常看脱口秀的人都知道，“宇宙的尽头是铁岭”。

可对于不看脱口秀的人来说，比如我的三舅姥爷，宇宙的尽头也许就是村口的麻将桌。

所以，李雪琴说的这句话只是部分的真理，只在部分人身上起效。

病毒和漏洞却不同。

不管你爱不爱它，它就在那里，不增不减；

不管你看不看它，它就在那里，不悲不喜。

所有的安全漏洞，不管你知不知道、爱它还是骂它，它一定沿着变现效率最高的轨道飞奔。

就今年的情况来看，所有漏洞的归宿，不是用你的服务器挖矿，就是成为勒索病毒的一部分。

史诗级漏洞log4j2

作为一个专门写安全的作者，我非常不喜欢把一个病毒写的非常浪漫，什么“史上最强”、“核弹级”，病毒就是病毒，没有善良的病毒。

充其量，可以把它叫做“影响最严重的漏洞”。

没事瞎浪漫是一种病，老外喜欢这么干。

log4j是一种日志软件，用于服务器记录日志。

log4j 2就是这种软件的更新版本，2是版本号。

log4j 2在写日志的时候，对于输入的特殊字符没有进行检查，如果输入的字符恰好跟内部命令一致，那普通用户输入的特殊符号，也可以得到服务器的执行。

比如，有人在百度搜索框搜“${”打头的词，就可以入侵服务器。当然，他们当天就修复了。下图是修复之后的页面：

12月10号，好多公司的服务器都存在这个漏洞，聊天框、搜索框、游戏中的聊天框……等等地方都有奇怪的东西被输入……

百度搜索，苹果iCloud，微软“我的世界”游戏等等，先后都被发现有问题。

因为漏洞出现在log4j的第二个版本上，于是，大家都把这个漏洞叫做log4j2。

你看，我这么一解释，马上这个漏洞为啥这么命名，清晰又明确……

最穷的正版，和最富的漏洞

马克思同志说过，世界上的一切，都可以用“物质决定意识”来解释。

这个漏洞也是如此，物质真的能够决定意识。

被各大公司应用如此广泛的log4j，居然是只有一个全职作者的开源项目；

在本次事件爆出之前，只有3个人，曾经捐助过此项目；

我把他叫做最穷的正版，应该没人有异议吧。

当然，开源项目是没有“版权”的，只要你敢用，就随便拿去用。

一旦它被广泛运用，出现了安全问题，则修复的成本，以及黑客带来的损失，则数万倍、数百万倍的高于他自身的成本。

2021年5月，美国油气管道运营商、科洛尼尔公司遭到勒索病毒攻击，为了尽快恢复正常，公司支付了价值230万美元的比特币（后又被追回）

这只是黑客组织用来勒索商业公司的一个案例。

12月11日，360安全大脑监测到有黑客利用Log4j 2漏洞对Minecraft（游戏名称“我的世界”）Java版发起大规模攻击，最高峰时段每小时有超过10000个玩家遭到了攻击.

13日，深信服监测到tellyouthepass勒索病毒，正在利用log4j2漏洞进行攻击，而且遭到攻击的都是某OA系统。（sima注：我怀疑是该OA系统集成了log4j2软件模块）目前看到的是该病毒可以攻击linux和windows双系统的服务器，暂未发现局域网内横向传播的功能。

无论针对服务器，还是针对个人用户，最利于变现的就是“加密敏感数据后索取赎金”，因此，目前看到利用该漏洞进行攻击的病毒和黑客，要么是入侵服务器后加密数据，进而勒索；要么是入侵后释放恶意代码，用来挖矿（利用服务器的计算资源挖虚拟币）。

这样，就出现一个悖论：越穷的开源项目，被利用的越广泛，如果出现漏洞，则可能带来越大的损失。

也就是“最穷的正版，和最富的漏洞”。

狂欢终会过去，安全还未到来

每次出现这种大型的病毒、漏洞、安全事件，对于业内都是一种另类的狂欢；对于业外，却是难得的安全教育机会。

人们会换一个视角审视自己身边的世界：

1、应用越广泛的软件，理应带来越大的商业价值，为什么你认为可以永远免费用下去？

2、那些使用log4j软件的大公司，他们为作者捐助了吗？如果没有，为什么？

3、到底是什么支撑着数万亿美金的高科技产业，是合理付费还是忠于梦想？如果微软这样的商业软件出现类似漏洞，你猜会不会出现这么严重的问题？

4、如果有最终用户因为该漏洞受害而支付赎金，原因是某公司的云服务使用了带有漏洞的插件，该用户应不应该索赔，该向谁索赔？

多问几个为什么，世界也许变得更好，也许不会。