有游客入住酒店隨機登錄了一個不需密碼的免費Wi-Fi,手機當即中毒,400多元話費10分鐘內不翼而飛;一位市民在當地使用公共場所Wi-Fi,家中的電腦隨即被入侵,網銀內的6萬多元兩天內被69次盜刷,而所謂保障安全的U盾、銀行卡,賬戶綁定的手機短信、密碼都在,賬戶內的錢卻不見了??
據一份非官方的Wi-Fi信息安全報告顯示,過去一年,全國范圍內的無線網絡遭到攻擊的次數正呈幾何級增長,而讓人更為擔憂的是,依然有很大部分用戶并沒有意識到Wi-Fi可能帶來的安全風險。
監管部門:十年只有入門級規范
“很難說在國內,哪種類型的免費Wi-Fi會更安全。”據了解,目前,市場上可連接的Wi-Fi大體可分為由不同運營商提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi運營商提供的Wi-Fi平臺,以及各類虛假免費Wi-Fi。如此之多的種類,如何界定安全與否?很可惜,到目前為止,無論是官方還是非官方,都無法給出一個切實有效的方案。
到目前為止,行業內唯一可遵循的規則是自2006年3月1日起施行,2005年11月23日由公安部部長辦公會議通過的《互聯網安全保護技術措施規定》,這部在業內被稱為“第82號令”從10年前頒布一直延用至今。而這部法令的根本要求是用戶可溯源。
“一般情況,我們對正規Wi-Fi渠道最簡單的鑒定就是看其是否需要用戶輸入賬戶和密碼,是否需要進行認證登錄,關鍵的動作是用戶輸入動態的短信驗證碼,這就是認證的過程。”一位業內人士透露,驗證機制是目前國家安全部門對Wi-Fi安全的主要要求。當用戶輸入驗證碼之后,Wi-Fi提供商的后臺即生成相應的認證號、留下了用戶資料,完成對用戶進行識別。
這套機制對Wi-Fi登錄前的安全保障負責,“動態密碼作為接入校驗,多了一個認證因子,對判斷虛假Wi-Fi和運營商防止黑客破解Wi-Fi接入是有意義的。”在WiFi安全獨立研究員營智敏看來,到目前為止,虛假Wi-Fi的制作者是無法提供這樣一個校驗碼的,“最起碼他們買不了和運營商一致的短信接口,也就無法形成相似的聯動機制,另一方面,他們也無法攻擊網頁登錄界面去獲得動態密碼,因此,在這條界限內,攻擊者被暫時攔在了門外。”不過他也提出,這是在排除了沒有“偽基站”的前提下,成立的安全防控。
犯罪分子的手段在不斷升級,而防御管理者卻始終在入門級的安全水平徘徊。“Wi-Fi安全分為沒有鏈接之前的誘騙、誘導攻擊和鏈接之后的中間人攻擊。” 在業內人士看來,Wi-Fi犯罪成本低,犯罪技術手段正在不斷成熟,對于地下黑客而言,早就形成了一條龐大的利益鏈條。而最初的入門防御,其實很難阻擋他們犯罪的腳步。
林先生在Wi-Fi行業工作多年,他告訴筆者,目前的這套驗證機制就好比是在一幢大樓的門口裝了一個攝像頭,能記錄下每一個進出的人,但是進去之后這些人做了什么,就無從追蹤了。而驗證碼就好比這個攝像頭,無法記錄登錄Wi-Fi后,人們都干了什么的。因此如何防御進入網內的攻擊,目前,官方的法律規范幾乎是空白。
缺乏了有關規范條例的約束,業內各方只能“跟著感覺”來把控安全。
Wi-FI運營:用戶信息密碼竟然明文傳輸
目前,Wi-Fi使用的現狀是,公共Wi-Fi普及率低,商用Wi-Fi發展速度快,但安全級別無法考證。用業內觀察人士的評價就是,商用Wi-Fi更在意Wi-Fi所能帶來的商業價值,而非安全本身。
安全向利益妥協,這并不是戲言。“目前,國內大部分的商用Wi-Fi運營商都處于起步階段,要求他們做到成熟的安全防御本來就不現實。”據一位知情人士透露,盡管不少商用Wi-Fi也配備了驗證碼機制,但其目的并非是用戶認證,而是為了截取用戶的手機號碼等個人信息。而個人信息的大量聚攏本身就能產生無形的商業價值。
“安全加密通道”,這對于國內大部分Wi-Fi用戶而言,是頗為陌生的專用詞,也正是因為如此,大量的廠商和Wi-Fi運營商才有空間做到對于這種更安全的技術手段“視而不見”。
事實上,安全加密通道是保障Wi-Fi安全的重要手段。在國內Wi-Fi通道作為可以信息傳遞通道,用戶完全有權要求選擇自己在Wi-Fi上流通的內容是否通過加密傳輸。但到目前為止,除了有部分銀行采取了以安全專線的技術方法為某類型的業務提供加密傳輸外,普通大眾的日常Wi-Fi使用,都并不具備如此的“待遇”。
“現有Wi-Fi網絡可以使用加密通道傳輸,但這是附加性功能,非Wi-Fi本身自帶的技術功能。”在營智敏看來,沒有用戶主動提出要求的情況下,廠商和Wi-Fi運營商自然是不會主動添加上類似一項非盈利業務。據一家在Wi-Fi中加入了基礎雙層加密技術的企業透露,該公司在安全支出的成本幾乎占到1/3,其中加密技術涉及到技術的復雜性,比普通防御技術的成本提高20%。
無論是公共還是商用Wi-Fi,一旦加載了加密傳輸技術,用戶在不同通道間擁有選擇權,而選擇加密通道,也就意味著通過的明文信息就將被隔離和保護,處于高度保護狀態。這對于黑客破解難度發起挑戰。但由于這項技術所涉及到的復雜性和建設成本都偏高,因此,行業內提供加密通道的企業少之又少。同時,政府或管理部門也并未對此做出任何強制規范。
硬件廠商:智能路由器或成重災區
Wi-Fi是來無影去蹤的信號,轉換信號的路由器同樣是確保安全的重要源頭。目前,市場上智能路由器大多價格低,使用簡便,但無法規避的是其背后的安全代價。
一位來自本地Wi-Fi運營的廠家負責人告訴筆者,他們之所以沒有開展類似公共Wi-Fi領域的業務,就是擔心其背后的安全隱患,到目前為止,路由器領域內的“安全機制”的缺失,始終讓安全開了一道后門。
為了配合快速發展的需要,目前市場上大部分的無線路由器都需要做到快速部署、低成本開發,并采取通用性的解決方案,如此一來,勢必犧牲安全。“99元的Wi-Fi路由器,要怎么上高級防御技術呢?”
據了解,不少硬件設備廠商為了降低成本,開源修改固件設備,以此大大降低了無線路由器設備自身的抗攻擊能力。這一根本性的薄弱將拉低整條產業鏈的安全防御級別,“路由器有漏洞的時候,有沒有加密方式都可以進行攻擊。”
而另一方面,部分路由器廠商本身對安全也長期采取忽略的態度,據了解,包括HIWI-FI等在內的路由器品牌在做安全眾測時,就被發現了大量漏洞,在安全界人士看來,“這本身就代表這些廠家在其自身技術體系下無法發現相關漏洞,單純依靠外包安全眾測模式不定期的安全檢測,很難真正解決問題。”
“其實只要適當拉高技術開支,就一定有門檻可以減少攻擊者挖掘到漏洞的可能性。”營智敏看來,由于Wi-Fi需要覆蓋的人群范圍廣,使用頻率高,導致在路由器上安全技術部署變成了高成本的開支,要在智能路由器上部署安全技術,比PC端的復雜許多,技術難度高,“類似的路由器防火墻無法快速通用搭配到任何Wi-Fi網絡內,尤其是對于已經受到攻擊或者已經泄漏密碼的無線網絡。” 成本高,加上低效益,導致以商家為代表的用戶也并不樂意買賬,“商家本身也不具備維修能力。”由此造成的現實就是安全不斷讓位于操作的便捷性和低廉的成本。
此外,筆者了解到,目前路由器的相關備案機制也并不成熟。目前,我國實行的報備制度并非強制性的規定,除了運營商的設備、終端、產品都必須向工信部報備外,其他廠商的路由器是否報備皆靠自覺,與此同時,私人用的路由器就無需報備。
觀察:
Wi-Fi安全有新嘗試
目前,“安全讓道于商業利益”,這幾乎是目前國內Wi-Fi不安全的重要誘因,不少人為控制的缺失導致了Wi-Fi發展的亂象。而在采訪過程中,同時也發現,Wi-Fi領域的安全,國內也有不少新的嘗試。
最新成立的騰訊Wi-Fi安全聯盟是國內目前唯一的一家安全聯盟,對于加盟其中的企業騰訊也提出了不少規范和細則,但到目前為止,這個聯盟依然處于發展階段,妥協聯盟內不同企業的利益是他們要著手解決的一道難題。
此外,廣州有一家安全企業目前正在嘗試搭建一個內部的應用,對Wi-Fi安全進行評級,而他們的數據來源是一家來自國外的記錄Wi-Fi的網站wigle,據這家企業的負責人介紹,wigle是一個記錄全世界Wi-Fi的網站,網站上的信息來源是依靠全世界的人共同提交完善的。目前,在這個網站上的數據就顯示我國加密和沒加密的Wi-Fi信息,他們正在做的是,根據wigle的數據以及其他服務接口判斷其中加密Wi-Fi是否泄漏,然后提供給大眾。但他們坦言,目前他們沒有人力去做免費Wi-Fi的安全認證,因此這套應用只能暫時對內測試。
京公網安備 11010502049343號