Heartbleed對於客戶端軟件及硬件服務器的潛在威脅

　　因為Heartbleed可能會影響到很多客戶端軟件，包括網絡
、郵件
、聊天工具
、FTP

、移動應用、VPN、甚至軟件升級工具等等，都可能會麵臨Heartbleed的威脅。簡單來講，任何通過有漏洞的OpenSSL(開放源代碼的安全套接層)，或使用SSL/TLS安全協議進行通訊的客戶，都有可能會遭到網絡攻擊。 另外，Heartbleed不僅會對網頁服務器造成威脅，同時還會威脅到其他很多類型的服務器的安全，其中包括代理服務器、介質服務器
、遊戲服務器
、數據庫服務器、聊天服務器以及FTP服務器等。總之
，該漏洞可以對幾乎所有硬件設備帶來安全威脅
，例如路由器
、程控交換機(商務電話係統)以及通過“物聯網”聯接的各類設備。

　　解析利用Heartbleed漏洞的主要攻擊方式

　　通過Heartbleedloudongduiruanjianjiyingjianfuwuqijinxinggongjidefangshi，yuzhenduiyouloudongdewangzhansuofadongdegongjifangshileisi。raner，qizhenduiyonghujinxinggongjidefangshi
，zeyouliangzhongwanquanbutongdelujing。yibanlaijiang，liyongHeartbleedfadongdegongjitongchangshibeiganrandeyonghufasongbingdudaoanquanfanghucuoshibuzudefuwuqi
，suihoufuwuqishangdeyinsixinxizaodaoxielu。raner，yizhongwanquanxiangfandegongjilujingyekeyizouxiao。anquanyishiboruodeyonghulianjiezhifuwuqizhihou，fuwuqihuifasongeyideHeartbeat信息給該用戶
，從而竊取用戶內存中存儲的大量信息，其中很有可能包括一些認證信息或其他用戶的隱私數據。

　　Heartbleed既可以直接攻擊服務器，也可以反過來將安全意識薄弱的用戶作為突破口

　　令ling人ren感gan到dao幸xing運yun的de是shi，盡jin管guan用yong戶hu本ben身shen是shi一yi個ge薄bo弱ruo點dian，但dan是shi攻gong擊ji者zhe要yao想xiang在zai現xian實shi情qing況kuang下xia通tong過guo這zhe種zhong方fang式shi對dui用yong戶hu進jin行xing攻gong擊ji，也ye並bing非fei易yi事shi。黑hei客ke發fa動dong攻gong擊ji的de途tu徑jing主zhu要yao有you兩liang個ge
，一yi個ge是shi誘you導dao用yong戶hu訪fang問wen已yi經jing被bei感gan染ran的deSSL/TLS服(fu)務(wu)器(qi)，另(ling)一(yi)個(ge)是(shi)通(tong)過(guo)一(yi)個(ge)並(bing)無(wu)關(guan)聯(lian)性(xing)的(de)漏(lou)洞(dong)來(lai)劫(jie)持(chi)連(lian)接(jie)路(lu)徑(jing)。但(dan)無(wu)論(lun)是(shi)采(cai)取(qu)哪(na)種(zhong)方(fang)式(shi)，對(dui)於(yu)攻(gong)擊(ji)者(zhe)來(lai)說(shuo)都(dou)是(shi)有(you)難(nan)度(du)的(de)。下(xia)麵(mian)我(wo)們(men)就(jiu)來(lai)分(fen)析(xi)一(yi)下(xia)這(zhe)兩(liang)種(zhong)方(fang)式(shi)：

　　誘(you)導(dao)用(yong)戶(hu)訪(fang)問(wen)攜(xie)帶(dai)病(bing)毒(du)的(de)服(fu)務(wu)器(qi)。通(tong)過(guo)安(an)全(quan)措(cuo)施(shi)並(bing)不(bu)完(wan)善(shan)的(de)網(wang)絡(luo)瀏(liu)覽(lan)器(qi)進(jin)行(xing)網(wang)絡(luo)訪(fang)問(wen)
，是(shi)最(zui)易(yi)使(shi)用(yong)戶(hu)受(shou)到(dao)感(gan)染(ran)的(de)方(fang)式(shi)。攻(gong)擊(ji)者(zhe)僅(jin)需(xu)誘(you)導(dao)用(yong)戶(hu)訪(fang)問(wen)惡(e)意(yi)URL網址，便可以通過攜帶病毒的服務器來讀取用戶的網絡瀏覽器內存。用戶此前的臨時cookies數據、網絡訪問數據、格式數據以及認證證書等數據，都很容易被攻擊者竊取。

　　不過，除了不易受到Heartbleed威脅的NSS(網絡安全服務)庫之外，目前大多數主流網絡瀏覽器使用的並不是OpenSSL。然而也有例外，很多命令行網頁用戶使用的卻是OpenSSL(例如wget和curl )，因此他們很容易遭受Heartbleed的危害。

　　劫jie持chi連lian接jie路lu徑jing。如ru果guo一yi個ge攻gong擊ji者zhe想xiang要yao誘you導dao客ke戶hu訪fang問wen攜xie帶dai病bing毒du的de服fu務wu器qi
，則ze他ta們men需xu要yao利li用yong社she會hui工gong程cheng學xue

，並bing找zhao到dao那na些xie最zui容rong易yi被bei誘you騙pian的de網wang絡luo用yong戶hu。不bu過guo，許xu多duo用yong戶hu往wang往wang隻zhi會hui訪fang問wen預yu設she的de硬ying編bian碼ma域yu名ming，但dan是shi即ji使shi是shi這zhe種zhong情qing況kuang，也ye很hen有you可ke能neng會hui遭zao到dao攻gong擊ji。比bi如ru說shuo通tong過guoWiFi等deng公gong開kai的de共gong享xiang網wang絡luo，攻gong擊ji者zhe就jiu能neng看kan到dao用yong戶hu的de網wang絡luo訪fang問wen情qing況kuang，並bing且qie能neng夠gou對dui其qi進jin行xing篡cuan改gai，從cong而er對dui安an全quan防fang範fan意yi識shi薄bo弱ruo的de用yong戶hu發fa動dong攻gong擊ji。一yi般ban來lai說shuo，采cai用yongSSL/TLS(例如HTTPS等加密網絡瀏覽模式)可以有效解決上述問題，因為該加密方式可以阻止攻擊者竊聽或篡改網絡。不過，攻擊者仍然可以搶在SSL/TLS協議尚未完全建立之前
，向用戶發送攜帶病毒的Heartbleed信息，從而竊取用戶計算機內存中的敏感信息或個人隱私。

　　揭示攻擊者如何劫持帶有Heartbleed漏洞的OpenSSL網絡聯接路徑
，並以安全意識薄弱的用戶作為突破口，從而感染服務器，獲取計算機內存上的敏感數據

　　除了幫助大家充分了解Heartbleed可能造成的威脅以及攻擊方式之外
，賽門鐵克也為幫助廣大用戶更好的防範潛在的攻擊威脅提出了一些建議：

　　· 對於企業用戶的建議:

　　o 使用OpenSSL 1.0.1 f版本的企業，應當升級到最新修正版OpenSSL 1.0.1 g，或者刪除heartbeat擴展，對OpenSSL進行重新編譯。

　　o 已經升級到OpenSSL修正版的用戶，如果在使用過程中發現網絡服務器證書被盜，請聯係證書授權機構，領取新證書。

　　o 最後，作為最佳安全實踐，企業應考慮重新設置終端用戶密碼
，以防止這些密碼信息因為服務器內存被盜而泄露。

　　· 對於消費者的建議:

　　o 消費者們需注意，如果您所訪問的網站使用OpenSSL庫的漏洞版本

，諸如密碼等敏感數據將有可能被第三方發現。

　　o 留意任何來自軟件供應商的通知。一旦供應商提醒您修改密碼，請盡快修改。

　　o 對要求您更新密碼的疑似釣魚郵件
，請保持警惕。避免訪問虛假網站
，堅持訪問供應商的官方網站。

　　o 堅持訪問知名網站和服務

，它們往往在第一時間對漏洞進行修複。

　　o 留意自己的銀行卡信息和信用卡信息，查看是否有不正常交易。