不安全的WiFi:别为黑客打开大门
发布于 2015-03-16 03:12:41 | 136 次阅读 | 评论: 0 | 来源: 网友投递
Wi-Fi
WIFI 即 Wi-Fi 。
无线保真是一种可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术,事实上它是一个高频无线电信号。
“人傻、钱多、没人管”,这是央视3·15晚会总导演对互联网行业的定义。虽然不少业内人士对此说法不以为然,但可以确定的一点是,随着互联网和移动互联网与日常生活的关系日益紧密。“互联网+”的模式将越来越多,只是当人们将更多的钱、信息都托付给互联网时,其暗藏的风险也令人触目惊心。
3月15日消费者权益保护日到来之际,《IT时报》通过微博、微信等多种渠道发布了维权征集令,在消费者反馈的信息中,安全成为人们在互联网生活上最担忧的话题。
当各路互联网企业都将Wi-Fi作为争夺用户的入口时,更多黑客则将其看做是更快攻入电脑、手机的捷径;当人们欣喜于自己的投资收益可以高达20%时,一些P2P网贷平台的老板们正在悄悄将资金转移到他处;当越来越多的人享受各种手机App提供生活便利时,可能有个公司正在收集你所有的信息……安全与便捷,这一对相生相悖的词,将一直纠缠于整个互联网带来的信息消费生活中。
“Ghost in the air,信号在大气中传播,实体化的防火墙无法影响信号的广播范围和游走方向,信号所到之处也就存在着安全风险。因此,没有绝对安全的Wi-Fi。”在一位安全界人士看来,任何形式的Wi-Fi都有被黑客攻入的可能。刘先生,长期从事信息安全工作,他告诉《IT时报》记者,他从不使用公共或商用Wi-Fi,家中的Wi-Fi也通过技术隔离,给访客单独开辟一条通道,为的就是防止Wi-Fi在共享时造成信息泄露。
如此的小心翼翼看似有些夸张,但接下来的一组报道回顾会让你明白究竟什么样的危险已经来到你身边:游客在入住的酒店随机登录了一个不需密码的免费Wi-Fi,手机当即中毒,400多元话费10分钟内不翼而飞;一位市民在当地使用公共场所Wi-Fi,家中的电脑随即被入侵,网银内的6万多元两天内被69次盗刷,而所谓保障安全的U盾、银行卡,账户绑定的手机短信、密码都在,账户内的钱却不见了……据一份非官方的Wi-Fi信息安全报告显示,过去一年,全国范围内的无线网络遭到攻击的次数正呈几何级增长,而让人更为担忧的是,依然有很大一部分用户并没有意识到Wi-Fi可能带来的安全风险。
一双双无形的幕后黑手正跟着“信号”自如地穿梭于各种账号间,让所谓的安全形同虚设,而在这场危机重重的Wi-Fi网络攻防战中,我们就真的束手无策了吗?除了自保,谁又能来保护我们的安全呢?
* 消费案例
网站莫名“变身”?
打开百度,网站瞬间就变成了黄色网站,同一时间,QQ账号也被盗。重启了路由器,事态却依然没有得到控制。不久前,山东的付先生在上网时,家里的Wi-Fi路由器就遭到了攻击。“一点击百度、新浪等官方网站,网站自动跳转为黄色网站。一开始以为浏览器出了问题,但试了几个浏览器后都不行,重启电脑、路由器还是一样的结果。”
没有办法的付先生意识到可能中毒了,为防万一,他只能拔了网线。此后,付先生重新设置了路由器,但情况依旧没有好转。然而几天后,付先生在登录QQ时看到了“QQ异地登录”的提示。
付先生告诉《IT时报》记者,身边有朋友曾经因为连了陌生的Wi-Fi,银行卡账户信息被盗,这还可以理解,但是自己用的是家里的Wi-Fi,而且路由器密码设置的是数字加字母组合,结果还是被黑客攻破了。
这种情况正是黑客利用路由器的漏洞,绕开管理界面的密码验证,进入后台大肆篡改、劫持用户路由器的DNS地址,把用户访问的页面劫持到自己的服务器上,以此盗取网银、QQ等。
“如果黑客攻入的是商场、饭店的路由器,那么这时由他们提供的Wi-Fi就是不安全的,而且受众的受害面会更加大。”安全专家营智敏说。付先生现在几乎都不敢用外面的无线网络了。
◆ 十年始终只有入门级监管
“很难说在国内哪种类型的免费Wi-Fi会更安全。”据了解,目前市场上可连接的Wi-Fi大体可分为由运营商提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi运营商提供的Wi-Fi平台,以及各类虚假免费Wi-Fi。如此多的种类,如何界定安全与否?很可惜,到目前为止,无论是官方还是非官方,都无法给出一个切实有效的方案。
到目前为止,行业内唯一可遵循的规则是自2006年3月1日起施行的《互联网安全保护技术措施规定》,在业内被称为“第82号令”,从10年前颁布一直延用至今,其根本要求是用户可溯源。
“一般情况,我们对正规Wi-Fi渠道最简单的鉴定就是看其是否需要用户输入账户和密码,是否需要进行认证登录,关键的动作是用户输入动态的短信验证码,这就是认证的过程。”一位业内人士透露,验证机制是目前国家安全部门对Wi-Fi安全的主要要求。当用户输入验证码之后,Wi-Fi提供商的后台即生成相应的认证号、留下了用户资料,从而完成对用户识别。
这套机制对Wi-Fi登录前的安全保障负责,“动态密码作为接入校验,多了一个认证因子,对判断虚假Wi-Fi和运营商防止黑客破解Wi-Fi接入是有意义的。”在Wi-Fi安全独立研究员营智敏看来,到目前为止,虚假Wi-Fi的制作者是无法提供这样一个校验码的,“最起码他们买不了和运营商一致的短信接口,也无法形成相似的联动机制,另一方面,他们也无法攻击网页登录界面去获得动态密码,因此,在这条界限内,攻击者被暂时拦在了门外。”不过他也提出,这种安全也只在没有“伪基站”的前提下成立。
犯罪分子的手段在不断升级,而防御管理者却始终在入门级的安全水平徘徊。“Wi-Fi安全分为没有链接之前的诱骗、诱导攻击和链接之后的中间人攻击。” 在业内人士看来,Wi-Fi犯罪成本低,犯罪技术手段正在不断成熟,对于地下黑客而言,早就形成了一条庞大的利益链条。而最初的入门防御,其实很难阻挡他们犯罪的脚步。
林先生在Wi-Fi行业工作多年,他告诉记者,目前的这套验证机制就好比是在一幢大楼的门口装了一个摄像头,能记录下每一个进出的人,但是进去之后这些人做了什么,就无从追踪了。而验证码就好比这个摄像头,无法记录登录Wi-Fi后,人们都干了什么。因此如何防御进入网内的攻击,目前,官方的法律规范几乎是空白。
而缺乏有关规范条例的约束,业内各方只能“跟着感觉”来把控安全。
◆ 用户信息密码竟然明文传输
目前,Wi-Fi使用的现状是,公共Wi-Fi普及率低,商用Wi-Fi发展速度快,但安全级别无法考证。业内观察人士对此评价,商用Wi-Fi更在意Wi-Fi所能带来的商业价值,而非安全本身。
安全向利益妥协,这并不是戏言。“目前,国内大部分商用Wi-Fi运营商都处于起步阶段,要求他们做到成熟的安全防御本来就不现实。”据一位知情人士透露,尽管不少商用Wi-Fi也配备了验证码机制,但其目的并非是用户认证,而是为了截取用户的手机号码等个人信息。而个人信息的大量聚拢本身就能产生无形的商业价值。
“安全加密通道”,对于国内大部分Wi-Fi用户而言,是颇为陌生的专用词,也正是因为如此,大量的厂商和Wi-Fi运营商才有空间做到对于这种更安全的技术手段“视而不见”。
事实上,安全加密通道是保障Wi-Fi安全的重要手段。在国内Wi-Fi作为可以传递的信息通道,用户完全有权要求选择自己在Wi-Fi上流通的内容是否通过加密传输。但到目前为止,除了部分银行采取了以安全专线的技术方法为某类型的业务提供加密传输外,普通大众的日常Wi-Fi使用,都并不具备如此“待遇”。
“现有Wi-Fi网络可以使用加密通道传输,但这是附加性功能,非Wi-Fi本身自带的技术功能。”在营智敏看来,在没有用户主动提出要求的情况下,厂商和Wi-Fi运营商自然是不会主动添加类似的非盈利业务。据一家在Wi-Fi中加入了基础双层加密技术的企业透露,该公司在安全支出的成本几乎占到1/3,其中加密技术涉及到技术的复杂性,比普通防御技术的成本高20%。
无论是公共还是商用Wi-Fi,一旦加载了加密传输技术,用户可以在不同通道间拥有选择权,而选择加密通道,也就意味着通过的明文信息就将被隔离和保护,处于高度保护状态。这对于黑客破解难度发起挑战。
但由于这项技术所涉及到的复杂性和建设成本都偏高,因此,行业内提供加密通道的企业少之又少。同时,政府或管理部门也并未对此做出任何强制规范。
◆ 智能路由器或成重灾区
Wi-Fi是来无影去无踪的信号,转换信号的路由器同样是确保安全的重要源头。目前,市场上智能路由器大多价格低,使用简便,但无法规避的是其背后的安全代价。
一位来自本地Wi-Fi运营的厂商负责人告诉记者,他们之所以没有开展类似公共Wi-Fi领域的业务,就是担心其背后的安全隐患,到目前为止,路由器领域内的“安全机制”的缺失,始终让安全开了一道后门。
为了配合快速发展的需要,目前市场上大部分的无线路由器都需要做到快速部署、低成本开发,并采取通用性的解决方案,如此一来,势必牺牲安全。“99元的Wi-Fi路由器,要怎么上高级防御技术呢?”
据了解,不少硬件设备厂商为了降低成本,开源修改固件设备,以此大大降低了无线路由器设备自身的抗攻击能力。这一根本性的薄弱将拉低整条产业链的安全防御级别,“路由器有漏洞的时候,有没有加密方式都可以进行攻击。”
另一方面,部分路由器厂商本身对安全也长期采取忽视的态度,据了解,包括一些路由器品牌在做安全众测时,被发现了大量漏洞,在安全界人士看来,“这本身就代表这些厂家在其自身技术体系下无法发现相关漏洞,单纯依靠外包安全众测不定期的安全检测,很难真正解决问题。”
“其实只要适当拉高技术开支,就一定有门槛可以减少攻击者挖掘到漏洞的可能性。”在营智敏看来,由于Wi-Fi需要覆盖的人群范围广,使用频率高,导致在路由器上安全技术部署变成了高成本的开支,要在智能路由器上部署安全技术,比PC端的复杂许多,技术难度高,“类似的路由器防火墙无法快速通用搭配到任何Wi-Fi网络内,尤其是对于已经受到攻击或者已经泄露密码的无线网络。” 成本高,加上低效益,导致以商家为代表的用户也并不乐意买账,“商家本身也不具备维修能力。”由此造成的现实就是安全不断让位于操作的便捷性和低廉的成本。
此外,记者了解到,目前路由器的相关备案机制也并不成熟。目前,我国实行的报备制度并非强制性的规定,除了运营商的设备、终端、产品都必须向工信部报备外,其他厂商的路由器是否报备皆靠自觉,与此同时,私人用的路由器就无需报备。
* 记者观察
Wi-Fi安全有新尝试
目前,“安全让道于商业利益”,几乎是目前国内Wi-Fi不安全的重要诱因,不少管理规则的缺失导致了Wi-Fi发展的乱象。不过《IT时报》记者同时也发现,对于Wi-Fi领域的安全,国内也有不少新的尝试。
最新成立的腾讯Wi-Fi安全联盟是目前国内的一家安全联盟,对于加盟其中的企业,腾讯提出了不少规范和细则,但到目前为止,这个联盟依然处于发展阶段,联盟内不同企业的利益妥协是他们要着手解决的一道难题。
此外,广州有一家安全企业目前正在尝试搭建一个内部的应用,对Wi-Fi安全进行评级,而他们的数据来源是一家来自国外记录Wi-Fi的网站Wigle,据这家企业的负责人介绍,Wigle是一个记录全世界Wi-Fi的网站,网站上的信息来源是依靠全世界的人共同提交完善的。目前,这个网站上的数据可以显示我国加密和没加密的Wi-Fi信息。他们正在做的是,根据Wigle的数据以及其他服务接口判断其中加密Wi-Fi是否泄露,然后提供给大众。但他们坦言,没有人力去做免费Wi-Fi的安全认证,因此这套应用只能暂时对内测试。