347 炸药包(2 / 2)

科技之锤 一桶布丁 2557 字 2023-07-30

之所以要用又字,因为许多相关科技公司的大佬们都有过拨打宁为电话直接被拒的经历。

联系之上后,好歹是被宁为加到通讯录里了,但刚刚接了宁为用飞快的语气曝出的恐怖信息之后,想再打过去,却发现打不通了。

这就很让人懵逼了。

因为大佬们很想跟宁为解释一下,他依据的规则明显是错误的。

按照国际通行的规则应该是安全技术人员或者组织发现了漏洞或者BUG,并不是知会开发者一句就完了,而是应该将漏洞或者BUG的详情都提供给开发者,让开发者能够第一时间进行测试,然后想办法封堵住漏洞。而不是打个电话知会一声,然后将这些漏洞提供给第三方!

但什么没有,什么都没有。

宁为就是告诉了他们自家产品有了严重漏洞,可能引发什么事故,甚至不给他们插嘴多问两句的机会,便直接挂了电话,再打过去电话就打不通了。

能体会大佬们此时想要自爆的情绪吗?

还有大佬第一时间打开了自己的邮箱,甚至打电话询问对外公开的那些收集BUG的邮箱是否收到了新的0DAY漏洞报告,但是都没有!

毫不夸张的说,这一刻,一群大佬想干掉宁为的想法快达到巅峰了。

毕竟如此重大的BUG,如果被提前曝光,自家还没有任何应对措施的话,是很伤商誉的。最重要的是还是可能带来的损失。

尤其是对于英特尔来说,着实有些烦恼。

硬件的漏洞本就难以修复,更别提还是最新的CPU上的,如果真的造成了全球性的安全事故将是一件极为麻烦的事情。

当然对于谷歌、脸书、推特这样的软件公司来说,也很难。

软件漏洞能让人直接查阅用户设置的隐私内容?

开什么玩笑?如果漏洞曝光,他们还没法封堵漏洞,导致大批量用户设置为仅自己可见的隐私内容全都公开在互联网上传播的话,集体诉讼可能是要赔出天文数字的。

尤其是对于脸书、推特的大佬来说,接完宁为的电话更是整个人都不好了。

这两家的产品在华夏市场基本等于零,毕竟通过正常网络基本上无法访问这两家的内容,所以宁为把自家的漏洞提交给华夏网络安全与漏洞信息中心是什么鬼?简单来说,软件或者硬件有漏洞跟BUG并不可怕,可怕的是这些漏洞跟BUG掌握在谁的手里。

偏偏还没人敢不把宁为的电话当回事。

不说宁为已经取得的那些成绩,光是之前曝光了Java漏洞的影响都还没完全散去,而且了解前因后果就会知道,宁为曝光Java的史诗级漏洞只是为了自家学生出气,随手为之,在联想到宁为的实验室里有着世界上最强目前来说也是唯一的强人工智能平台……

可以想象此刻这些大佬们有多纠结。

更烦躁的是,这个时间点卡的真的很好,刚好是下班不久……

此时大佬们还不知道,接到电话的可不止是他们一家。

当然除去这些被突然告知有产品有严重漏洞吓了一跳的大佬们外,以思科为代表的网络设备提供商也是一脸懵的。

华为突然发来的紧急电子公函,突然到让人目瞪口呆?

公函的内容用词还算含蓄,但其实表述的意思就是,湍流算法的开发者宁为教授,因为网络上的污蔑言论心情不好了,所以知会了华为在湍流算法使用权合同到期后不在对外进行授权,停止对外提供激活码……

当然大家也不用太忧心,因为合同期内华为还会是按照合同办事,保证合同期内的激活码不会断供。

唯一的好消息是,之前签订的合同大概还有半年到期。但如果这件事情不解决的话,半年之后怎么办?现在全球网络设备市场,加载湍流算法安全芯片已经是最基本的配置了,曾经那些没有加载湍流算法芯片设备,都以清库存的方式低价卖到了第三世界,换句话说,这一纸公函如果真的实施会直接打乱这些公司的新设备研发计划……

也不能说这些网络设备公司不够努力。

事实上这一年来,许多工程师都在努力剖析着湍流算法的源代码,试图能沟通各种手段反向还原最原始的版本,或者研发出类似功能的产品。只是现在还没有哪家能成功,所以这个时候突然宣布不续约,不是要人命了吗?

更烦的是宁为心情不好了,凭啥要拿他们开刀?哪里有这种道理?好吧,谁特么不长眼睛?惹谁不好,要惹这位最不怕惹事的大佬?这是嫌弃日子过得太好了吗?

一帮人脑瓜子“嗡嗡”的……

而此时脑瓜子“嗡嗡”的还不止这些国外的大佬们,华夏网络安全威胁信息共享平台的技术人员们此时也挺懵的。

……

郭贤明此时心情极为复杂。

作为一位在国家安全技术部门工作的技术人员,从业12年了,他还是第一次见有单位是以打包的形式提交漏洞的,更可怕的是这一个个漏洞还不是同一个平台的,有硬件的,有关于操作系统,有应用软件的……

而且这些硬软件背后还代表着一个个世界五十强科技企业。

更可怕的是,只需要扫一眼这些关于这些漏洞的描述,就会发现这些漏洞随便哪一个曝光出去都是王炸级别的存在,一起曝光出去,足够让互联网被那些黑客们“核平”一段时间了……

在一个专业人士眼光来看,这哪里是一个漏洞包?这特么就是一个炸药包!

如果换个视角,也可以说这是个漏洞包就是一个美元包。

郭贤明很清楚这些漏洞的价值,即便走完全正规的渠道将这些漏洞提供给开发者,以赚取奖励,这些漏洞加起来最少也能有数百万美元。如果走黑产的路子,通过一些非法交易平台将这些漏洞出售大概能赚十倍甚至百倍的利润。

走地下通道赚的钱虽多,但还是得看有没有那个实力花出去,不如走正规平台让人安心。

那么问题来了,虽然说华夏网络安全威胁信息共享平台是一个官方平台,但在世界范围来看依然是个第三方安全漏洞共享平台。而据郭贤明所知,一般来说想从正规渠道赚这些安全漏洞的钱,开发方是会要求漏洞提供者在官方提供更新补丁包解决这些漏洞之前,是不允许提供者向第三方平台透露这些安全漏洞细节的。

这谁啊,数百万美元都说放弃就放弃了?

扫了眼提交单位,华夏前沿智能科技研发实验室,提交人——宁为。

哦,那没问题了。

对于一位动不动就拿上亿出来做各种奖金的亿万富豪来说,几百万美元大概也就是九牛一毛了。

当然看到这个单位跟名字的一瞬间,郭贤明也知道这个漏洞包大概率不是开玩笑了。

所以第一件要做的事情当然是……赶紧把这个炸药包丢出去……虽然这是有生之年系列,但一次性见到如此多的漏洞,郭贤明还真不敢按照之前的步骤将这些漏洞全部分发给共享合作单位……

万一泄露了呢?

就在他准备向上汇报的时候,电话先响了。

“喂,小郭啊,是你在值班吧?今天宁教授是不是给平台上传了一个漏洞包?嗯,好的,不要走常规测试的路子了,会有专门的专家来验证的。专家们马上就到。”