青島新聞網手機客戶端下載 | 青島天氣 | 更多網上媒體 | 疾病查詢 > 正文

公共WiFi泄密疑云 商家自建WiFi多屬民用級

來源:南方日報 2012-03-19 09:44:30

????■只要是遭遇釣魚WiFi,用戶上網過程中個人信息和密碼就都有可能被別有用心的黑客獲取

????■一想到有可能連網銀的賬號和密碼都泄露,就不敢再用,在專業(yè)人士眼中,這種擔憂有些過慮

????■造成用戶信息泄露并非WiFi設備惹禍,而是用戶貪便宜的心理和瀏覽器網絡傳輸協(xié)議有漏洞

????■普通商家自行搭建的WiFi熱點大多使用民用級設備,有的甚至連密碼都沒有,給黑客留下機會

????坐在星巴克的落地窗邊,杜瑞強沒有如常打開iPhone的WiFi開關,雖然每天下午來星巴克喝杯咖啡、順便蹭蹭網早已成為他的習慣。但就像窗外廣州陰霾的天氣一樣,此時他的心情正在為天涯論壇上一篇網帖而備感糾結。

????這篇名為《有圖有真相,你還敢用UC上網嗎?》的帖子說,“在星巴克、麥當勞,黑客只要用一臺筆記本、一套無線熱點和一個叫做Wireshark的軟件,最少只要15分鐘,就能獲取通過臨時無線網絡上網者的賬號和密碼?!?/p>

????“雖然不知是真是假,但是聽起來真有點恐怖?!倍湃饛姄鷳n地說。

????有著同樣憂慮的不止杜瑞強一人,自從上述網貼發(fā)布后,網絡上關于使用公共場所免費WiFi上網究竟是否安全的討論激增,更多市民開始對公共場所WiFi上網的安全性問題予以高度關注。

????公共免費WiFi,上還是不上,一串串有關安全的追問隨之而來。

????■南方日報記者 程鵬

????如何防范釣魚WiFi

????天涯網帖的火爆傳播,讓釣魚WiFi臭名遠揚,也讓不少對于技術不太精通的用戶聞之生畏。有關專家指出,只要用戶增強主動防范意識,并建立良好的WiFi使用習慣,就能夠防止墮入釣魚WiFi的陷阱。要想做到這一點,有些小技巧可以利用。

????第一招 拒絕來源不明的WiFi

????正如“妖妃娘娘”所披露的那樣,設置釣魚WiFi陷阱的黑客大多利用的是用戶想要免費蹭網的占便宜心理。因此要想避免墮入類似陷阱,首先要做到的就是盡量不要使用來源不明的WiFi,尤其是免費又不需密碼的WiFi。如果是在星巴克、麥當勞這樣有商家提供免費WiFi網絡的地方,用戶也要多留一個心眼,主動向商家詢問其提供的WiFi的具體名稱,以免在選擇WiFi熱點接入時不小心連接到黑客搭建的名稱類似的釣魚WiFi。

????第二招 及時更新升級瀏覽器

????和傳統(tǒng)有線網絡相比,WiFi網絡環(huán)境下,用戶信息的安全性挑戰(zhàn)更多。用戶在使用非加密的WiFi網絡或者陌生的WiFi網絡時,最好提前在筆記本電腦或智能手機中安裝一些安全防范軟件以作提防。

????針對最容易泄露用戶信息的瀏覽器軟件,用戶除了要在官方網站進行下載的和安裝之外,還要養(yǎng)成定時更新升級的好習慣。例如此前提到的UC瀏覽器,其最新的版本就加入了連接到無密碼的WiFi網絡自動提醒用戶是否要斷開的功能,這種功能升級對于用戶防范釣魚WiFi無疑會起到比較實用的效果。

????使用瀏覽器登錄網站時,如果碰到需要用戶輸入賬戶名和密碼并彈出“是否記住密碼”選項框的情況,最好不要選擇“記住密碼”,因為“記住密碼”功能會將用戶的賬號信息存儲到瀏覽器的緩存文件夾中,無形中方便了黑客進行竊取。

????第三招 手機軟件設置莫偷懶

????針對智能手機用戶尤其需要提醒的是,在日常使用時最好關閉WiFi自動連接這項功能。因為如果這項功能打開的話,手機在進入有WiFi網絡的區(qū)域就會自動掃描并連接上不設密碼的WiFi網絡,這無疑會大大增加用戶誤連釣魚WiFi的幾率,為了一時方便而留下安全隱患,未免有些得不償失。

????另外,用戶在使用智能手機登錄手機銀行或者支付寶、財付通的金融服務類網站時,最好不要直接通過手機瀏覽器進行,請優(yōu)先考慮使用銀行或者第三方支付公司推出的專用應用程序,這些程序的安全性要比開放的手機瀏覽器高上不少。

????安全進化史

????WiFi是一種短程無線傳輸技術,能夠在數(shù)百英尺范圍內支持互聯(lián)網接入的無線電信號。隨著技術的發(fā)展,以及IEEE802.11a、802.11b、802.11g以及802.11n等標準的出現(xiàn),現(xiàn)在IEEE802.11這個標準已被統(tǒng)稱作WiFi。

????第二次世界大戰(zhàn)后,無線通訊因在軍事上應用的成功而受到重視,但缺乏廣泛的通訊標準。于是,IEEE(美國電氣和電子工程師協(xié)會)在1997年為無線局域網制定了第一個標準——IEEE802.11。IEEE 802.11標準最初主要用于解決辦公室局域網和校園網中用戶的無線接入,其業(yè)務主要限于數(shù)據(jù)存取,速率最高只能達到2Mbps。

????在WiFi技術的發(fā)展過程中,除了傳輸速率不斷提升之外,安全加密技術的不斷增強也是其技術標準頻繁更新的重要原因。而最早進入WiFi標準的加密技術名為WEP(Wired Equivalent Privacy,有線等效保密),但由于該技術的加密功能過于脆弱,很快就被2003年和2004年推出的WPA(WiFi Protected Access,WiFi網絡安全存取)和WPA2技術所取代。

????但即使是較新的WPA2加密技術,仍然在無線開放環(huán)境下存在安全性較弱、無法滿足電信級高可靠性要求等問題,為此,我國依據(jù)“商用密碼管理條例”制定了針對WiFi既有安全加密技術漏洞自主安全標準WAPI(Wireless LAN Authentication and Privacy Infrastructure,無線網絡鑒別保密基礎結構)。

????2009年6月,工信部發(fā)布新政,宣布加裝WAPI功能的手機可入網檢測并獲進網許可。當月,包括美國代表在內的參會成員一致同意,將WAPI作為無線局域網絡接入安全機制獨立標準形式推進為國際標準。

????追問1

????釣魚WiFi竊取用戶密碼?

????從技術角度來說,只要使用免費WiFi上網,手機或者電腦都有可能被釣魚

????在那篇引發(fā)公共WiFi安全性問題爭議的網帖中,名為“妖妃娘娘”的樓主詳細演示了如何用“Win7系統(tǒng)電腦、無線熱點和Wireshark軟件”竊取使用UC瀏覽器用戶個人信息和密碼的全過程。

????“妖妃娘娘”稱,按照該教程,即使是初級黑客也只需要兩個小時,就能掌握如何在公共場所設置免費WiFi來進行釣魚,熟練后甚至僅需15分鐘就能夠輕松搞定使用UC瀏覽器上網用戶的密碼。而這其中的關鍵在于,UC瀏覽器本身存在安全漏洞,其所謂的“云加速”服務在傳輸用戶信息時使用了明文傳輸密碼,讓泄密成為了可能。

????對于這份“釣魚WiFi”的詳細教程,很快就有熱心網友進行了親身驗證,結果證明在iPhone上使用版本號為的UC瀏覽器,果真可以通過Wireshark軟件截取到登錄Gmail賬戶時輸入的賬號和密碼信息。

????看完網友實證帖后,杜瑞強想起自己平時肆無忌憚地在星巴克蹭網,不由得有些后怕。

????然而,這還不是讓公共WiFi安全性問題被徹底引爆的關鍵,在“妖妃娘娘”的網帖和隨后網友實證帖被廣泛傳開后,有關“釣魚WiFi”竊取他人信息和密碼的強大能力被越傳越神,“網銀密碼也能輕松搞定”等說法更是引起了眾多網友的強烈不安。

????作為UC瀏覽器開發(fā)廠商——UC優(yōu)視公司對于這個問題并沒有太多回避。

????該公司CEO俞永福直承,在前期某個版本的iPhone用UC瀏覽器上的確存在漏洞,但很快就推出了新版本的軟件加以改進。不過他同時也表示,只要是遭遇“釣魚WiFi”,用戶上網過程中個人信息和密碼就都有可能被別有用心的黑客獲取,并非只有使用UC瀏覽器的用戶才會有這個風險。

????“最大的問題其實是在我們目前網站建設上普遍采用的HTTP(Hypertext Transfer Protocol,超文本傳輸)協(xié)議本身的安全性較低?!庇嵊栏5恼f法獲得了金山網絡安全專家李鐵軍的支持。

????李鐵軍稱,從技術角度來說“妖妃娘娘”介紹的釣魚方法是可行的,但這并不止是手機瀏覽器的問題,只要使用免費WiFi上網,手機或者電腦都有可能被釣魚,這種技術被業(yè)內稱為“攻擊中間人”。

????李鐵軍進一步解釋,如果用戶使用黑客設置的釣魚WiFi上網,那么黑客使用相關軟件監(jiān)視并記錄用戶在網上進行的所有操作信息,從中竊取有價值資料,比如QQ聊天記錄、郵件內容等,“獲取網銀賬戶密碼的可能性較小,但也并不是完全沒有可能”。

????追問2

????用戶資料泄露漏洞在哪?

????WiFi設備并沒有出現(xiàn)安全方面的問題,是人們怎樣使用WiFi上出了問題

????雖然專家證明“釣魚WiFi”的確有可能導致用戶的個人信息泄露,但這究竟是WiFi網絡本身的問題還是其它方面的因素導致,這種泄露的后果究竟又會有多嚴重呢?

????貝爾金公司技術工程師梁漢明認為,釣魚WiFi引發(fā)的公共場所WiFi的安全性問題和WiFi本身的安全性問題,在本質上是兩回事,前者更多的是人的問題,但后者則只是較為單純的設備問題。

????“首先我們需要承認WiFi設備是有一定技術漏洞,這種情況在各種高科技產品和服務中都存在,就像Windows系統(tǒng)市場多次爆出安全漏洞,美國五角大樓也曾經被黑客攻破一樣,網絡設備和服務安全性雖然一直都在提升中,但誰也不敢保證萬無一失?!绷簼h明說,2011年WiFi設備就曾經爆出過WPS(WiFi保護設置)協(xié)議的漏洞,黑客只要用密碼窮舉法(使用計算能力強大的設備將的所有有可能性的密碼排列組合都嘗試一遍)暴力破解,能夠完全攻破WiFi設備的安全防護?!暗@樣做不僅需要專業(yè)的設備,還需要精通相關安全協(xié)議的知識,并非一般黑客能做到的,即使能做到,也往往要花上幾天的時間。”

????但釣魚WiFi的情況顯然完全不同,“妖妃娘娘”稱最短只需要15分鐘就能搞定用戶的賬號和密碼?!斑@是因為他本身就是設置了一個人為的陷阱,他攻克的本來就不是WiFi設備的安全防護,而是網絡瀏覽器的軟件漏洞,或者說是網絡傳輸協(xié)議的漏洞。”梁漢明解釋道,在這整個過程中,WiFi設備其實扮演的只是數(shù)據(jù)傳輸通道的角色,造成用戶信息的泄露并非“WiFi設備惹的禍”,而是用戶貪便宜的心理和網絡瀏覽器和網絡傳輸協(xié)議的軟件漏洞?!霸谶@件事上WiFi設備并沒有出現(xiàn)安全方面的問題,是人們怎樣使用WiFi上出了問題?!?/p>

????不過無論是哪個環(huán)節(jié)出了問題,遭遇釣魚WiFi有可能導致用戶信息泄露的風險卻是真實存在,僅這一點,就足夠讓杜瑞強這樣的網絡用戶憂心忡忡:“一想到有可能連網銀的賬號和密碼都泄露,就不敢再用了!”但在專業(yè)人士眼中,這種擔憂顯得有些過慮。

????廣東發(fā)展銀行陳捷表示,目前絕大部分網絡銀行都已經在頁面上加入了安全控件的技術,而且登錄頁面也多是采用了HTTPS(超文本傳輸安全協(xié)議,Hypertext Transfer Protocol Secure)技術,在終端和服務器之間進行數(shù)據(jù)傳輸時采用的是密文形式,使用WireShark之類的軟件是無法截取的。

????支付寶公司朱建稱,目前網絡第三方支付賬戶的登錄和使用也大多采用手機賬號綁定或者數(shù)字證書認證等技術,即使黑客通過“釣魚WiFi”獲得了賬戶和密碼,在沒有相關數(shù)字證書和綁定賬號的手機短信認證的情況下,也是無法對賬戶資金進行調動的。

????追問3

????免費公共WiFi還能用嗎?

????不少運營商都提供免費WiFi,市民在公共場所最好選擇運營商提供的WiFi

????釣魚WiFi被曝光后,在引發(fā)人們對WiFi安全性再檢討的同時,也讓不少人對于是否應該繼續(xù)在公共場所接入WiFi網絡產生了懷疑。

????媒體人士潘少文平日經常在機場、酒店等公共場所利用免費WiFi工作,現(xiàn)在正考慮買一個3G上網卡。

????潘少文的顧慮并非杞人憂天。專門為中國移動提供WiFi設備專業(yè)建設和維護服務工作的夏侯宇表示,目前公共場所的WiFi主要分為兩種,一種是有電信運營商提供的WiFi熱點,另一種則是商家為招徠客戶自行搭建的WiFi。

????“這兩種WiFi在技術上是有著很大差距的。運營商提供的公共WiFi網絡無論是否免費,都是采用電信運營級的網絡設備,性能穩(wěn)定。運營商在WiFi組網時都會部署多種安全措施,例如連接上WiFi后要想上網還需要通過身份認證、或是要求使用專用的客戶端軟件等,在后臺服務器端,運營商往往還會提供24小時的監(jiān)控?!?/p>

????夏侯宇稱,普通商家自行搭建的WiFi熱點則大多使用民用級WiFi設備,“其實就是家庭用戶的普通無線路由器,而且后臺也沒有進行專門的安全性設置,有的甚至連密碼都沒有,這就給黑客留下了乘虛而入的機會?!?/p>

????作為行業(yè)人士,夏侯宇個人建議,市民在公共場所最好優(yōu)先選擇運營商提供的WiFi。“目前不少運營商都針對其自身的用戶提供免費的WiFi使用時長,充分利用這種優(yōu)惠可以讓用戶在省錢的前提下享受到安全性更有保障的WiFi服務?!?/p>

????據(jù)了解,目前僅中國電信在廣東地區(qū)就已經建設了超過5萬個WiFi熱點,主要分布在校園、酒店、賓館、機場、火車站等交通樞紐、大型購物廣場、商務樓宇等七類公共場所,今年其還將新建2萬個WiFi熱點,使得省內WiFi熱點數(shù)量達到7萬個的水平。而中國移動今年在廣東也提出了新增1.7萬個WiFi熱點的建設計劃,預計到年底其WiFi熱點總數(shù)將達4.2萬個。

????行業(yè)分析人士楊群表示,隨著未來運營商之間競爭的加劇,這種由運營商搭建的公共場所WiFi熱點規(guī)模還有可能進一步擴大,而且免費的也會越來越多。

-
相關鏈接

上一篇:團購信用聯(lián)盟被曝偽認證 靠會費和刪帖吸金

-