赛门铁克解析Heartbleed漏洞对用户及“物联网”的潜在威胁

来源:kaiyun体育官方人口   
2014/4/21 11:04:40
赛门铁克解析Heartbleed不仅会对网页服务器造成威胁,同时还会威胁到其他很多类型的服务器的安全,其中包括代理服务器、介质服务器、游戏服务器、数据库服务器、聊天服务器以及FTP服务器等。总之,该漏洞可以对几乎所有硬件设备带来安全威胁,例如路由器、程控交换机(商务电话系统)以及通过“物联网”联接的各类设备。

令人感到幸运的是,尽管用户本身是一个薄弱点,但是攻击者要想在现实情况下通过这种方式对用户进行攻击,也并非易事。黑客发动攻击的途径主要有两个,一个是诱导用户访问已经被感染的SSL/TLS服务器,另一个是通过一个并无关联性的漏洞来劫持连接路径。但无论是采取哪种方式,对于攻击者来说都是有难度的。下面我们就来分析一下这两种方式:
 
诱导用户访问携带病毒的服务器。通过安全措施并不完善的网络浏览器进行网络访问,是最易使用户受到感染的方式。攻击者仅需诱导用户访问恶意URL网址,便可以通过携带病毒的服务器来读取用户的网络浏览器内存。用户此前的临时cookies数据、网络访问数据、格式数据以及认证证书等数据,都很容易被攻击者窃取。
 
不过,除了不易受到Heartbleed威胁的NSS(网络安全服务)库之外,目前大多数主流网络浏览器使用的并不是OpenSSL。然而也有例外,很多命令行网页用户使用的却是OpenSSL(例如wget 和curl ),因此他们很容易遭受Heartbleed的危害。
 
劫持连接路径。如果一个攻击者想要诱导客户访问携带病毒的服务器,则他们需要利用社会工程学,并找到那些最容易被诱骗的网络用户。不过,许多用户往往只会访问预设的硬编码域名,但是即使是这种情况,也很有可能会遭到攻击。比如说通过WiFi等公开的共享网络,攻击者就能看到用户的网络访问情况,并且能够对其进行篡改,从而对安全防范意识薄弱的用户发动攻击。一般来说,采用SSL/TLS(例如HTTPS等加密网络浏览模式)可以有效解决上述问题,因为该加密方式可以阻止攻击者窃听或篡改网络。不过, 攻击者仍然可以抢在SSL/TLS协议尚未完全建立之前,向用户发送携带病毒的Heartbleed信息,从而窃取用户计算机内存中的敏感信息或个人隐私。
 
 
图片 2.揭示攻击者如何劫持带有Heartbleed漏洞的OpenSSL网络联接路径,并以安全意识薄弱的用户作为突破口,从而感染服务器,获取计算机内存上的敏感数据
责编:李玉琴
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map