近日,国外知名网络安全公司CheckPointResearch(CPR)发布了2021年网络攻击调查报告。报告详细分析了2021年全球将发生的网络攻击。罪魁祸首——Log4JLog4J被称为史上最严重的安全漏洞。该漏洞是一个远程代码执行漏洞。黑客可以利用该漏洞侵入计算机系统、运行程序、植入病毒或变鸡等,黑客将拥有系统的最高权限。去年该漏洞被披露后,全球掀起了一波网络攻击浪潮,每小时都有数百万次尝试利用Log4J漏洞发起网络攻击。在不到一个月的时间里,2021年创下了网络攻击的记录。自去年10月以来,全球网络攻击增加了40%,每周61个组织中就有1个受到勒索软件的影响。总体而言,与2020年相比,2021年全球企业遭受的网络攻击数量将增长整整50%。教育行业成为重灾区。2021年,教育和科研机构将成为最受冲击的行业。每个企业/组织平均每周将遭受1,605次攻击,相比2020年足足增长了75%。政府和军方以每周1,136次攻击位居第二,相比2020年增长了47%。通信行业排名第三,每家企业/组织每周攻击1079次,增长51%。非洲遭受攻击最多根据CPR调查,2021年非洲遭受攻击最多,每个企业/组织遭受攻击1353次,同比增长25%。其次是亚太地区,每个企业/组织受到1118次攻击,同比增长38%,其次是拉丁美洲、欧洲和北美。可见,经济水平越低,网络攻击的概率和频率越高。“开源”CPR之罪认为,Log4J漏洞是2021年网络攻击频发的主因,开源作者是否应为此负责也成为一时间的热门话题。Log4J是许多大型企业使用的广泛使用的开源项目。然而,作为一个开源项目,Log4J只有少数无偿和自愿工作的维护人员。发生了这么严重的安全事故,却遭到了一些人的侮辱,也有人为作者诉苦。前段时间还出现了一个叫faker.js的开源项目,因为作者没钱,删掉了所有代码。Faker.js作为知名的nodejs工具库,由作者Marak耗时十余年完成。Faker.js可以创建许多不同类型的假数据用于开发和调试。他的工作成果为一些大公司(包括谷歌)创造了很多价值。但是,这些大公司并没有为此给他一分钱的工资。如果开源项目出现bug,导致损失蒙羞,开源项目的作者可能要背负骂名。正是因为收入和责任严重不匹配,很多开源作者失去了继续维护项目的信心。
