硬核观察 #487 带有有安全缺陷的 Log4J 的火星直升机
带有有安全缺陷的 Log4J 的火星直升机
灵巧号火星直升机在 12 月 5 日的第 17 次飞行中飞行了 30 分钟,这创造了新的记录。但在飞行结束时,直升机向地面下降时,飞行中的数据流意外地被切断。而之前 Apache 基金会曾骄傲地宣称灵巧号的软件里有 Log4J,因此人们怀疑是不是火星直升机也受到了该漏洞影响。不过,Log4J 漏洞披露于 12 月 9 日,而飞行活动发生在 5 日,这两个事件 完全没有联系。即便有可能,利用火星上的 Log4J 漏洞的概率也微乎其微:要攻击机器,必须将特别制作的文本发送到硬件上,并由有漏洞的库记录下来。要发生这种情况,除非内部人才能做到。
老王点评:虽然现在的飞行器处于隔离的网络环境中,但是也不好说完全不受到安全漏洞影响。而更可怕的是,将来跨越太空的网络攻击可能离我们不远了。
明年有望在苹果 M1 芯片上见到日常可用的 Linux
旨在为苹果 M1 芯片提供 Linux 支持的 Asahi Linux 项目已经完成了 许多目标。Linux 5.17 带来了更多的苹果 M1 驱动,但现在的状况还没有为最终用户做好准备。他们已经支持了触摸板和键盘,对音频播放、耳机插孔等也提供了补丁。不仅是原始的 M1,还有对最近的 M1 Pro 和 M1 Max 的支持工作。但仍需解决的工作包括 CPU 频率缩放、系统睡眠和 CPU 深度睡眠支持、完善 NVMe 存储、WiFi 驱动等补丁,以及 GPU 加速和各种固件问题。2022 年有望完成更多工作,以便在苹果 M1 硬件上形成一个日常可用的 Linux 系统。
老王点评:这就是开源的力量。但是我好奇的是,为什么苹果一直装聋作哑。
明年勒索软件的状况将更糟糕
勒索软件现在是企业的主要威胁,而安全专家认为这种犯罪 在未来将更严重。在过去的几年里,勒索软件运营商从无组织的团伙和个人,发展到针对从中小企业到软件供应链的各个层面的、高度复杂的运营机构和各个独立团队间的合作。勒索软件感染不再是网络攻击的最终目标,已经成为旨在从受害组织那里获得勒索付款的一个组成部分。安全专家认为,勒索软件即服务(RaaS)将在 2022 年继续蓬勃发展,甚至可能进一步发展为一种订阅模式,即你付钱给犯罪团伙,让他们不要针对你。
老王点评:勒索软件攻击已经成为企业必须为之列支的风险之一了。