科技之錘 347 炸藥包

電話打了十多通，三月是全程見證者。

當(dāng)然也可以如此評(píng)價(jià)，寧為來到實(shí)驗(yàn)室的前兩天，正事暫時(shí)還沒干一件，實(shí)驗(yàn)室的各種儀器跟設(shè)備還沒來得及動(dòng)，但已經(jīng)為實(shí)驗(yàn)室創(chuàng)造了不少效益——網(wǎng)絡(luò)安全方面的效益。

除了貼心的告知那些硬件制造商、操作系統(tǒng)提供商跟云服務(wù)商之外，寧為還很善解人意的告知了臉書、推特這些第三方應(yīng)用可能造成的隱私大范圍泄露漏洞，比如能讓攻擊者輕松看到用戶在臉書跟推特上被設(shè)置為隱秘的內(nèi)容。

然后寧為合法合規(guī)的將這些漏洞全部打包給了華夏官方的網(wǎng)絡(luò)安全威脅跟漏洞信息平臺(tái)。

接下來就沒他什么事了。

按照既定規(guī)則，平臺(tái)會(huì)在收到并確定這些漏洞真實(shí)存在后，共享給與平臺(tái)合作的各大網(wǎng)絡(luò)安全公司，盡快修補(bǔ)這些漏洞，最大程度的保證華夏整體網(wǎng)絡(luò)的安全性。

隨后寧為也明顯感覺到心情開朗了許多，這足以證明情緒守恒定律是多么正確，這應(yīng)該足夠說明肯定有人此時(shí)心情不太美麗了。

真要說起來，寧為的處理方式很沒道理。

沒有任何證據(jù)證明這些大公司參與了昨天網(wǎng)絡(luò)上那場(chǎng)盛大的狂歡，如果一定要說誰該負(fù)責(zé)任的話，應(yīng)該是那些無良的媒體。

但寧為顯然不這么認(rèn)為，主要是他沒那個(gè)本事也沒工夫去跟媒體們講道理不是？

或者說跟媒體打交道本就不是寧為擅長的領(lǐng)域，所以干脆把復(fù)雜的事情簡單化吧，誰的臉順手就打誰的臉，才是王道。

“砰砰砰……”

寧為剛剛將匯報(bào)給各大公司的所有漏洞全部打包遞交給了華夏官方網(wǎng)絡(luò)安全威脅跟漏洞信息平臺(tái)，房門便被敲響，便連忙應(yīng)了聲：“請(qǐng)進(jìn)。”

沒有任何意外的，這個(gè)時(shí)候推門進(jìn)來的柳唯，手里還拎著給他帶的早餐。

看到寧為穿戴整齊的坐在電腦旁，柳唯明顯還愣了愣，大概是以為寧為還沒起床。

“起來了？”

“是啊，早起來了，剛剛還以實(shí)驗(yàn)室的名義做了很多事?！睂帪辄c(diǎn)了點(diǎn)頭，答道。

“哦！”柳唯沒多想，將手中提的袋子遞了過去：“剛?cè)ナ程贸燥垼槺憬o你帶了包子跟豆?jié){?！?p/> “辛苦你了啊，柳哥?！睂帪楦锌司洹?p/> 說起來，柳唯給寧為帶飯的時(shí)候可不多，記憶中這還是第一次。到不是柳唯高冷到不屑于做這種事，而是不在這種特殊的地方，柳唯幾乎是跟他寸步不離。

即便是寧為回家了，柳唯也就住在旁邊一棟，隨叫隨到的，自然沒法做帶飯這種事情。所以寧為的感覺并不是帶了這頓早餐，而是平常柳唯都沒什么時(shí)間自己去吃早餐。

“其實(shí)真談不上辛苦，挺清閑還差不多，我都快把古龍全集看完了?！绷ê苤锌系脑u(píng)價(jià)了一番自己的工作。能這么清閑主要得感謝寧為不喜歡出門亂跑，大部分時(shí)間都是呆在燕北大學(xué)數(shù)學(xué)研究中心里。

“對(duì)了，寧為啊，其實(shí)我一直都不建議你太多的使用微博這類的公域社交媒體，以你現(xiàn)在的身份沒必要這樣。也就是你太年輕了，如果你早點(diǎn)被發(fā)現(xiàn)，估計(jì)都不會(huì)讓你注冊(cè)微博這種東西?！绷ㄕ\心誠意的說道。

顯然他也關(guān)注到了昨天網(wǎng)絡(luò)上的爭議，這番話是在勸誡寧為不要受網(wǎng)絡(luò)上那些言論的影響。

“沒事啊，柳哥，你覺得我會(huì)在乎網(wǎng)絡(luò)上那點(diǎn)罵聲嗎？你也太小看我了，這點(diǎn)小事情根本不可能搞到我的心態(tài)。而且我已經(jīng)出過氣了，現(xiàn)在不但沒有半點(diǎn)負(fù)面情緒，甚至還挺開心的?！睂帪闈M面笑容的答道。

這句話讓柳唯變得警惕，手下意識(shí)的摸向兜里的手機(jī)，嘴角忍不住開始抽起，露出苦笑的樣子，問道：“寧為啊，不是吧？你又上微博跟那幫人對(duì)線了？”

“哈哈，柳哥，你也太小看我了。我打個(gè)不太恰當(dāng)?shù)谋确桨?，碰到熊孩子在惹我，難道我不去找家長的麻煩，順手把孩子給揍一頓？不對(duì)，這個(gè)比方太不恰當(dāng)了，這么說吧，路上遇到一條狗咬我，我不去找狗主人的麻煩，難道跟狗斤斤計(jì)較？”寧為大笑著說道。

“額？”柳唯愣了愣，凝視著寧為，問道：“所以你剛才又干嘛了？”

“沒啥，我就是把我們這個(gè)實(shí)驗(yàn)室里發(fā)現(xiàn)并整理的一些比較重大的硬件、系統(tǒng)跟軟件漏洞，按照國際通行的程序先通知了所屬的公司，然后把這些漏洞以實(shí)驗(yàn)室的名義打包提供給了咱們的安全平臺(tái)。柳哥，你懂我的，任何事情，咱們都要依法、依規(guī)的辦，哪怕是心里很不舒服，也絕對(duì)不能逾越了規(guī)矩?！睂帪檎J(rèn)真的解釋道。

這話說得漂亮，完全沒毛病！

柳唯站在原地愣了片刻，很嚴(yán)肅的問道：“所以涉及到多少種產(chǎn)品的BUG，或者說漏洞？”

寧為拿起包子，咬了一口，含糊的說道：“沒多少，我照著美股上面科技股跟我這邊親疏順序挑了幾家公司的產(chǎn)品，英特爾、微軟、谷歌、甲骨文、臉書、推特、IBM……另外要加上湍流算法那邊我讓華為通知所有國外公司未來可能不會(huì)再續(xù)約，并停止提供激活碼，加起來受影響的公司正好十三家，據(jù)說他們不太喜歡這個(gè)數(shù)字我就用了。”

“那漏洞等級(jí)跟前些天你公布的那個(gè)Java漏洞相比還是要弱一些吧？”

“這個(gè)……差不多吧？如果按照通用的劃分標(biāo)準(zhǔn)，應(yīng)該都屬于同一等級(jí)的漏洞，這種問題免不了的。

柳唯點(diǎn)了點(diǎn)頭，沒繼續(xù)追問下去，只是表情略有些沉重，大概因?yàn)楦杏X到肩膀上的擔(dān)子更重了。

“那你有沒有想過一種可能，比如圍著你咬的就是一些莫名其妙的瘋狗，沒有主人的？或者說你找麻煩的那些公司跟這件事情本身沒什么關(guān)系？”

“哦，想過。不過這關(guān)我什么事呢？柳哥，咱們做事情不要計(jì)較那么多條條框框，我來給你分析一下啊，弗蘭德教授去世，我在網(wǎng)上跟大家探討未來操作系統(tǒng)，這兩件毫不相關(guān)的事情是誰先聯(lián)系到一起的？外網(wǎng)上嘛！所以這樣做肯定不會(huì)誤傷的。總不能就為了這么點(diǎn)屁事我還得翻墻去臉書公司去找找他們有沒有洗衣粉？那就真的違法了。”

寧為認(rèn)真的解釋道。

完美……

柳唯覺得更沒什么好說的了。

其實(shí)柳唯這也就是跟魯東義溝通的少了，如果溝通多些，就會(huì)知道這種邏輯屬于常規(guī)操作。但如果真要從邏輯學(xué)的觀點(diǎn)深究，寧為其實(shí)很講道理，標(biāo)準(zhǔn)的對(duì)等操作。

“嗯，挺好的那你……加油吧，我先去找陳總聊些事情了。”

“聊什么？這么急的嗎？”

“陳總好像忘了給研究中心安排一個(gè)對(duì)外的發(fā)言人職位，本來可能覺得暫時(shí)不太需要，不過現(xiàn)在看來，應(yīng)該還是需要的，您覺得呢？”柳唯解釋道。

“哦……其實(shí)我覺得沒啥必要，誰有問題不理就行了。不過如果你們覺得有必要的話，就安排一個(gè)吧。”寧為點(diǎn)了點(diǎn)頭，答道。

“還是有必要的，時(shí)代不同了，這年頭出了大事情，總得給大家一個(gè)交代。不管心里怎么想的，話場(chǎng)面話總得好聽些。我先去了?！?p/> “嗯，去吧，柳哥！”

柳唯說得其實(shí)沒錯(cuò)，寧為還是把一切想的太簡單了。

想想看吧，關(guān)于Java一個(gè)史詩級(jí)漏洞已經(jīng)鬧得天翻地覆了，甚至許多Java程序員還在沒日沒夜的加著班。同級(jí)別的漏洞突然又曝出10多個(gè)，而且直接涵蓋了世界上幾乎所有的主流硬件設(shè)備跟大眾社交軟件，那影響范圍有多大，顯而易見，有一點(diǎn)是肯定的，很多人要加班了。

寧為的電話又打不通了。

之所以要用又字，因?yàn)樵S多相關(guān)科技公司的大佬們都有過撥打?qū)帪殡娫捴苯颖痪艿慕?jīng)歷。

聯(lián)系之上后，好歹是被寧為加到通訊錄里了，但剛剛接了寧為用飛快的語氣曝出的恐怖信息之后，想再打過去，卻發(fā)現(xiàn)打不通了。

這就很讓人懵逼了。

因?yàn)榇罄袀兒芟敫鷮帪榻忉屢幌?，他依?jù)的規(guī)則明顯是錯(cuò)誤的。

按照國際通行的規(guī)則應(yīng)該是安全技術(shù)人員或者組織發(fā)現(xiàn)了漏洞或者BUG，并不是知會(huì)開發(fā)者一句就完了，而是應(yīng)該將漏洞或者BUG的詳情都提供給開發(fā)者，讓開發(fā)者能夠第一時(shí)間進(jìn)行測(cè)試，然后想辦法封堵住漏洞。而不是打個(gè)電話知會(huì)一聲，然后將這些漏洞提供給第三方！

但什么沒有，什么都沒有。

寧為就是告訴了他們自家產(chǎn)品有了嚴(yán)重漏洞，可能引發(fā)什么事故，甚至不給他們插嘴多問兩句的機(jī)會(huì)，便直接掛了電話，再打過去電話就打不通了。

能體會(huì)大佬們此時(shí)想要自爆的情緒嗎？

還有大佬第一時(shí)間打開了自己的郵箱，甚至打電話詢問對(duì)外公開的那些收集BUG的郵箱是否收到了新的0DAY漏洞報(bào)告，但是都沒有！

毫不夸張的說，這一刻，一群大佬想干掉寧為的想法快達(dá)到巔峰了。

畢竟如此重大的BUG，如果被提前曝光，自家還沒有任何應(yīng)對(duì)措施的話，是很傷商譽(yù)的。最重要的是還是可能帶來的損失。

尤其是對(duì)于英特爾來說，著實(shí)有些煩惱。

硬件的漏洞本就難以修復(fù)，更別提還是最新的CPU上的，如果真的造成了全球性的安全事故將是一件極為麻煩的事情。

當(dāng)然對(duì)于谷歌、臉書、推特這樣的軟件公司來說，也很難。

軟件漏洞能讓人直接查閱用戶設(shè)置的隱私內(nèi)容？

開什么玩笑？如果漏洞曝光，他們還沒法封堵漏洞，導(dǎo)致大批量用戶設(shè)置為僅自己可見的隱私內(nèi)容全都公開在互聯(lián)網(wǎng)上傳播的話，集體訴訟可能是要賠出天文數(shù)字的。

尤其是對(duì)于臉書、推特的大佬來說，接完寧為的電話更是整個(gè)人都不好了。

這兩家的產(chǎn)品在華夏市場(chǎng)基本等于零，畢竟通過正常網(wǎng)絡(luò)基本上無法訪問這兩家的內(nèi)容，所以寧為把自家的漏洞提交給華夏網(wǎng)絡(luò)安全與漏洞信息中心是什么鬼？簡單來說，軟件或者硬件有漏洞跟BUG并不可怕，可怕的是這些漏洞跟BUG掌握在誰的手里。

偏偏還沒人敢不把寧為的電話當(dāng)回事。

不說寧為已經(jīng)取得的那些成績，光是之前曝光了Java漏洞的影響都還沒完全散去，而且了解前因后果就會(huì)知道，寧為曝光Java的史詩級(jí)漏洞只是為了自家學(xué)生出氣，隨手為之，在聯(lián)想到寧為的實(shí)驗(yàn)室里有著世界上最強(qiáng)目前來說也是唯一的強(qiáng)人工智能平臺(tái)……

可以想象此刻這些大佬們有多糾結(jié)。

更煩躁的是，這個(gè)時(shí)間點(diǎn)卡的真的很好，剛好是下班不久……

此時(shí)大佬們還不知道，接到電話的可不止是他們一家。

當(dāng)然除去這些被突然告知有產(chǎn)品有嚴(yán)重漏洞嚇了一跳的大佬們外，以思科為代表的網(wǎng)絡(luò)設(shè)備提供商也是一臉懵的。

華為突然發(fā)來的緊急電子公函，突然到讓人目瞪口呆？

公函的內(nèi)容用詞還算含蓄，但其實(shí)表述的意思就是，湍流算法的開發(fā)者寧為教授，因?yàn)榫W(wǎng)絡(luò)上的污蔑言論心情不好了，所以知會(huì)了華為在湍流算法使用權(quán)合同到期后不在對(duì)外進(jìn)行授權(quán)，停止對(duì)外提供激活碼……

當(dāng)然大家也不用太憂心，因?yàn)楹贤趦?nèi)華為還會(huì)是按照合同辦事，保證合同期內(nèi)的激活碼不會(huì)斷供。

唯一的好消息是，之前簽訂的合同大概還有半年到期。但如果這件事情不解決的話，半年之后怎么辦？現(xiàn)在全球網(wǎng)絡(luò)設(shè)備市場(chǎng)，加載湍流算法安全芯片已經(jīng)是最基本的配置了，曾經(jīng)那些沒有加載湍流算法芯片設(shè)備，都以清庫存的方式低價(jià)賣到了第三世界，換句話說，這一紙公函如果真的實(shí)施會(huì)直接打亂這些公司的新設(shè)備研發(fā)計(jì)劃……

也不能說這些網(wǎng)絡(luò)設(shè)備公司不夠努力。

事實(shí)上這一年來，許多工程師都在努力剖析著湍流算法的源代碼，試圖能溝通各種手段反向還原最原始的版本，或者研發(fā)出類似功能的產(chǎn)品。只是現(xiàn)在還沒有哪家能成功，所以這個(gè)時(shí)候突然宣布不續(xù)約，不是要人命了嗎？

更煩的是寧為心情不好了，憑啥要拿他們開刀？哪里有這種道理？好吧，誰特么不長眼睛？惹誰不好，要惹這位最不怕惹事的大佬？這是嫌棄日子過得太好了嗎？

一幫人腦瓜子“嗡嗡”的……

而此時(shí)腦瓜子“嗡嗡”的還不止這些國外的大佬們，華夏網(wǎng)絡(luò)安全威脅信息共享平臺(tái)的技術(shù)人員們此時(shí)也挺懵的。

郭賢明此時(shí)心情極為復(fù)雜。

作為一位在國家安全技術(shù)部門工作的技術(shù)人員，從業(yè)12年了，他還是第一次見有單位是以打包的形式提交漏洞的，更可怕的是這一個(gè)個(gè)漏洞還不是同一個(gè)平臺(tái)的，有硬件的，有關(guān)于操作系統(tǒng)，有應(yīng)用軟件的……

而且這些硬軟件背后還代表著一個(gè)個(gè)世界五十強(qiáng)科技企業(yè)。

更可怕的是，只需要掃一眼這些關(guān)于這些漏洞的描述，就會(huì)發(fā)現(xiàn)這些漏洞隨便哪一個(gè)曝光出去都是王炸級(jí)別的存在，一起曝光出去，足夠讓互聯(lián)網(wǎng)被那些黑客們“核平”一段時(shí)間了……

在一個(gè)專業(yè)人士眼光來看，這哪里是一個(gè)漏洞包？這特么就是一個(gè)炸藥包！

如果換個(gè)視角，也可以說這是個(gè)漏洞包就是一個(gè)美元包。

郭賢明很清楚這些漏洞的價(jià)值，即便走完全正規(guī)的渠道將這些漏洞提供給開發(fā)者，以賺取獎(jiǎng)勵(lì)，這些漏洞加起來最少也能有數(shù)百萬美元。如果走黑產(chǎn)的路子，通過一些非法交易平臺(tái)將這些漏洞出售大概能賺十倍甚至百倍的利潤。

走地下通道賺的錢雖多，但還是得看有沒有那個(gè)實(shí)力花出去，不如走正規(guī)平臺(tái)讓人安心。

那么問題來了，雖然說華夏網(wǎng)絡(luò)安全威脅信息共享平臺(tái)是一個(gè)官方平臺(tái)，但在世界范圍來看依然是個(gè)第三方安全漏洞共享平臺(tái)。而據(jù)郭賢明所知，一般來說想從正規(guī)渠道賺這些安全漏洞的錢，開發(fā)方是會(huì)要求漏洞提供者在官方提供更新補(bǔ)丁包解決這些漏洞之前，是不允許提供者向第三方平臺(tái)透露這些安全漏洞細(xì)節(jié)的。

這誰啊，數(shù)百萬美元都說放棄就放棄了？

掃了眼提交單位，華夏前沿智能科技研發(fā)實(shí)驗(yàn)室，提交人——寧為。

哦，那沒問題了。

對(duì)于一位動(dòng)不動(dòng)就拿上億出來做各種獎(jiǎng)金的億萬富豪來說，幾百萬美元大概也就是九牛一毛了。

當(dāng)然看到這個(gè)單位跟名字的一瞬間，郭賢明也知道這個(gè)漏洞包大概率不是開玩笑了。

所以第一件要做的事情當(dāng)然是……趕緊把這個(gè)炸藥包丟出去……雖然這是有生之年系列，但一次性見到如此多的漏洞，郭賢明還真不敢按照之前的步驟將這些漏洞全部分發(fā)給共享合作單位……

萬一泄露了呢？

就在他準(zhǔn)備向上匯報(bào)的時(shí)候，電話先響了。

“喂，小郭啊，是你在值班吧？今天寧教授是不是給平臺(tái)上傳了一個(gè)漏洞包？嗯，好的，不要走常規(guī)測(cè)試的路子了，會(huì)有專門的專家來驗(yàn)證的。專家們馬上就到。”