公共Wi-Fi難以割舍的威脅

責(zé)任編輯:editor004

作者:袁一雪

2015-10-23 11:40:53

摘自:中國(guó)科學(xué)報(bào)

人類曾無(wú)數(shù)次想象機(jī)器人控制地球的場(chǎng)景,血腥地屠殺、肆意地破壞,電影《終結(jié)者》是將這個(gè)想象持續(xù)最久的影片之一。”

公共Wi-Fi難以割舍的威脅

  本報(bào)記者 袁一雪

人類曾無(wú)數(shù)次想象機(jī)器人控制地球的場(chǎng)景,血腥地屠殺、肆意地破壞,電影《終結(jié)者》是將這個(gè)想象持續(xù)最久的影片之一。自上世紀(jì)80年代,編劇設(shè)想在公元2029年地球由電腦“天網(wǎng)”統(tǒng)治,人類通過(guò)抗?fàn)幗K于留下了“革命”的火種開始,《終結(jié)者》系列就一直是人類抗擊未來(lái)機(jī)器人的主題。在今年上映的《終結(jié)者5》中,天網(wǎng)終于擁有獨(dú)立意識(shí),但對(duì)于人類的惡意依舊,人類抗擊天網(wǎng)之路也依然繼續(xù)……

機(jī)器人的高智能,一來(lái)是機(jī)械機(jī)密性提高,二來(lái)則是互聯(lián)網(wǎng)的普及。雖然這些恐怖的威脅目前依然只是人類的想象,但是隨著科技的發(fā)展,互聯(lián)網(wǎng)會(huì)進(jìn)化得更高級(jí),人類的工作生活也越來(lái)越依賴網(wǎng)絡(luò),這從如今大力發(fā)展的公共Wi-Fi就可窺一斑。

然而,伴隨這一切的是生活的便捷還是另一種威脅?

便捷且危險(xiǎn)的Wi-Fi

今年3月16日,360手機(jī)安全中心發(fā)布了“2015中國(guó)Wi-Fi安全綠皮書”,其中數(shù)據(jù)顯示,家用Wi-Fi中約有3.3%的Wi-Fi密碼使用低級(jí)加密方式,也就是說(shuō),目前我國(guó)有超過(guò)400萬(wàn)家用Wi-Fi密碼設(shè)置不安全,平均每天有約3.06%的Wi-Fi會(huì)遭遇DNS(Domain Name System,域名系統(tǒng))劫持攻擊,4.97%的Wi-Fi會(huì)遭遇ARP(Address Resolution Protocol,地址解析協(xié)議)攻擊。用戶一旦使用被篡改的惡意DNS,可能被劫持至釣魚網(wǎng)站,最終導(dǎo)致通過(guò)登錄網(wǎng)頁(yè),賬號(hào)密碼等個(gè)人隱私信息被盜。“ARP攻擊帶來(lái)的后果是在連入同一局域網(wǎng)內(nèi)的流量都會(huì)被監(jiān)聽,那么用戶使用該網(wǎng)絡(luò)做的事情,比如剛上傳的照片,不久前的聊天內(nèi)容甚至輸入的口令都會(huì)暴露在攻擊者的眼皮底下。”華南師范大學(xué)計(jì)算機(jī)學(xué)院教授趙淦森向《中國(guó)科學(xué)報(bào)》記者解釋說(shuō)。

其實(shí)在去年,瑞星公司就曾經(jīng)連續(xù)發(fā)布兩份針對(duì)Wi-Fi安全的報(bào)告,指出一旦攻擊者進(jìn)入免費(fèi)Wi-Fi后,會(huì)對(duì)網(wǎng)絡(luò)中的其他用戶進(jìn)行嗅探,并截取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),進(jìn)而通過(guò)專業(yè)軟件截獲各種用戶名、密碼、上網(wǎng)記錄、設(shè)備信息、聊天記錄及郵件內(nèi)容等。

今年6月1日,在四川省第二屆國(guó)家網(wǎng)絡(luò)安全宣傳周啟動(dòng)儀式中,四川大學(xué)教授、網(wǎng)絡(luò)信息安全專家陳興蜀作了網(wǎng)絡(luò)安全形勢(shì)報(bào)告,并通過(guò)一套監(jiān)控系統(tǒng)現(xiàn)場(chǎng)演示了如何使用免費(fèi)的公共Wi-Fi非法獲取連入該Wi-Fi用戶的信息。她同時(shí)提醒,使用公共場(chǎng)所的免費(fèi)Wi-Fi上網(wǎng)要謹(jǐn)慎,不法分子可能會(huì)借機(jī)盜取信息。

而在剛剛過(guò)去的“紀(jì)念中國(guó)人民抗日戰(zhàn)爭(zhēng)暨世界反法西斯勝利70周年”的閱兵式期間,北京長(zhǎng)安街周邊的公共場(chǎng)所開設(shè)的Wi-Fi也要求關(guān)閉。當(dāng)然,這其中涉及一部分無(wú)線電管理的原因,不過(guò)中國(guó)科學(xué)院軟件研究所副研究員連一峰表示:“這也是為安全考慮,如果有人偽造假冒的Wi-Fi站點(diǎn),雖然看起來(lái)是官方的名字,實(shí)際由違法基站發(fā)出,那么如果接入進(jìn)去就會(huì)有危險(xiǎn)。”

偽造熱點(diǎn)Wi-Fi,也是趙淦森提到的安全威脅之一,“這里的安全威脅主要利用的是移動(dòng)終端會(huì)嘗試自動(dòng)連接過(guò)去曾經(jīng)連接過(guò)的Wi-Fi”。比如用戶過(guò)去曾經(jīng)連接過(guò)“CMCC”的無(wú)線熱點(diǎn),這個(gè)熱點(diǎn)是不需要密碼的,那么攻擊者偽造一個(gè)以“CMCC”命名的Wi-Fi,而用戶一直開啟手機(jī)的Wi-Fi功能的話,那么就會(huì)無(wú)意中連入一個(gè)釣魚Wi-Fi,用戶的所有網(wǎng)絡(luò)操作都在攻擊者的掌控之中。

智慧城市離不開無(wú)線網(wǎng)

由此可見,公共Wi-Fi到底帶來(lái)的是便捷還是危險(xiǎn),值得商榷。然而,在當(dāng)今社會(huì)無(wú)線網(wǎng)絡(luò)的發(fā)展已經(jīng)是大勢(shì)所趨。

在去年出臺(tái)的廣東省發(fā)展規(guī)劃文件《寬帶廣東發(fā)展規(guī)劃(2014-2020年)》中,明確提到了為深入貫徹落實(shí)《國(guó)務(wù)院關(guān)于印發(fā)“寬帶中國(guó)”戰(zhàn)略及實(shí)施方案的通知》,要加快推進(jìn)廣東省寬帶網(wǎng)絡(luò)發(fā)展,提升信息化水平,因此在推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)中指出要加快推進(jìn)無(wú)線寬帶城市群的建設(shè),其中就包括實(shí)現(xiàn)無(wú)線局域網(wǎng)在珠三角重要區(qū)域和公共場(chǎng)所的全覆蓋,全面提高熱點(diǎn)區(qū)域大流量移動(dòng)數(shù)據(jù)業(yè)務(wù)承載能力等的指導(dǎo)意見。“從上面可以看出Wi-Fi信號(hào)的建設(shè)對(duì)于一個(gè)城市的整體規(guī)劃建設(shè)是十分重要的。Wi-Fi的建設(shè)不僅僅是為用戶帶來(lái)便捷,依托無(wú)線網(wǎng)絡(luò)的發(fā)展建設(shè),還能帶動(dòng)相關(guān)的技術(shù)和產(chǎn)業(yè)的發(fā)展,例如面向教育、醫(yī)療、交通、公共安全等領(lǐng)域的技術(shù)研發(fā)。”趙淦森解釋道。

無(wú)獨(dú)有偶,在深圳“十二五”規(guī)劃中,加快建設(shè)“智慧深圳”也被專列一章,提出重點(diǎn)在學(xué)校、公共圖書館、交通樞紐等公共場(chǎng)所部署無(wú)線熱點(diǎn),為市民提供免費(fèi)無(wú)線寬帶接入服務(wù)。

除了政府下轄的公共場(chǎng)所為公眾開放了Wi-Fi信號(hào),很多商家也紛紛開設(shè)了自己的Wi-Fi。“這樣更方便用戶使用,人們只需選擇信號(hào)最好的Wi-Fi即可。”連一峰表示。

“從商家的角度來(lái)說(shuō),商店擁有自己的Wi-Fi相對(duì)公共Wi-Fi來(lái)說(shuō)會(huì)更加可控。”趙淦森表示。這里的可控體現(xiàn)在,當(dāng)一些大型購(gòu)物場(chǎng)所或餐廳有自己業(yè)務(wù)的自主化需求時(shí),可以在自家的Wi-Fi登錄中設(shè)定推廣首頁(yè),而且,商家建設(shè)自有的Wi-Fi有利于商家開展自主的基于網(wǎng)絡(luò)的商業(yè)營(yíng)銷等。這在知識(shí)爆炸、信息滿天飛的今天,還有什么能比商家的Wi-Fi更能讓廣告如此低成本、便捷地占領(lǐng)個(gè)人手機(jī)和其他移動(dòng)端呢?

讓人歡喜讓人愁

然而,隨之而來(lái)的問題是,商家的Wi-Fi是否安全?專家認(rèn)為,設(shè)定Wi-Fi的商家是否具有一定的安全意識(shí),這決定了人們接入Wi-Fi后如何保證移動(dòng)終端私人信息的安全。“當(dāng)一些公共Wi-Fi尚未建設(shè)完善達(dá)到一定的安全高度,而商家具有一定的網(wǎng)絡(luò)安全意識(shí),他可以根據(jù)實(shí)際需求,制定一些Wi-Fi的安全策略,如設(shè)置ARP防火墻等。那些沒有密碼的Wi-Fi相對(duì)有密碼的Wi-Fi而言,確實(shí)要危險(xiǎn)得多。”趙淦森表示。

對(duì)于竊取信息者而言,有密碼的Wi-Fi相當(dāng)于為攻擊者多設(shè)置了一層屏障,在ARP攻擊時(shí),需要攻擊者連接到同一網(wǎng)絡(luò)中才能實(shí)施,若Wi-Fi設(shè)置有密碼,那么攻擊者在不知道Wi-Fi密碼的情況下還需要對(duì)Wi-Fi進(jìn)行密碼破解。“另外還有一種情況,針對(duì)一些安全意識(shí)比較低的用戶,這類用戶在尋找Wi-Fi時(shí),當(dāng)發(fā)現(xiàn)一個(gè)Wi-Fi不需要密碼便可使用時(shí),往往會(huì)不假思索使用這個(gè)無(wú)密碼的Wi-Fi,而攻擊者往往會(huì)利用無(wú)密碼的Wi-Fi進(jìn)行釣魚,竊取用戶的賬戶密碼等隱私信息。”趙淦森進(jìn)一步說(shuō)明。

“所以,在使用公共Wi-Fi時(shí)最好只進(jìn)行比較簡(jiǎn)單的操作,比如看看新聞。盡量不要訪問需要輸入口令的或者含有敏感信息的網(wǎng)站和應(yīng)用,比如郵箱、支付寶、微信、QQ等即時(shí)通信App等,一旦站點(diǎn)有問題就很危險(xiǎn)。”連一峰說(shuō)。更需要注意的是,盡管手機(jī)終端不斷升級(jí),軟件版本不斷提升,但是手機(jī)系統(tǒng)軟件本身也存在漏洞,被連入未知公共Wi-Fi的終端,很容易被黑客攻入。同時(shí),連一峰也表示:“如果手機(jī)有漏洞,或者感染病毒,即便不通過(guò)Wi-Fi,只通過(guò)手機(jī)信號(hào)信息也會(huì)泄露。”

鏈接

如何安全使用

公共Wi-Fi

使用公共Wi-Fi要隨時(shí)保持警惕:

1.不要在公共Wi-Fi中使用支付寶、網(wǎng)銀等支付類應(yīng)用,盡量避免輸入個(gè)人賬號(hào)密碼等操作,防止個(gè)人的隱私信息泄露;

2.不要登錄沒有密碼的Wi-Fi,在接入Wi-Fi前盡量確認(rèn)是可信來(lái)源;

3.不需要使用Wi-Fi時(shí),關(guān)閉Wi-Fi功能,避免自動(dòng)接入Wi-Fi,引發(fā)不必要的安全隱患;

4.可以使用安全類應(yīng)用輔助確認(rèn)Wi-Fi是否可信;

5.就算是私人Wi-Fi,也不能掉以輕心。例如TP-Link路由器就曾經(jīng)爆出過(guò)有后門漏洞,帶來(lái)的后果是攻擊者可以以最高權(quán)限控制該路由器。另外如果用戶還是用安全性較低的WEP加密方式,那么攻擊者抓取足夠多的包就可以破解Wi-Fi了,進(jìn)而與用戶連入同一網(wǎng)絡(luò)。就算是使用安全性較高的WPA/WPA2協(xié)議,但是如果同時(shí)開啟了WPS,那么攻擊者也是可以破解Wi-Fi的。所以私人Wi-Fi相對(duì)公共Wi-Fi會(huì)更加可控,不排除會(huì)被黑客攻擊。

《中國(guó)科學(xué)報(bào)》 (2015-10-23 第1版 要聞)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)