就五眼联盟发布Log4j漏洞联合公告的一点联想

51CTO社区编辑加盟指南，欢迎关注！

众所周知，以美国为首集合英国、澳大利亚、加拿大、新西兰组建的情报共享联盟，也就是我们常说的“五眼联盟”。上周三，五眼联盟的网络安全机构发布了一份联合公告，目的是共同应对恶意对手广泛利用 Apache Log4j 软件库中的多个漏洞。

在这里，阴谋论一下。曾经美国的情报机构被维基解密公布了大量的网络武器，在一段时间内我一直关注着维基解密这个网站，其中对美国CIA开发存储的Vault 7系列网络武器进行了报道。所以，在网络武器研发与保有量上，我们有理由相信，五眼联盟的成员国每一个都是大户，在其共享的基础上，我们更有理由相信，他们组成了最大的黑客合法“黑帮”。

有时，五眼联盟个别成员还时不时的拉上以色列，玩不完的猫腻。其中大家耳熟能详的“震网”蠕虫病毒，就是美以杰作。

回到Log4j漏洞，在最近工信部对阿里的处罚中，我们看到其实这次阿里某种意义上，为国外的情报机构递了把刀，让国外的情报机构整整在中国的网络中肆无忌惮半个月。西方情报组织是否早就掌握这个漏洞未尝可知，毕竟高端的网络武器，西方情报机构是不轻易示人的，如永恒之蓝、Vault 7、Vault 8,都是存在很长一段时间了。只是阿里把这事给西方情报机构捅出来了，所以网上说阿里两头不落好，从这个角度看，是极有可能的，美国不见得乐意接收阿里的一片“忠诚”。

退一步讲，就算西方情报机构未掌握这个漏洞，但在阿里上报给阿帕奇基金会，而阿帕奇基金会则第一时间上报给美国情报机构，否则欧美各国政府不可能先于中国政府发出警告，而这个时间差既是厂家抓紧时间修复漏洞的最佳时机，也是情报机构研制黑客工具的最佳时机，因为在这个时间段它某种意义上还是“0Day”，其破坏性是毋庸置疑的。这也从侧面说明，美国的组织在遵循其国家有关漏洞相关要求时，是非常积极配合的。

阿里此次“失误”，要么是阿里不尊重国家相关法律法规，故意为之;要么是内部管理混乱，出现这种低级错误。所以，我们该怀疑其居心还是怀疑其内部管理混乱呢?套用一句时髦的话大家“联想”吧!

本文转载自微信公众号「祺印说信安」，作者何威风。转载本文请联系祺印说信安公众号。