了。
尤其是这封邮件还是宁为发去的,宁为虽然在大众眼里依然是以数学上的成就著称于世,哪怕他已经拿到了图灵奖。但在科技界看来,宁为在计算机方面的成就甚至可能比在数学方面的成就更辉煌。
湍流算法可是能改变网络世界格局的产品,三维硅通管技术更是让全球半导体行业进入新一轮洗牌阶段,三月的横空出世更是直接开启了人类社会强人工智能的大门,三项技术不管哪一项都直接推动了生产力的进步。
至于数学方面的成就,大多是理论上的成就,虽然也很耀眼,但并没有这些表象那么直观。
所以接到宁为的邮件之后,这些公司的安全部门第一时间就开始验证,发现果然如同宁为所说的那样后,通告开始以光速发了出去,随后就是Java的程序员们开始开会,商讨该如何修复这个漏洞。
问题就在这里了,宁为邮件是群发的,全华夏做网络安全的、做云服务的都发了,这些公司都有自己的客户,验证之后这些公司在发通告的同时,肯定会第一时间告知自己的客户,无数Java程序被组织起来的时候,肯定要告知他们问题出在哪里,要做演示,然后这个漏洞就这么传出去了……
从一个本来只应该官方暂时知道的漏洞,成了华夏无数普通程序员都知道的漏洞,这其实是件很恐怖的事情。按照正常的顺序,比如宁为如果希望得到官方的嘉奖,应该只把漏洞先汇报给Apache官方,然后Apache官方会组织技术力量分析并解决这个漏洞后,再向外界发通告,打补丁,以解决漏洞问题。
但因为时差关系,Apache官方注意到宁为的这封邮件已经是漏洞发酵几个小时之后了,相当于给官方想办法打补丁解决漏洞的时间几乎没有……
于是大家都疯了。
不能说宁为的处理方式不对,因为宁为真的都是按照华夏的法律法规来的。他发现了漏洞,没有用于自己牟利,而是第一时间将漏洞告知了官方跟华夏的网络安全公司,尽可能的为大家减少损失,还不求回报的,已经将好人两个字演绎到了极致,实在不能要求太多了。
但对于Apache官方来说,他们的客户不止在华夏,而是遍及全球……
华夏是反应很快速,但对于华夏境外的企业来说这可并不是一个好消息。
问题还不止于此,等到官方安全部门了解到这件事的前因后果,尤其是看到宁为发的微博之后,最后那句让华夏无数Java程序员们震撼不已的话,深深的刺痛了他们本就已经极为脆弱的心肝脾胃肺……
“……如果您太闲的话,这次让你先忙上一阵,如果下次还在没有任何根据的情况下吐槽宁班,我能让您忙上一整年。”
这是什么意思?
这意思是,因为突发情况,所以宁为先公布了这一个漏洞,如果还有Java程序员继续刺激宁班,他还能用同样的方式公布更多的漏洞?
换句话说,宁为手上掌握的Java漏洞不止这一个,而是很多,有需要随时都能再抛出来?
这消息传开了,谁还敢用Java?手忙脚乱一整年?这得掌握了多少Java的高危漏洞?或者说他们写的不是计算机语言,而是写的漏洞?
看到这话,哪能不让人慌的一匹?甚至表面上稳如老狗的样子都没法做了。
于是,当第二天太阳初升的时候,Apache官方也开始忙碌起来,甲骨文这边也表现出了极高的效率,先是官方的公布了漏洞确实存在,向全世界所有客户告知了安全风险,另一队人则开始拼了命的想办法联系宁为。
宁为的联系方式很好找,很多人都知道宁为的号码,而且有现成的邮箱。
问题在于发邮件宁为不一定会回,打电话他的号码设置了白名单,不在他通讯录内的号码都被无情的直接拦截,根本打不进去。
如果放在华夏,这就是妥妥的临时抱佛脚,平时没烧香导致的惨案。
好在大家的朋友圈或者说双方的通讯录里还是有重合的,辗转找了几位大佬之后,终究还是联系上了宁为。
其实在甲骨文决定让JavaEE开源并免费之后,似乎这项技术就成了不需要成本便能推广的一种计算机主流语言。
但实际上Apache基金会的架构却跟运营的公司没什么区别,内部甚至也有升迁机制。比如基金会下设一个董事会,董事会监督和管理整个基金会,基金会下的每个Apache项目都有一个项目管理委员会来负责具体项目的管理工作。
如果仔细研究董事会的成员就会发现,那些董事、理事很多都在英特尔、IBM、脸书等等这样的大企业担任要职,原因当然是作为开源免费的基金会,他们需要这些大企业的捐款。这些企业捐款的动力则在于影响这些开源软件的发展方向。
比如对于硬件厂商来说,这种影响力极大的开源软件能否更支持自家的硬件?对于微软这样的公司来说,既然这技术已经发展到一定程度,尾大不掉了,不如干脆捐点钱,让Java对自家的软件更友好点,同样也属于双赢。
还有本就没有针对性的利益纷争,比如脸书这样,它也需要用到Apache的软件,但脸书的主要业务是社交,而不是开发服务器,通过捐款来让这个组织为其提供完善的技术其实反到能省下大笔的研发费用。
这也是现在各种开源社区被关注的原因所在,大家都有各自的利益诉求。当然前提是Java能保证目前的地位,有足够多的人使用,才能让保持无数大小厂捐款的动力。
所以不管打通电话时的心情如何,但作为Apache开源基金会目前的负责人,阿伯塔·林恩还是将姿态放的很低的,可以说这是对强者的尊敬,也能说这是对钱的尊敬。
“宁教授,终于联系到您了,可能您不太清楚,我们很多管理员其实都对宁教授非常尊敬……”
很客气的开篇,无数恭维的话像不要钱一样的井喷,甚至最后这位负责人直接抛出了橄榄枝:“其实我们一直期望宁教授能在Apache基金会任职,我在之前一直考虑向您发出邀请,成为我们董事会的一员,我想终生荣誉董事这个身份跟您是匹配的,我们可以共同为维护Java环境而做出贡献,不知道宁教授是否感兴趣?”
坐在办公室里的宁为完全没准备好。
好吧,他在微博上的发言,以及把漏洞通知官方,完全就是为了维护宁班的凝聚力而已,结果现在官方急了……
这让宁为感觉有些好笑,终生荣誉董事?说实话,宁为对这些头衔不太在意。如果想要拿头衔的话,江大那边已经联系他好几次了,希望他去一趟江大,拿个终身特聘荣誉教授的证书,他一直都因为宁班抽不出时间过去。
自然更不会看重这种基金会终身荣誉董事的身份。
“林恩先生,这些事情以后再说吧。说实话,我对Java并不是太懂,也没打算做什么研究,这个董事身份还是算了,你找我到底有什么事?漏洞不是已经提交给你们了吗?”
“宁教授,您太客气了。如果您都对Java没研究……好了,不说这个了。给您打电话的确是有事情,我们非常感谢您能向我们提供Java的高危漏洞,但您知道的,如果Java还有其他的漏洞的话,你可以按照社区公告的方式提交给我们,我们将能按照约定的方式给您提供一笔奖金……”
“哦,还有奖金啊!其实奖金我不太需要的,不过如果有的话,你们到是能以Apache基金会的名义捐献给燕北大学的宁班。放心,这些奖金可以用于宁班的奖学金以及对优秀老师的奖励。我代表宁班的全体师生向Apache基金会表示感谢……”
阿伯塔·林恩:“……”
------------
332 N重误解
阿伯塔·林恩是很想硬气起来的,其实以往他都能很硬气,甚至如果哪位安全专家发现了java想要拿到奖金的时候,基金会都能很硬气。
比如跟宁为探讨一下,如果想要奖金,那漏洞就不能以这种方式曝光;比如他很想告诉宁为要对他们这些开源工作者足够的尊重,他们在全球有着数以百万的客户,有以千万计算的程序员靠他们提供的免费程序生活……
但这些话终于还是活生生的忍住了。
原因其实很多,也许因为他真不知道宁为手上到底是否掌握了很多漏洞,他也无法确定宁为是否到底在借题发挥,他甚至不能确定宁为是不是想推出一款全新的计算机语言,所以先拿Java开刀。
对面那个年轻的学术大家以往的战绩太过辉煌,让他没法硬气起来,在无语过后,也只能顺着宁为的意思说了下去,毕竟如果能花点钱买平安的话,也许是最好的结果。
唯一的问题是,对面燕北大学教授似乎没太听懂他的意思,似乎是在讨要这次Log4j2漏洞的奖金。
说真的,其他漏洞的奖金阿伯塔·林恩肯定愿意给,只要宁为愿意把漏洞提交给他们,他甚至可以不关注宁为提交的材料格式是否规范,但是这个漏洞……
“宁教授,捐款这个好说,但我希望能确定的是,您手上是否还有关于Java其他的漏洞……”
“怎么?你们还想多给我们的宁班捐点款?放心吧,有肯定是有的。真的,我之前也没想到Java的漏洞还是挺多的。如果你们真的肯无私的帮助我们华夏建设教育事业,我也可以再给你们提供一些。”宁为爽朗的说道。
这事一出宁为直接找上三月,自然是知道三月有搜集几乎现在所有主流计算机语言跟软件的漏洞,其中也包括主流的操作系统。只是这事一直停留在让三月进行搜集,宁为还没拿出来用过。
当时搜集这些漏洞其实还是为了更好的推进三月智能平台,那个时候宁为想的其实很简单,让那些大企业加入到三月智能平台的筹建,他们给出现在三月最需要的数据,平台这边当然也要回报给这些企业等值的东西。
帮助这些企业找到深藏在代码中的漏洞,也是算是加入平台的福利了,可谁知道宁为认为这是双赢的局面,可人家都不太领情,于是这些东西三月是收集了,但都没派上用场。
怎么说呢,强人工智能时代,所有人似乎都小看了强人工智能的能力,这让宁为也觉得很无奈。现在这种情况,大概就属于废料利用了。
以宁为现在的身份跟地位,自然不可能干出拿着一堆的漏洞去牟利这种事情,也就是这次事情正好碰上了,不然宁为自己都快忘了还有这么一茬儿。
宁为的话却把阿伯塔·林恩彻底给整不会了。
基金会肯捐款就再多提供一些BUG的意思,在他的理解便是需要基金会先给燕北大学捐款,然后宁为再告诉他们java的一些bug。但这跟流程不符,一般的流程明明应该是,宁为先提交bug,然后由专业的安全人员对bug进行审核,然后按照内部规定确定奖金的等级,然后再把钱打给bug的提供者。
这先捐钱……多少合适?
很想跟宁为说说规矩,但是想到对面似乎就不是个喜欢按条理出牌的大佬,而且随手曝出的漏洞的确太过恐怖,阿伯塔·林恩又犹豫了。
审慎的思考了半晌后,阿伯塔·林恩终究还是决定妥协,说道:“我愿意代表基金会向燕北大学捐款500万美元,宁教授觉得如何?”
“五百万美元?哦,懂了,你们的意思是,我要先给你们漏洞,然后你们才会决定捐多少款的对吧?这五百万美元就是之前我给你们这个漏洞的奖金?对吧?那等会我再给你们发个漏洞详细情况,你看看能捐多少,我心里也好有个数?”宁为问了句。
阿伯塔·林恩无语了……他是真的没想到宁为胃口能这么大,感觉像是在被讹诈。但其实他是真的误会了宁为,如果他跟一些行业内大佬多交流一下,就会知道现在他的许多同胞大佬找上宁为送钱的时候,开口就是以亿为单位,到了他这里张口五百万,着实没能提起宁为太大兴趣。
说白了,这纯粹是胃口被养叼了,又或者说对钱已经没什么概念了,阿伯塔·林恩的同胞们已经成功让宁为产生了一种对岸大公司都极其富有的,说到给钱,那是一个比一个大方。
“不是,宁教授,您可能对漏洞奖金这块有什么误解。实际上按照Password公布的漏洞奖励标准,一般来说0day的高危漏洞最高也就是20万美元的奖金。以谷歌为例,去年全年谷歌在发现漏洞奖励方面的投入也不过700万美元,这已经很多了,微软跟苹果在漏洞奖金方面的花销甚至还要少于谷歌。”
“Apache基金会作为一家为世界许多公司免费提供软件使用的公司,其实在提供漏洞奖励这块更不可能有太多的资金投入。以Java为例,很多漏洞都是我们内部会员免费提供给我们的。这五百万美元的捐款是希望您能将掌握的漏洞都能提前交给我们,让我们能对Java进行更好更有针对性的优化,这也是我们希望对数以百万计的会员负责。”
阿伯塔·林恩苦笑着解释道。
宁为恍然大悟。
他是真从没关心过所谓的漏洞奖金什么的,毕竟他不靠这个发财,只是听了阿伯塔·林恩的话,宁为感叹道:“原来是这样啊!难怪这些公司的产品推出那么多年了,漏洞还那么多,原来这些大公司在漏洞奖金这块的支出这么小气啊?能给黑客带来数以亿计收入的漏洞,奖金最高才给到20万美元?安全专家们找到了漏洞哪有动力去跟那些黑客一起研究这些啊。”
阿伯塔·林恩当然不会告诉宁为,大公司明面上给予的漏洞奖励是一套,同时还有专门的人员在会盯着黑市上直接交易的漏洞。就算他想解释,整个漏洞产业链也是非常复杂的,三言两语又哪里说得清楚?只能耐心的跟宁为科普道:“不不不,宁教授,您不能这么说。毕竟找漏洞拿奖金是完全合法的,值得提倡。利用漏洞牟利放在任何一个法制健全的国家都是非法的,是要受到打击的。这两者真不能放到一起比较。”
宁为兴趣缺缺的说道:“那行吧,五百万就五百万吧。回头我会提供一个有问题的列表发到你们的官方邮箱,当然你们只捐了这么点钱,我也就只能随便截张图给你们了,可能不全,也不会给你们再做演示了。就这样吧,再见,林恩先生。对了,记得这五百万是定向捐给宁班的,别搞错了。”
虽然说市场行情就是这样,但宁为还是觉得索然无味。就好像鸡肋,弃之可惜。不过五百万美元也是好几千万人民币了,用来给宁班发发福利其实也还行。
但想到其他大富豪一般给学校捐款都是上亿上亿的捐出去,他这要点捐款才五百万美元,的确还是有心理落差的。
“等等,要不一千万美元?真的,宁教授,这是我们在修补漏洞这块好几年的预算,都准备拿出来为未来宁班的建设出点力,这……应该差不多了吧?但有一点,以后如果您的团队又发现了其他漏洞,能否按照流程先提交给我们Apache基金会,由官方决定什么时候对外发布?”
“那如果你们一直不更新补上漏洞岂不是漏洞会一直存在?”
“这其实可以定一个给官方反应的日期,比如一个月。如果我们在确认收到您发的漏洞信息之后一个月还没有针对漏洞发布更新补丁,您就可以将这些漏洞提交给其他网络安全公司。”
“那……行吧!一个月的时间虽然长了点,但事情还是要做完美些好。这样,你们把这笔钱捐给宁班之后,我会把我们团队掌握的一些漏洞发到官方的邮箱。”
“您放心,我们马上就会联系燕北大学那边了解捐款渠道,这一千万今天应该就能特批下来,但不能确定什么时候到指定的捐款账户上。您知道的,大笔转账需要些审核的时间。不过我们可以在官网同步宣布这个消息,保证这笔钱能到位的。”
“行吧,那我等会给你们发一份清单过去。就这样吧,我先挂了。”
听到清单两个字,阿伯塔·林恩忍不住抖了抖眉毛,突然觉得这一千万美元花得大概值了。
“好的,再见,宁教授。”
“再见,林恩先生。”
……
不太让人愉悦的一通电话之后,宁为让三月再次调出了Java的漏洞库列表,看了整整五页的内容,干脆让三月按危险度比例挑选了列表中一半的漏洞详情,发给了Apache官方提供的邮箱。
这个数字是很恰当的,完全按照阿伯塔·林恩刚才说的价格来的,起码在宁为看来对得起对方捐赠的那一千万美元了。要找出并整理这些漏洞,还是消耗了三月不少算力的,大家又并非朋友,他当然不可能给基金会做义务工。
等值交换就挺好,谁也不占谁便宜。
但即便如此,当对面接收到邮件的时候,一帮技术人员都愣住了。
这是在开玩笑嘛?
列表里竟然有13个还没发现的高危漏洞?21个中危漏洞以及49个低危漏洞?