亲爱的Lifehacker，所以Shellshock是最新的可能“破坏互联网”的漏洞。上一次他们这么说，是关于心碎。我真的需要担心所有这些缺陷和漏洞吗，还是科技公司需要关心这些问题？有人真的能用这些来对付我吗？

诚恳地说，安全怀疑论者

亲爱的安全怀疑论者，似乎每隔一天就会有一次新的黑客攻击，一些数据宝藏被曝光，或者有一个新的漏洞威胁着科技界。听到他们的消息自然会有点厌倦，尤其是当他们不断来，似乎什么都没变的时候。毕竟，我们被告知这些问题是严重的，但我们常常对此无能为力。怀疑是对的，但不要让这种怀疑妨碍你做正确的事情来保证数据的安全。

至于炮击和心血（以及其他类似的漏洞），我们与一些计算机安全专家坐下来，将事实与虚构分开，并帮助您理解您应该关心的和不应该关心的内容。

这些漏洞真的很严重吗？

新闻头条说，心碎和炮击可以“破坏互联网”，你不能因为认为天要塌下来而受到指责。所有人都同意这些是严重的问题，但最终用户可以采取的保护自己的措施相当有限。

对于Heartbleed，最好的建议是等待您喜爱的站点自行修补，然后更改您的密码。对于Shellshock，您应该修补您的Mac或Linux计算机，然后希望其他人，特别是系统管理员和工程师也这样做。另外，虽然研究人员说他们已经在野外看到了这两种攻击的效果，但这并不是说人们正在丢失电脑，也不是说技术支持热线中充斥着关于电脑损坏的电话，而不是我们在21世纪初看到的病毒登上晚间新闻的方式。

那是不是意味着你可以忘掉他们？不完全是。这些漏洞非常严重，我们采访的所有专家都注意到了这一点。然而，他们也解释说，厄运和悲观的标题往往对人们产生相反的影响。他们让他们厌倦了网络安全新闻，而不是鼓励他们关注它。Trend Micro负责云和新兴技术的副总裁Mark Nunnikhoven解释了双方的观点：

炮击是非常严重的。它值得100%的关注，它目前正在公众的观点。我们永远不会有一个准确的范围的问题，但尼科尔·佩尔罗为《****》撰文猜测，大约70%的连接到互联网的机器可能会受到影响。我觉得这是合理的。

即使有了这样严重的bug，一些人仍然设法对它的影响做出夸张的声明。这对任何人都没好处。这一非常真实的问题使讨论变得不必要，这使我们比我们现在更加暴露。任何时候你有一个复杂的问题，很难把细节与更广泛的观众联系起来。不幸的是，人们对戏剧性的说法的反应比对细微差别的说法更为频繁。这不是互联网的终结，但这是一个非常严重的问题，需要立即加以解决。

作者、顾问、计算机安全专家弗雷德里克•莱恩（fredericklane）对此表示同意。他解释说，当最终用户对此无能为力时，可怕的标题通常没有帮助，但当它们针对的是正确的人时，它们可能会促使正确的人采取正确的行动：

我认为可怕的头条新闻在针对系统管理员和管理人员时是有用的，这样他们就可以投入时间和资源来确保这些漏洞不会触及消费者。然而，我们不应该吓唬普通PC用户，因为他们能做的很少（如果有的话）来解决这些问题。所有的头条新闻给消费者带来的是更多的生存焦虑，这使得现代生活充满挑战。在某种程度上，可怕的电脑标题只是成为背景噪音。

所以底线是：当你听到这些类型的漏洞，他们值得坐起来关注，特别是如果你在IT工作，或是在一个位置上，实际上做些什么。如果你能修补你自己的电脑，你应该。除此之外，对这种夸张的说法持一点保留态度。互联网是健壮的和适应性强的，不可能一个安全问题或漏洞就把整个事情搞砸了。

普通的计算机用户需要担心这些漏洞吗？

当像Target或Home Depot这样的大型零售商丢失您的财务信息时，您通常会得到免费的信用监控，并被告知要密切注意欺诈交易或身份盗窃的迹象。有了Shellshock和Heartbleed，最终用户所能做的就是抱着最好的希望，在有补丁可用时应用补丁。担心它似乎是浪费时间和精力。然而，莱恩说，你至少应该注意地面。

今天系统管理员的问题就是明天家庭用户的问题：

我认为，这有助于强调随着我们向物联网迈进而不断累积的风险。想想看：如果有人能够访问控制回购人员使用的远程关闭设备的系统（几天前《****》报道了这一点），会怎么样？全国可能会有成千上万辆汽车突然熄火。Bash漏洞中真正令人不安的一点是，我们甚至不知道有多少系统使用Bash，而且许多系统没有适当的软件/固件更新机制。

关于Shellshock和Heartbleed的故事当然是一个很好的机会来提醒消费者他们应该一直采取的措施，以尽量减少恶意攻击的潜在损失：1）安装和更新反恶意软件；2） 备份重要文件；3） 再次检查以确保他们备份了重要文件；4）监控你的财务信息和信用报告。科技给我们所有人带来了巨大的好处，但闪亮的设备却带来了一定的责任。正如海因林所说，“天下没有免费的午餐。”

计算机鉴证师、软件设计师和顾问彼得·西奥博尔德（Peter Theobald）解释说，日常用户应该关注的不仅仅是台式计算机。防火墙、路由器、NAS设备，甚至智能恒温器和其他家用设备上基于Linux的embded系统都是Shellshock的潜在目标（如果它们直接连接到internet，没有防火墙，即使这样，防火墙也可能易受攻击），并且每个运行SSL的服务器都是Heartbleed的目标：

在Shellshock发布后的一个小时内，就有报道称，有新的恶意软件正在扫描互联网，利用新的漏洞危害电脑。

Bash用于Linux web服务器、Mac计算机、NAS存储设备、路由器和访问点、防火墙和许多其他设备。苹果和Linux发行版**商已经非常迅速地发布了修补程序来关闭这些漏洞。这将负责web服务器和OSX计算机。更让我担心的是，所有的路由器、防火墙和接入点都不会及时修补。有多少人会知道如何修补他们的路由器？留意路由器供应商将如何处理这一问题。这可能是一系列全行业消费者设备维护方式的变化的导火索，也许是来自**商的自动更新。

毫无疑问，这些问题是严重的，可能会对日常生活和我们使用的技术产生实际影响。同时，不要因为它而失眠。毕竟，很少有技术是安全的，当它们连接到互联网上时就更少了。如果在接下来的几个月和几年里我们看到更多的炮击和心痛，不要感到惊讶。然而，保持警惕并保持良好的计算机卫生并没有坏处。你不想学习如何更新你的路由器固件时，有一个很大的漏洞，这些是有用的技能，事先有。

保持怀疑，但不要让它妨碍你的安全

我们所有的专家都很快指出，这些类型的漏洞是新的，因为它们具有广泛的影响范围，可以产生广泛的影响，但不寻常的是，它们不需要用户做什么，除了更新他们的系统时，他们被告知。与过去不同的是，原始设备**商和智能设备**商现在有责任提供修补程序，在产品中建立更新机制，如果他们希望销售的设备能够连接到互联网，就要确保系统的安全。

随着技术的发展和越来越多的连接，这些智能恒温器和智能手表下面的核心技术将以其原始开发人员没有考虑的方式应用。这将导致更多的漏洞暴露和更多的利用野生动物。莱恩解释道：

在更理论的层面上，我要说，这些类型的故事重申了我日益增长的信念，即我们创造了如此复杂的系统，我们永远无法确保它们是完全安全的。换句话说，我们创建的系统的复杂性越接近“现实世界”的复杂性，我们就越有可能成为命运的人质。自从我们创造了计算机和互联网，我们就执着于控制的幻想，但它只是昙花一现。我并不是说我们不应该试图阻止坏人通过软件漏洞造成伤害（很像与癌症作斗争）；我只是说我们应该现实一点，我们到底有多安全。

因此，归根结底，毫无疑问，这些问题是严重的，值得你关注。然而，做你自己的研究，不要只是阅读标题，旨在吸引你的注意，让你担心最新的安全威胁（我们在Lifehacker，当然，将始终试图保持冷静的头脑）。似乎每周都有新的黑客攻击，更多的信用卡号码丢失，更多的密码需要重置，但事情不会很快改变，这些黑客攻击至少值得足够的关注，以确保你的基地被覆盖，你的数据得到保护。

真的，生活黑客

Mark Nunnikhoven是Cloud&amp；的副总裁；趋势科技的新兴技术。

弗雷德里克·莱恩是一位作家、律师、教育顾问、专家证人和讲师，曾出现在每日节目、CNN、NBC、ABC、CBS、BBC和MSNBC上。他写了七本书，包括最近出版的《年轻人的网络陷阱》，所有的书都可以在亚马逊或他的网站上找到。你可以在Twitter上@fsl3，或者在Computer-Forensics-Digest上关注他。

Peter Theobald是一名计算机法医、专家证人、软件设计师、顾问和讲师。他是美国律师协会诉讼计算机取证小组委员会的联席主席。你可以在TCForensics.com找到他。

三位先生都为这篇文章提供了他们的专业知识，我们对此表示感谢。

有问题或建议问生活黑客？发送给[email protected].

照片由马克西姆卡巴库（Shutterstock），克里斯哈里森，陈毅。