Heartbleed對於客戶端軟件及硬件服務器的潛在威脅

　　因為Heartbleed可能會影響到很多客戶端軟件，包括網絡、郵件、聊天工具
、FTP、移動應用、VPN
、甚至軟件升級工具等等，都可能會麵臨Heartbleed的威脅。簡單來講，任何通過有漏洞的OpenSSL(開放源代碼的安全套接層)，或使用SSL/TLS安全協議進行通訊的客戶
，都有可能會遭到網絡攻擊。 另外
，Heartbleed不僅會對網頁服務器造成威脅，同時還會威脅到其他很多類型的服務器的安全，其中包括代理服務器、介質服務器
、遊戲服務器
、數據庫服務器
、聊天服務器以及FTP服務器等。總之，該漏洞可以對幾乎所有硬件設備帶來安全威脅，例如路由器
、程控交換機(商務電話係統)以及通過“物聯網”聯接的各類設備。

　　解析利用Heartbleed漏洞的主要攻擊方式

　　通過Heartbleed漏(lou)洞(dong)對(dui)軟(ruan)件(jian)及(ji)硬(ying)件(jian)服(fu)務(wu)器(qi)進(jin)行(xing)攻(gong)擊(ji)的(de)方(fang)式(shi)
，與(yu)針(zhen)對(dui)有(you)漏(lou)洞(dong)的(de)網(wang)站(zhan)所(suo)發(fa)動(dong)的(de)攻(gong)擊(ji)方(fang)式(shi)類(lei)似(si)。然(ran)而(er)，其(qi)針(zhen)對(dui)用(yong)戶(hu)進(jin)行(xing)攻(gong)擊(ji)的(de)方(fang)式(shi)，則(ze)有(you)兩(liang)種(zhong)完(wan)全(quan)不(bu)同(tong)的(de)路(lu)徑(jing)。一(yi)般(ban)來(lai)講(jiang)，利(li)用(yong)Heartbleedfadongdegongjitongchangshibeiganrandeyonghufasongbingdudaoanquanfanghucuoshibuzudefuwuqi

，suihoufuwuqishangdeyinsixinxizaodaoxielu。raner，yizhongwanquanxiangfandegongjilujingyekeyizouxiao。anquanyishiboruodeyonghulianjiezhifuwuqizhihou，fuwuqihuifasongeyideHeartbeat信息給該用戶，從而竊取用戶內存中存儲的大量信息
，其中很有可能包括一些認證信息或其他用戶的隱私數據。

　　Heartbleed既可以直接攻擊服務器，也可以反過來將安全意識薄弱的用戶作為突破口

　　lingrengandaoxingyundeshi，jinguanyonghubenshenshiyigeboruodian，danshigongjizheyaoxiangzaixianshiqingkuangxiatongguozhezhongfangshiduiyonghujinxinggongji，yebingfeiyishi。heikefadonggongjidetujingzhuyaoyouliangge，yigeshiyoudaoyonghufangwenyijingbeiganrandeSSL/TLS服fu務wu器qi
，另ling一yi個ge是shi通tong過guo一yi個ge並bing無wu關guan聯lian性xing的de漏lou洞dong來lai劫jie持chi連lian接jie路lu徑jing。但dan無wu論lun是shi采cai取qu哪na種zhong方fang式shi，對dui於yu攻gong擊ji者zhe來lai說shuo都dou是shi有you難nan度du的de。下xia麵mian我wo們men就jiu來lai分fen析xi一yi下xia這zhe兩liang種zhong方fang式shi：

　　誘you導dao用yong戶hu訪fang問wen攜xie帶dai病bing毒du的de服fu務wu器qi。通tong過guo安an全quan措cuo施shi並bing不bu完wan善shan的de網wang絡luo瀏liu覽lan器qi進jin行xing網wang絡luo訪fang問wen，是shi最zui易yi使shi用yong戶hu受shou到dao感gan染ran的de方fang式shi。攻gong擊ji者zhe僅jin需xu誘you導dao用yong戶hu訪fang問wen惡e意yiURL網址，便可以通過攜帶病毒的服務器來讀取用戶的網絡瀏覽器內存。用戶此前的臨時cookies數據
、網絡訪問數據
、格式數據以及認證證書等數據，都很容易被攻擊者竊取。

　　不過
，除了不易受到Heartbleed威脅的NSS(網絡安全服務)庫之外，目前大多數主流網絡瀏覽器使用的並不是OpenSSL。然而也有例外

，很多命令行網頁用戶使用的卻是OpenSSL(例如wget和curl )，因此他們很容易遭受Heartbleed的危害。

　　jiechilianjielujing。ruguoyigegongjizhexiangyaoyoudaokehufangwenxiedaibingdudefuwuqi
，zetamenxuyaoliyongshehuigongchengxue
，bingzhaodaonaxiezuirongyibeiyoupiandewangluoyonghu。buguo，xuduoyonghuwangwangzhihuifangwenyushedeyingbianmayuming
，danshijishishizhezhongqingkuang，yehenyoukenenghuizaodaogongji。birushuotongguoWiFi等(deng)公(gong)開(kai)的(de)共(gong)享(xiang)網(wang)絡(luo)，攻(gong)擊(ji)者(zhe)就(jiu)能(neng)看(kan)到(dao)用(yong)戶(hu)的(de)網(wang)絡(luo)訪(fang)問(wen)情(qing)況(kuang)，並(bing)且(qie)能(neng)夠(gou)對(dui)其(qi)進(jin)行(xing)篡(cuan)改(gai)，從(cong)而(er)對(dui)安(an)全(quan)防(fang)範(fan)意(yi)識(shi)薄(bo)弱(ruo)的(de)用(yong)戶(hu)發(fa)動(dong)攻(gong)擊(ji)。一(yi)般(ban)來(lai)說(shuo)，采(cai)用(yong)SSL/TLS(例如HTTPS等加密網絡瀏覽模式)可以有效解決上述問題
，因為該加密方式可以阻止攻擊者竊聽或篡改網絡。不過，攻擊者仍然可以搶在SSL/TLS協議尚未完全建立之前，向用戶發送攜帶病毒的Heartbleed信息
，從而竊取用戶計算機內存中的敏感信息或個人隱私。

　　揭示攻擊者如何劫持帶有Heartbleed漏洞的OpenSSL網絡聯接路徑，並以安全意識薄弱的用戶作為突破口
，從而感染服務器，獲取計算機內存上的敏感數據

　　除了幫助大家充分了解Heartbleed可能造成的威脅以及攻擊方式之外，賽門鐵克也為幫助廣大用戶更好的防範潛在的攻擊威脅提出了一些建議：

　　· 對於企業用戶的建議:

　　o 使用OpenSSL 1.0.1 f版本的企業，應當升級到最新修正版OpenSSL 1.0.1 g，或者刪除heartbeat擴展，對OpenSSL進行重新編譯。

　　o 已經升級到OpenSSL修正版的用戶，如果在使用過程中發現網絡服務器證書被盜，請聯係證書授權機構，領取新證書。

　　o 最後，作為最佳安全實踐，企業應考慮重新設置終端用戶密碼，以防止這些密碼信息因為服務器內存被盜而泄露。

　　· 對於消費者的建議:

　　o 消費者們需注意
，如果您所訪問的網站使用OpenSSL庫的漏洞版本，諸如密碼等敏感數據將有可能被第三方發現。

　　o 留意任何來自軟件供應商的通知。一旦供應商提醒您修改密碼，請盡快修改。

　　o 對要求您更新密碼的疑似釣魚郵件
，請保持警惕。避免訪問虛假網站，堅持訪問供應商的官方網站。

　　o 堅持訪問知名網站和服務


，它們往往在第一時間對漏洞進行修複。

　　o 留意自己的銀行卡信息和信用卡信息，查看是否有不正常交易。