作者:一桶布丁
“对了,宁为啊,其实我一直都不建议你太多的使用微博这类的公域社交媒体,以你现在的身份没必要这样。也就是你太年轻了,如果你早点被发现,估计都不会让你注册微博这种东西。”柳唯诚心诚意的说道。
显然他也关注到了昨天网络上的争议,这番话是在劝诫宁为不要受网络上那些言论的影响。
“没事啊,柳哥,你觉得我会在乎网络上那点骂声吗?你也太小看我了,这点小事情根本不可能搞到我的心态。而且我已经出过气了,现在不但没有半点负面情绪,甚至还挺开心的。”宁为满面笑容的答道。
这句话让柳唯变得警惕,手下意识的摸向兜里的手机,嘴角忍不住开始抽起,露出苦笑的样子,问道:“宁为啊,不是吧?你又上微博跟那帮人对线了?”
“哈哈,柳哥,你也太小看我了。我打个不太恰当的比方啊,碰到熊孩子在惹我,难道我不去找家长的麻烦,顺手把孩子给揍一顿?不对,这个比方太不恰当了,这么说吧,路上遇到一条狗咬我,我不去找狗主人的麻烦,难道跟狗斤斤计较?”宁为大笑着说道。
“额?”柳唯愣了愣,凝视着宁为,问道:“所以你刚才又干嘛了?”
“没啥,我就是把我们这个实验室里发现并整理的一些比较重大的硬件、系统跟软件漏洞,按照国际通行的程序先通知了所属的公司,然后把这些漏洞以实验室的名义打包提供给了咱们的安全平台。柳哥,你懂我的,任何事情,咱们都要依法、依规的办,哪怕是心里很不舒服,也绝对不能逾越了规矩。”宁为认真的解释道。
这话说得漂亮,完全没毛病!
柳唯站在原地愣了片刻,很严肃的问道:“所以涉及到多少种产品的BUG,或者说漏洞?”
宁为拿起包子,咬了一口,含糊的说道:“没多少,我照着美股上面科技股跟我这边亲疏顺序挑了几家公司的产品,英特尔、微软、谷歌、甲骨文、脸书、推特、IBM……另外要加上湍流算法那边我让华为通知所有国外公司未来可能不会再续约,并停止提供激活码,加起来受影响的公司正好十三家,据说他们不太喜欢这个数字我就用了。”
“那漏洞等级跟前些天你公布的那个Java漏洞相比还是要弱一些吧?”
“这个……差不多吧?如果按照通用的划分标准,应该都属于同一等级的漏洞,这种问题免不了的。
柳唯点了点头,没继续追问下去,只是表情略有些沉重,大概因为感觉到肩膀上的担子更重了。
“那你有没有想过一种可能,比如围着你咬的就是一些莫名其妙的疯狗,没有主人的?或者说你找麻烦的那些公司跟这件事情本身没什么关系?”
“哦,想过。不过这关我什么事呢?柳哥,咱们做事情不要计较那么多条条框框,我来给你分析一下啊,弗兰德教授去世,我在网上跟大家探讨未来操作系统,这两件毫不相关的事情是谁先联系到一起的?外网上嘛!所以这样做肯定不会误伤的。总不能就为了这么点屁事我还得翻墙去脸书公司去找找他们有没有洗衣粉?那就真的违法了。”
宁为认真的解释道。
完美……
柳唯觉得更没什么好说的了。
其实柳唯这也就是跟鲁东义沟通的少了,如果沟通多些,就会知道这种逻辑属于常规操作。但如果真要从逻辑学的观点深究,宁为其实很讲道理,标准的对等操作。
“嗯,挺好的那你……加油吧,我先去找陈总聊些事情了。”
“聊什么?这么急的吗?”
“陈总好像忘了给研究中心安排一个对外的发言人职位,本来可能觉得暂时不太需要,不过现在看来,应该还是需要的,您觉得呢?”柳唯解释道。
“哦……其实我觉得没啥必要,谁有问题不理就行了。不过如果你们觉得有必要的话,就安排一个吧。”宁为点了点头,答道。
“还是有必要的,时代不同了,这年头出了大事情,总得给大家一个交代。不管心里怎么想的,话场面话总得好听些。我先去了。”
“嗯,去吧,柳哥!”
柳唯说得其实没错,宁为还是把一切想的太简单了。
想想看吧,关于Java一个史诗级漏洞已经闹得天翻地覆了,甚至许多Java程序员还在没日没夜的加着班。同级别的漏洞突然又曝出10多个,而且直接涵盖了世界上几乎所有的主流硬件设备跟大众社交软件,那影响范围有多大,显而易见,有一点是肯定的,很多人要加班了。
……
宁为的电话又打不通了。
之所以要用又字,因为许多相关科技公司的大佬们都有过拨打宁为电话直接被拒的经历。
联系之上后,好歹是被宁为加到通讯录里了,但刚刚接了宁为用飞快的语气曝出的恐怖信息之后,想再打过去,却发现打不通了。
这就很让人懵逼了。
因为大佬们很想跟宁为解释一下,他依据的规则明显是错误的。
按照国际通行的规则应该是安全技术人员或者组织发现了漏洞或者BUG,并不是知会开发者一句就完了,而是应该将漏洞或者BUG的详情都提供给开发者,让开发者能够第一时间进行测试,然后想办法封堵住漏洞。而不是打个电话知会一声,然后将这些漏洞提供给第三方!
但什么没有,什么都没有。
宁为就是告诉了他们自家产品有了严重漏洞,可能引发什么事故,甚至不给他们插嘴多问两句的机会,便直接挂了电话,再打过去电话就打不通了。
能体会大佬们此时想要自爆的情绪吗?
还有大佬第一时间打开了自己的邮箱,甚至打电话询问对外公开的那些收集BUG的邮箱是否收到了新的0DAY漏洞报告,但是都没有!
毫不夸张的说,这一刻,一群大佬想干掉宁为的想法快达到巅峰了。
毕竟如此重大的BUG,如果被提前曝光,自家还没有任何应对措施的话,是很伤商誉的。最重要的是还是可能带来的损失。
尤其是对于英特尔来说,着实有些烦恼。
硬件的漏洞本就难以修复,更别提还是最新的CPU上的,如果真的造成了全球性的安全事故将是一件极为麻烦的事情。
当然对于谷歌、脸书、推特这样的软件公司来说,也很难。
软件漏洞能让人直接查阅用户设置的隐私内容?
开什么玩笑?如果漏洞曝光,他们还没法封堵漏洞,导致大批量用户设置为仅自己可见的隐私内容全都公开在互联网上传播的话,集体诉讼可能是要赔出天文数字的。
尤其是对于脸书、推特的大佬来说,接完宁为的电话更是整个人都不好了。
这两家的产品在华夏市场基本等于零,毕竟通过正常网络基本上无法访问这两家的内容,所以宁为把自家的漏洞提交给华夏网络安全与漏洞信息中心是什么鬼?简单来说,软件或者硬件有漏洞跟BUG并不可怕,可怕的是这些漏洞跟BUG掌握在谁的手里。
偏偏还没人敢不把宁为的电话当回事。
不说宁为已经取得的那些成绩,光是之前曝光了Java漏洞的影响都还没完全散去,而且了解前因后果就会知道,宁为曝光Java的史诗级漏洞只是为了自家学生出气,随手为之,在联想到宁为的实验室里有着世界上最强目前来说也是唯一的强人工智能平台……
可以想象此刻这些大佬们有多纠结。
更烦躁的是,这个时间点卡的真的很好,刚好是下班不久……
此时大佬们还不知道,接到电话的可不止是他们一家。
当然除去这些被突然告知有产品有严重漏洞吓了一跳的大佬们外,以思科为代表的网络设备提供商也是一脸懵的。
华为突然发来的紧急电子公函,突然到让人目瞪口呆?
公函的内容用词还算含蓄,但其实表述的意思就是,湍流算法的开发者宁为教授,因为网络上的污蔑言论心情不好了,所以知会了华为在湍流算法使用权合同到期后不在对外进行授权,停止对外提供激活码……
当然大家也不用太忧心,因为合同期内华为还会是按照合同办事,保证合同期内的激活码不会断供。
唯一的好消息是,之前签订的合同大概还有半年到期。但如果这件事情不解决的话,半年之后怎么办?现在全球网络设备市场,加载湍流算法安全芯片已经是最基本的配置了,曾经那些没有加载湍流算法芯片设备,都以清库存的方式低价卖到了第三世界,换句话说,这一纸公函如果真的实施会直接打乱这些公司的新设备研发计划……
也不能说这些网络设备公司不够努力。
事实上这一年来,许多工程师都在努力剖析着湍流算法的源代码,试图能沟通各种手段反向还原最原始的版本,或者研发出类似功能的产品。只是现在还没有哪家能成功,所以这个时候突然宣布不续约,不是要人命了吗?
更烦的是宁为心情不好了,凭啥要拿他们开刀?哪里有这种道理?好吧,谁特么不长眼睛?惹谁不好,要惹这位最不怕惹事的大佬?这是嫌弃日子过得太好了吗?
一帮人脑瓜子“嗡嗡”的……
而此时脑瓜子“嗡嗡”的还不止这些国外的大佬们,华夏网络安全威胁信息共享平台的技术人员们此时也挺懵的。
……
郭贤明此时心情极为复杂。
作为一位在国家安全技术部门工作的技术人员,从业12年了,他还是第一次见有单位是以打包的形式提交漏洞的,更可怕的是这一个个漏洞还不是同一个平台的,有硬件的,有关于操作系统,有应用软件的……
而且这些硬软件背后还代表着一个个世界五十强科技企业。
更可怕的是,只需要扫一眼这些关于这些漏洞的描述,就会发现这些漏洞随便哪一个曝光出去都是王炸级别的存在,一起曝光出去,足够让互联网被那些黑客们“核平”一段时间了……
在一个专业人士眼光来看,这哪里是一个漏洞包?这特么就是一个炸药包!
如果换个视角,也可以说这是个漏洞包就是一个美元包。
郭贤明很清楚这些漏洞的价值,即便走完全正规的渠道将这些漏洞提供给开发者,以赚取奖励,这些漏洞加起来最少也能有数百万美元。如果走黑产的路子,通过一些非法交易平台将这些漏洞出售大概能赚十倍甚至百倍的利润。
走地下通道赚的钱虽多,但还是得看有没有那个实力花出去,不如走正规平台让人安心。
那么问题来了,虽然说华夏网络安全威胁信息共享平台是一个官方平台,但在世界范围来看依然是个第三方安全漏洞共享平台。而据郭贤明所知,一般来说想从正规渠道赚这些安全漏洞的钱,开发方是会要求漏洞提供者在官方提供更新补丁包解决这些漏洞之前,是不允许提供者向第三方平台透露这些安全漏洞细节的。
这谁啊,数百万美元都说放弃就放弃了?
扫了眼提交单位,华夏前沿智能科技研发实验室,提交人——宁为。
哦,那没问题了。
对于一位动不动就拿上亿出来做各种奖金的亿万富豪来说,几百万美元大概也就是九牛一毛了。
当然看到这个单位跟名字的一瞬间,郭贤明也知道这个漏洞包大概率不是开玩笑了。
所以第一件要做的事情当然是……赶紧把这个炸药包丢出去……虽然这是有生之年系列,但一次性见到如此多的漏洞,郭贤明还真不敢按照之前的步骤将这些漏洞全部分发给共享合作单位……
万一泄露了呢?
就在他准备向上汇报的时候,电话先响了。
“喂,小郭啊,是你在值班吧?今天宁教授是不是给平台上传了一个漏洞包?嗯,好的,不要走常规测试的路子了,会有专门的专家来验证的。专家们马上就到。”
------------
348 信仰
没有任何不舍的情绪,听说有专家组来接手剩下的工作,郭贤明长舒了口气。
在几乎所有信息都需要电子存档的时代,安全漏洞信息共享平台存在的意义在于最大程度的保证互联网不受系统性风险的袭击。尤其是一些重要的资料不会受到因为一些安全漏洞而出现泄漏的风险。
比如刑法层面就专门设置了破坏计算机系统罪。
一次性拿到如此多且影响广泛的漏洞,在郭贤明看来简直是烫手的山芋。这也是他没有第一时间将这些漏洞共享给合作成员的原因,万一哪个环节出了问题,提前泄露了,责任太大,郭贤明自觉担不起来。
现在能把这炸药包甩出去,心情也轻松了许多。
“刘哥,我都还没来得及上报,您怎么就已经知道收到这有漏洞包事儿了?”
“怎么知道的?呵,一大早的好几家公司主动联系上头了,据说把上头都问懵了,刚才张处一个电话打过来,问我这事呢,正好我出差现在不方便登陆,就跟你打声招呼。你看了吗?宁教授提交的漏洞问题很大?”
“我还没测试,不过如果按照关于漏洞的描述,问题的确很大。任何一个漏洞都不比上次宁教授在共享过来的Java漏洞影响小,这样的漏洞有七个。涵盖了英特尔酷睿12代CPU,微软win10系统,谷歌架构内部漏洞,脸书跟推特好几个版本的协议漏洞,还有甲骨文的OracleDesigner更可怕的是还有IBM正在使用的FTMHVP管理系统。都是之前没有曝出过的漏洞,这么说吧,如果现在这些漏洞提前都曝光了,那就真摊上大事了。”
“呼……宁教授这是……算了,我不问了。你等专家来了直接把漏洞包丢给专家去测试吧,这事最好暂时不要外传。”
“行,还好你这个电话打的即时,我差点就要直接给合作伙伴们发警报了。”
“对了,漏洞详情绝对不能外泄,你懂吧?”
“这不是废话嘛……嗯,那个,刘哥,我当然知道详情不能外泄,你的意思是……”
“没啥意思,我就琢磨着吧,那些公司既然已经主动找上门来了,说明还是很重视这事的,所以这些漏洞详细情况绝对不能外泄,张处刚才也专门强调过这个问题了,你,懂了吧?”
“咳咳……懂了,刘哥。”
“嗯,那我先挂了啊。”
“嗯,再见刘哥。”
挂了电话,郭贤明拿起手机,打开微信,考虑了片刻,开始在通讯录找人……
“纪工,最近忙不?”
“嗯?郭巨巨,您今天闲啊,我们还好,隔壁还在加班呢,哈哈!”
“别慌,纪工,你马上也要忙了,加班是肯定的,就看要加多久了!”
“我胆儿小,您别吓我啊,这眼看着都快国庆了,又咋了?”
“嘿嘿……”
“郭大侠,别卖关子啊,到底啥情况?”
“得保密,不能说啊!”
“郭巨巨,郭大侠,做人不能这么不厚道啊,这样,这周末请你去东来顺吃火锅!”
“行吧,不过老纪啊,这也就咱两关系够铁我才跟你提前说声,你可一定得保密,绝对不能外传,知道吗?”
“放心吧,我姓纪的什么人,郭大侠你还不知道吗?全身上下最紧得就是我这张嘴了!”
“我跟你说,燕北大学那位宁教授又发大招了,今天一上班,直接看到这位大佬发来的漏洞包,英特尔的硬件漏洞、win10系统性漏洞、还有IBM、甲骨文、谷歌、脸书、推特……全部中招!而且每一个漏洞都跟他刚曝出的那个Javalog4J2的漏洞等级不相上下,而且还更高,随便一个都能引发系统性安全风险!!!”
“我艹……郭大侠,你确定不是开玩笑?”
“你觉得我一大早闲着没事会跟你开玩笑?”
“宁教授……算了,我服了!彻底服了!要我说数学家就好好研究数学嘛,没事就不能随便跨界!”
“谁说不是呢!记得,千万要保密!”
“放心吧!那,漏洞包能不能传过来了?”
“想屁吃呢!这么大的事肯定要专家充分评估之后才会下发到合作单位,你就等着吧,先有个心理准备!”
“行!”
……