引发全球行业震荡的阿帕奇(Apache) Log4j漏洞被曝出后,业界对开源软件安全问题的大讨论与反思也从未停止,由漏洞引发的数字安全隐患也日趋备受关注。对此,美国政府日前在白宫召开开源软件安全峰会,聚集了谷歌、苹果、亚马逊、微软和其他主要科技组织,就“防止代码和开源包中的安全缺陷和漏洞、改进发现缺陷和修复的过程、缩短发布和实施修复程序的响应时间”等一系列具体问题展开讨论。
Log4j漏洞也被认为是近年来最严重的软件安全漏洞之一。公开报道显示,Log4j是一种被世界各组织和企业广泛使用的开源日志组件工具,黑客可以利用其漏洞在受影响的系统上安装恶意软件,在全球计算机领域酿成巨大的安全危机。Log4j漏洞被披露后,仅数天时间就产生了数十万次针对该漏洞的网络攻击。
此前,工信部在发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》中指出,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。此外,三六零(股票代码:601360.SH,以下简称360)安全团队也在第一时间推出终端网络层拦截工具,率先对该漏洞进行拦截。
早在Log4j漏洞被曝出前,360公司创始人周鸿祎就曾在多个场合提出“一切皆可编程,漏洞无处不在”的观点,呼吁人们重视漏洞引发的数字安全隐患。他认为,数字化应用只要是人编写的,都不可避免会存在安全漏洞,甚至新技术用得越多,漏洞就越多,安全隐患就越大,“每千行代码中就有4-6个安全缺陷,开源软件广泛使用、漏洞众多,每个代码库约有158个漏洞。”对此,360成立了国内首个开源漏洞响应平台“360BugCloud”,累计收录开源通用软件漏洞高危率高达98%,守护了涉及政府、企事业等百家单位,覆盖能源、交通、医疗、通信等诸多关键行业领域。
随着数字安全元年来临,在“万物均要互联”的趋势下,针对虚拟世界的攻击则能够直接转换为物理世界的伤害,尤其是智能网联车成长为新的万亿市场,也为车联网安全带来严峻挑战。据国际媒体日前报道,德国一名19岁的黑客大卫·科伦坡自称用电脑技术发现了特斯拉汽车系统的漏洞,通过该漏洞,他已成功控制了全球13个国家的25辆特斯拉汽车,可以让这些汽车开关车窗、车门、汽车大灯、播放音乐或者在不用汽车钥匙的情况下直接发动汽车。
大卫·科伦坡对此在网上写道:“我认为如果有人能够在你在高速公路上远程播放全音量音乐或打开门窗,那是相当危险的。即使不停地闪烁车灯,也可能对其他驾驶员产生一些危险影响。”
智能网联车的安全问题事关车主的隐私和生命安全,因此无法回避。据工业和信息化部信息显示,目前已收录的车联网安全漏洞信息达2000多条,仅2021年上半年,针对有关平台的恶意攻击行为就已超过100万次,同比增长80%。
在周鸿祎看来,漏洞的挖掘和发现具有一定的偶然性,需要集合民间智慧,要及时发现和修复漏洞,就离不开数字安全企业和民间安全研究的力量。因此,他建议国家从政策层面鼓励政企单位与专业的数字安全企业深度合作,或采用众测众包方式,充分发动民间力量发现和收集漏洞,提高数字安全整体防护能力。在今年1月,360车联网安全研究院(Sky-go)携手360漏洞云漏洞众包响应平台重磅推出“车联网安全守护之赏金计划”,致力于聚合全球白帽力量,为汽车制造商、智能网联汽车产业链相关企业提供一站式漏洞管理。
作为数字安全领域的引领者,360一直将自己视作一股重要的民间力量,在构建数字安全防线方面发挥着重要作用。早在2019年12月,360公司就和奔驰汽车合作,并在当时为奔驰智能网联汽车修复了19个有关的潜在漏洞。
此外,按照360“车联网安全守护之赏金计划”公布的“线路图”,360将依托其漏洞云聚集的专业安全白帽专家,帮助车企建立SaaS化车联网SRC安全应急响应中心,围绕漏洞生态体系打造集漏洞情报、漏洞挖掘、专家响应、安全服务定制化于一体的漏洞生态安全服务平台,为车企提供优质的漏洞情报订阅、可控的安全众包服务、及时的漏洞响应及经验丰富的安全专家运营服务,从而帮助车企提升漏洞发现和漏洞响应的速度。