帶有有安全缺陷的 Log4J 的火星直升機
靈巧號火星直升機在 12 月 5 日的第 17 次飛行中飛行了 30 分鐘,這創造了新的記錄。但在飛行結束時,直升機向地面下降時,飛行中的資料流意外地被切斷。而之前 Apache 基金會曾驕傲地宣稱靈巧號的軟體裡有 Log4J,因此人們懷疑是不是火星直升機也受到了該漏洞影響。不過,Log4J 漏洞披露於 12 月 9 日,而飛行活動發生在 5 日,這兩個事件 完全沒有聯絡。即便有可能,利用火星上的 Log4J 漏洞的機率也微乎其微:要攻擊機器,必須將特別製作的文字傳送到硬體上,並由有漏洞的庫記錄下來。要發生這種情況,除非內部人才能做到。
老王點評:雖然現在的飛行器處於隔離的網路環境中,但是也不好說完全不受到安全漏洞影響。而更可怕的是,將來跨越太空的網路攻擊可能離我們不遠了。
明年有望在蘋果 M1 晶片上見到日常可用的 Linux
旨在為蘋果 M1 晶片提供 Linux 支援的 Asahi Linux 專案已經完成了 許多目標。Linux 5.17 帶來了更多的蘋果 M1 驅動,但現在的狀況還沒有為終端使用者做好準備。他們已經支援了觸控板和鍵盤,對音訊播放、耳機插孔等也提供了補丁。不僅是原始的 M1,還有對最近的 M1 Pro 和 M1 Max 的支援工作。但仍需解決的工作包括 CPU 頻率縮放、系統睡眠和 CPU 深度睡眠支援、完善 NVMe 儲存、WiFi 驅動等補丁,以及 GPU 加速和各種韌體問題。2022 年有望完成更多工作,以便在蘋果 M1 硬體上形成一個日常可用的 Linux 系統。
老王點評:這就是開源的力量。但是我好奇的是,為什麼蘋果一直裝聾作啞。
明年勒索軟體的狀況將更糟糕
勒索軟體現在是企業的主要威脅,而安全專家認為這種犯罪 在未來將更嚴重。在過去的幾年裡,勒索軟體運營商從無組織的團伙和個人,發展到針對從中小企業到軟體供應鏈的各個層面的、高度複雜的運營機構和各個獨立團隊間的合作。勒索軟體感染不再是網路攻擊的最終目標,已經成為旨在從受害組織那裡獲得勒索付款的一個組成部分。安全專家認為,勒索軟體即服務(RaaS)將在 2022 年繼續蓬勃發展,甚至可能進一步發展為一種訂閱模式,即你付錢給犯罪團伙,讓他們不要針對你。
老王點評:勒索軟體攻擊已經成為企業必須為之列支的風險之一了。