防火墙

公共Wi-Fi难以割舍的威胁

  人类曾无数次想象机器人控制地球的场景,血腥地屠杀、肆意地破坏,电影《终结者》是将这个想象持续最久的影片之一。自上世纪80年代,编剧设想在公元2029年地球由电脑“天网”统治,人类通过抗争终于留下了“革命”的火种开始,《终结者》系列就一直是人类抗击未来机器人的主题。在今年上映的《终结者5》中,天网终于拥有独立意识,但对于人类的恶意依旧,人类抗击天网之路也依然继续

  机器人的高智能,一来是机械机密性提高,二来则是互联网的普及。虽然这些恐怖的威胁目前依然只是人类的想象,但是随着科技的发展,互联网会进化得更高级,人类的工作生活也越来越依赖网络,这从如今大力发展的公共Wi-Fi就可窥一斑。

  今年3月16日,360手机安全中心发布了“2015中国Wi-Fi安全绿皮书”,其中数据显示,家用Wi-Fi中约有3.3%的Wi-Fi密码使用低级加密方式,也就是说,目前我国有超过400万家用Wi-Fi密码设置不安全,平均每天有约3.06%的Wi-Fi会遭遇DNS(Domain Name System,域名系统)劫持攻击,4.97%的Wi-Fi会遭遇ARP(Address Resolution Protocol,地址解析协议)攻击。用户一旦使用被篡改的恶意DNS,可能被劫持至钓鱼网站,最终导致通过登录网页,账号密码等个人隐私信息被盗。“ARP攻击带来的后果是在连入同一局域网内的流量都会被监听,那么用户使用该网络做的事情,比如刚上传的照片,不久前的聊天内容甚至输入的口令都会暴露在攻击者的眼皮底下。”华南师范大学计算机学院教授赵淦森向《中国科学报》记者解释说。

  其实在去年,瑞星公司就曾经连续发布两份针对Wi-Fi安全的报告,指出一旦攻击者进入免费Wi-Fi后,会对网络中的其他用户进行嗅探,并截取网络中传输的数据,进而通过专业软件截获各种用户名、密码、上网记录、设备信息、聊天记录及邮件内容等。

  今年6月1日,在四川省第二届国家网络安全宣传周启动仪式中,四川大学教授、网络信息安全专家陈兴蜀作了网络安全形势报告,并通过一套监控系统现场演示了如何使用免费的公共Wi-Fi非法获取连入该Wi-Fi用户的信息。她同时提醒,使用公共场所的免费Wi-Fi上网要谨慎,不法分子可能会借机盗取信息。

  而在刚刚过去的“纪念中国人民抗日战争暨世界反法西斯胜利70周年”的阅兵式期间,北京长安街周边的公共场所开设的Wi-Fi也要求关闭。当然,这其中涉及一部分无线电管理的原因,不过中国科学院软件研究所副研究员连一峰表示:“这也是为安全考虑,如果有人伪造假冒的Wi-Fi站点,虽然看起来是官方的名字,实际由违法基站发出,那么如果接入进去就会有危险。”

  伪造热点Wi-Fi,也是赵淦森提到的安全威胁之一,“这里的安全威胁主要利用的是移动终端会尝试自动连接过去曾经连接过的Wi-Fi”。比如用户过去曾经连接过“CMCC”的无线热点,这个热点是不需要密码的,那么攻击者伪造一个以“CMCC”命名的Wi-Fi,而用户一直开启手机的Wi-Fi功能的话,那么就会无意中连入一个钓鱼Wi-Fi,用户的所有网络操作都在攻击者的掌控之中。

  由此可见,公共Wi-Fi到底带来的是便捷还是危险,值得商榷。然而,在当今社会无线网络的发展已经是大势所趋。

  在去年出台的广东省发展规划文件《宽带广东发展规划(2014-2020年)》中,明确提到了为深入贯彻落实《国务院关于印发“宽带中国”战略及实施方案的通知》,要加快推进广东省宽带网络发展,提升信息化水平,因此在推进网络基础设施建设中指出要加快推进无线宽带城市群的建设,其中就包括实现无线局域网在珠三角重要区域和公共场所的全覆盖,全面提高热点区域大流量移动数据业务承载能力等的指导意见。“从上面可以看出Wi-Fi信号的建设对于一个城市的整体规划建设是十分重要的。Wi-Fi的建设不仅仅是为用户带来便捷,依托无线网络的发展建设,还能带动相关的技术和产业的发展,例如面向教育、医疗、交通、公共安全等领域的技术研发。”赵淦森解释道。

  无独有偶,在深圳“十二五”规划中,加快建设“智慧深圳”也被专列一章,提出重点在学校、公共图书馆、交通枢纽等公共场所部署无线热点,为市民提供免费无线宽带接入服务。

  除了政府下辖的公共场所为公众开放了Wi-Fi信号,很多商家也纷纷开设了自己的Wi-Fi。“这样更方便用户使用,人们只需选择信号最好的Wi-Fi即可。”连一峰表示。

  “从商家的角度来说,商店拥有自己的Wi-Fi相对公共Wi-Fi来说会更加可控。”赵淦森表示。这里的可控体现在,当一些大型购物场所或餐厅有自己业务的自主化需求时,可以在自家的Wi-Fi登录中设定推广首页,而且,商家建设自有的Wi-Fi有利于商家开展自主的基于网络的商业营销等。这在知识爆炸、信息满天飞的今天,还有什么能比商家的Wi-Fi更能让广告如此低成本、便捷地占领个人手机和其他移动端呢?

  然而,随之而来的问题是,商家的Wi-Fi是否安全?专家认为,设定Wi-Fi的商家是否具有一定的安全意识,这决定了人们接入Wi-Fi后如何保证移动终端私人信息的安全。“当一些公共Wi-Fi尚未建设完善达到一定的安全高度,而商家具有一定的网络安全意识,他可以根据实际需求,制定一些Wi-Fi的安全策略,如设置ARP防火墙等。那些没有密码的Wi-Fi相对有密码的Wi-Fi而言,确实要危险得多。”赵淦森表示。

  对于窃取信息者而言,有密码的Wi-Fi相当于为攻击者多设置了一层屏障,在ARP攻击时,需要攻击者连接到同一网络中才能实施,若Wi-Fi设置有密码,那么攻击者在不知道Wi-Fi密码的情况下还需要对Wi-Fi进行密码破解。“另外还有一种情况,针对一些安全意识比较低的用户,这类用户在寻找Wi-Fi时,当发现一个Wi-Fi不需要密码便可使用时,往往会不假思索使用这个无密码的Wi-Fi,而攻击者往往会利用无密码的Wi-Fi进行钓鱼,窃取用户的账户密码等隐私信息。”赵淦森进一步说明。

  “所以,在使用公共Wi-Fi时最好只进行比较简单的操作,比如看看新闻。尽量不要访问需要输入口令的或者含有敏感信息的网站和应用,比如邮箱、支付宝、微信、QQ等即时通信App等,一旦站点有问题就很危险。”连一峰说。更需要注意的是,尽管手机终端不断升级,软件版本不断提升,但是手机系统软件本身也存在漏洞,被连入未知公共Wi-Fi的终端,很容易被黑客攻入。同时,连一峰也表示:“如果手机有漏洞,或者感染病毒,即便不通过Wi-Fi,只通过手机信号信息也会泄露。”

  1.不要在公共Wi-Fi中使用支付宝、网银等支付类应用,尽量避免输入个人账号密码等操作,防止个人的隐私信息泄露;

  2.不要登录没有密码的Wi-Fi,在接入Wi-Fi前尽量确认是可信来源;

  3.不需要使用Wi-Fi时,关闭Wi-Fi功能,避免自动接入Wi-Fi,引发不必要的安全隐患;

  5.就算是私人Wi-Fi,也不能掉以轻心。例如TP-Link路由器就曾经爆出过有后门漏洞,带来的后果是攻击者可以以最高权限控制该路由器。另外如果用户还是用安全性较低的WEP加密方式,那么攻击者抓取足够多的包就可以破解Wi-Fi了,进而与用户连入同一网络。就算是使用安全性较高的WPA/WPA2协议,但是如果同时开启了WPS,那么攻击者也是可以破解Wi-Fi的。所以私人Wi-Fi相对公共Wi-Fi会更加可控,不排除会被黑客攻击。

浏览过本文章的用户还浏览过
  • 今日热闻!小红伞好用吗:启发式杀毒是红伞更大

    提起小红伞好用吗(小红伞免费版和火绒) 大家在熟悉不过了,被越来越多的人所熟知,那你知道小红伞好用吗(小红伞免费版和火绒) 吗?快和小编一起去了解一下吧! 另外,我建 [详细]

  • 如果你需要安装反病毒软件 那么试试火绒v40版吧

    国产反病毒软件很多很多但算良心的则是屈指可数,火绒安全软件算是国产反病毒软件中的一股清流。 火绒安全软件号称强悍轻巧且干净的国产安全软件,与其他国产安全软件相比没有 [详细]

  • 公共Wi-Fi难以割舍的威胁

    人类曾无数次想象机器人控制地球的场景,血腥地屠杀、肆意地破坏,电影《终结者》是将这个想象持续最久的影片之一。自上世纪80年代,编剧设想在公元2029年地球由电脑天网统治, [详细]

  • 火绒安全软件正式上架Win11应用商店

    日前,火绒安全软件已正式上架微软Win11应用商店,用户可以通过微软商店搜索火绒安全杀毒漏洞修复安全软件等相关关键词安装使用。微软于10月初发布了新一代操作系统Win11及全新的 [详细]