當(dāng)前業(yè)界對于Heartbleed漏洞的關(guān)注點(diǎn)大部分都聚焦在那些易受攻擊的公共網(wǎng)絡(luò)上，但實(shí)際上，其所造成的損害，絕不僅限于此。賽門鐵克認(rèn)為，雖然現(xiàn)在大多數(shù)主流網(wǎng)站的安全措施已經(jīng)相對完善，但這并不意味著終端用戶可以高枕無憂了。

　　Heartbleed對于客戶端軟件及硬件服務(wù)器的潛在威脅

　　因?yàn)镠eartbleed可能會影響到很多客戶端軟件，包括網(wǎng)絡(luò)、郵件、聊天工具、 FTP、移動應(yīng)用、VPN、甚至軟件升級工具等等，都可能會面臨Heartbleed的威脅。簡單來講，任何通過有漏洞的OpenSSL(開放源代碼的安全套接層)，或使用SSL/TLS安全協(xié)議進(jìn)行通訊的客戶，都有可能會遭到網(wǎng)絡(luò)攻擊。 另外，Heartbleed不僅會對網(wǎng)頁服務(wù)器造成威脅，同時還會威脅到其他很多類型的服務(wù)器的安全，其中包括代理服務(wù)器、介質(zhì)服務(wù)器、游戲服務(wù)器、數(shù)據(jù)庫服務(wù)器、聊天服務(wù)器以及FTP服務(wù)器等。總之，該漏洞可以對幾乎所有硬件設(shè)備帶來安全威脅，例如路由器、程控交換機(jī)(商務(wù)電話系統(tǒng))以及通過“物聯(lián)網(wǎng)” 聯(lián)接的各類設(shè)備。

　　解析利用Heartbleed漏洞的主要攻擊方式

　　通過Heartbleed漏洞對軟件及硬件服務(wù)器進(jìn)行攻擊的方式，與針對有漏洞的網(wǎng)站所發(fā)動的攻擊方式類似。然而，其針對用戶進(jìn)行攻擊的方式，則有兩種完全不同的路徑。一般來講，利用Heartbleed發(fā)動的攻擊通常是被感染的用戶發(fā)送病毒到安全防護(hù)措施不足的服務(wù)器，隨后服務(wù)器上的隱私信息遭到泄露。然而，一種完全相反的攻擊路徑也可以奏效。安全意識薄弱的用戶連接至服務(wù)器之后，服務(wù)器會發(fā)送惡意的Heartbeat信息給該用戶，從而竊取用戶內(nèi)存中存儲的大量信息，其中很有可能包括一些認(rèn)證信息或其他用戶的隱私數(shù)據(jù)。

　　圖 1. Heartbleed既可以直接攻擊服務(wù)器，也可以反過來將安全意識薄弱的用戶作為突破口

　　令人感到幸運(yùn)的是，盡管用戶本身是一個薄弱點(diǎn)，但是攻擊者要想在現(xiàn)實(shí)情況下通過這種方式對用戶進(jìn)行攻擊，也并非易事。黑客發(fā)動攻擊的途徑主要有兩個，一個是誘導(dǎo)用戶訪問已經(jīng)被感染的SSL/TLS服務(wù)器，另一個是通過一個并無關(guān)聯(lián)性的漏洞來劫持連接路徑。但無論是采取哪種方式，對于攻擊者來說都是有難度的。下面我們就來分析一下這兩種方式：

　　誘導(dǎo)用戶訪問攜帶病毒的服務(wù)器。通過安全措施并不完善的網(wǎng)絡(luò)瀏覽器進(jìn)行網(wǎng)絡(luò)訪問，是最易使用戶受到感染的方式。攻擊者僅需誘導(dǎo)用戶訪問惡意URL網(wǎng)址，便可以通過攜帶病毒的服務(wù)器來讀取用戶的網(wǎng)絡(luò)瀏覽器內(nèi)存。用戶此前的臨時 cookies數(shù)據(jù)、網(wǎng)絡(luò)訪問數(shù)據(jù)、格式數(shù)據(jù)以及認(rèn)證證書等數(shù)據(jù)，都很容易被攻擊者竊取。

　　不過，除了不易受到Heartbleed威脅的NSS(網(wǎng)絡(luò)安全服務(wù))庫之外，目前大多數(shù)主流網(wǎng)絡(luò)瀏覽器使用的并不是OpenSSL。然而也有例外，很多命令行網(wǎng)頁用戶使用的卻是OpenSSL(例如wget和curl )，因此他們很容易遭受Heartbleed的危害。

　　劫持連接路徑。如果一個攻擊者想要誘導(dǎo)客戶訪問攜帶病毒的服務(wù)器，則他們需要利用社會工程學(xué)，并找到那些最容易被誘騙的網(wǎng)絡(luò)用戶。不過，許多用戶往往只會訪問預(yù)設(shè)的硬編碼域名，但是即使是這種情況，也很有可能會遭到攻擊。比如說通過WiFi等公開的共享網(wǎng)絡(luò)，攻擊者就能看到用戶的網(wǎng)絡(luò)訪問情況，并且能夠?qū)ζ溥M(jìn)行篡改，從而對安全防范意識薄弱的用戶發(fā)動攻擊。一般來說，采用 SSL/TLS(例如HTTPS等加密網(wǎng)絡(luò)瀏覽模式)可以有效解決上述問題，因?yàn)樵摷用芊绞娇梢宰柚构粽吒`聽或篡改網(wǎng)絡(luò)。不過，攻擊者仍然可以搶在 SSL/TLS協(xié)議尚未完全建立之前，向用戶發(fā)送攜帶病毒的Heartbleed信息，從而竊取用戶計算機(jī)內(nèi)存中的敏感信息或個人隱私。

　　圖 2. 揭示攻擊者如何劫持帶有Heartbleed漏洞的OpenSSL網(wǎng)絡(luò)聯(lián)接路徑，并以安全意識薄弱的用戶作為突破口，從而感染服務(wù)器，獲取計算機(jī)內(nèi)存上的敏感數(shù)據(jù)

　　除了幫助大家充分了解Heartbleed可能造成的威脅以及攻擊方式之外，賽門鐵克也為幫助廣大用戶更好的防范潛在的攻擊威脅提出了一些建議：

 1/2    1 2 下一頁 尾頁