精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

不安全的WiFi:別為黑客打開(kāi)大門

責(zé)任編輯:editor004

作者:章蔚瑋 潘少穎

2015-03-16 11:00:52

摘自:IT時(shí)報(bào)

這種情況正是黑客利用路由器的漏洞,繞開(kāi)管理界面的密碼驗(yàn)證,進(jìn)入后臺(tái)大肆篡改、劫持用戶路由器的DNS地址,把用戶訪問(wèn)的頁(yè)面劫持到自己的服務(wù)器上,以此盜取網(wǎng)銀、QQ等。

“人傻、錢多、沒(méi)人管”,這是央視3·15晚會(huì)總導(dǎo)演對(duì)互聯(lián)網(wǎng)行業(yè)的定義,雖然不少業(yè)內(nèi)人士對(duì)此說(shuō)法不以為然,但可以確定的一點(diǎn)是,隨著互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)與日常生活的關(guān)系日益緊密,“互聯(lián)網(wǎng)+”的模式將越來(lái)越多,只是當(dāng)人們將更多的錢、信息都托付給互聯(lián)網(wǎng)時(shí),其暗藏的風(fēng)險(xiǎn)也令人觸目驚心。

3月15日消費(fèi)者權(quán)益保護(hù)日到來(lái)之際,《IT時(shí)報(bào)》通過(guò)微博、微信等多種渠道發(fā)布了維權(quán)征集令,在消費(fèi)者反饋的信息中,安全成為人們?cè)诨ヂ?lián)網(wǎng)生活上最擔(dān)憂的話題。

當(dāng)各路互聯(lián)網(wǎng)企業(yè)都將Wi-Fi作為爭(zhēng)奪用戶的入口時(shí),更多黑客則將其看做是更快攻入電腦、手機(jī)的捷徑;當(dāng)人們欣喜于自己的投資收益可以高達(dá)20%時(shí),一些P2P網(wǎng)貸平臺(tái)的老板們正在悄悄將資金轉(zhuǎn)移到他處;當(dāng)越來(lái)越多的人享受各種手機(jī)App提供生活便利時(shí),可能有個(gè)公司正在收集你所有的信息……安全與便捷,這一對(duì)相生相悖的詞,將一直糾纏于整個(gè)互聯(lián)網(wǎng)帶來(lái)的信息消費(fèi)生活中。

“Ghost in the air,信號(hào)在大氣中傳播,實(shí)體化的防火墻無(wú)法影響信號(hào)的廣播范圍和游走方向,信號(hào)所到之處也就存在著安全風(fēng)險(xiǎn)。因此,沒(méi)有絕對(duì)安全的Wi-Fi。”在一位安全界人士看來(lái),任何形式的Wi-Fi都有被黑客攻入的可能。劉先生,長(zhǎng)期從事信息安全工作,他告訴《IT時(shí)報(bào)》記者,他從不使用公共或商用Wi-Fi,家中的Wi-Fi也通過(guò)技術(shù)隔離,給訪客單獨(dú)開(kāi)辟一條通道,為的就是防止Wi-Fi在共享時(shí)造成信息泄露。

如此的小心翼翼看似有些夸張,但接下來(lái)的一組報(bào)道回顧會(huì)讓你明白究竟什么樣的危險(xiǎn)已經(jīng)來(lái)到你身邊:游客在入住的酒店隨機(jī)登錄了一個(gè)不需密碼的免費(fèi)Wi-Fi,手機(jī)當(dāng)即中毒,400多元話費(fèi)10分鐘內(nèi)不翼而飛;一位市民在當(dāng)?shù)厥褂霉矆?chǎng)所Wi-Fi,家中的電腦隨即被入侵,網(wǎng)銀內(nèi)的6萬(wàn)多元兩天內(nèi)被69次盜刷,而所謂保障安全的U盾、銀行卡,賬戶綁定的手機(jī)短信、密碼都在,賬戶內(nèi)的錢卻不見(jiàn)了……據(jù)一份非官方的Wi-Fi信息安全報(bào)告顯示,過(guò)去一年,全國(guó)范圍內(nèi)的無(wú)線網(wǎng)絡(luò)遭到攻擊的次數(shù)正呈幾何級(jí)增長(zhǎng),而讓人更為擔(dān)憂的是,依然有很大一部分用戶并沒(méi)有意識(shí)到Wi-Fi可能帶來(lái)的安全風(fēng)險(xiǎn)。

一雙雙無(wú)形的幕后黑手正跟著“信號(hào)”自如地穿梭于各種賬號(hào)間,讓所謂的安全形同虛設(shè),而在這場(chǎng)危機(jī)重重的Wi-Fi網(wǎng)絡(luò)攻防戰(zhàn)中,我們就真的束手無(wú)策了嗎?除了自保,誰(shuí)又能來(lái)保護(hù)我們的安全呢?

* 消費(fèi)案例

網(wǎng)站莫名“變身”?

打開(kāi)百度,網(wǎng)站瞬間就變成了黃色網(wǎng)站,同一時(shí)間,QQ賬號(hào)也被盜。重啟了路由器,事態(tài)卻依然沒(méi)有得到控制。不久前,山東的付先生在上網(wǎng)時(shí),家里的Wi-Fi路由器就遭到了攻擊。“一點(diǎn)擊百度、新浪等官方網(wǎng)站,網(wǎng)站自動(dòng)跳轉(zhuǎn)為黃色網(wǎng)站。一開(kāi)始以為瀏覽器出了問(wèn)題,但試了幾個(gè)瀏覽器后都不行,重啟電腦、路由器還是一樣的結(jié)果。”

沒(méi)有辦法的付先生意識(shí)到可能中毒了,為防萬(wàn)一,他只能拔了網(wǎng)線。此后,付先生重新設(shè)置了路由器,但情況依舊沒(méi)有好轉(zhuǎn)。然而幾天后,付先生在登錄QQ時(shí)看到了“QQ異地登錄”的提示。

付先生告訴《IT時(shí)報(bào)》記者,身邊有朋友曾經(jīng)因?yàn)檫B了陌生的Wi-Fi,銀行卡賬戶信息被盜,這還可以理解,但是自己用的是家里的Wi-Fi,而且路由器密碼設(shè)置的是數(shù)字加字母組合,結(jié)果還是被黑客攻破了。

這種情況正是黑客利用路由器的漏洞,繞開(kāi)管理界面的密碼驗(yàn)證,進(jìn)入后臺(tái)大肆篡改、劫持用戶路由器的DNS地址,把用戶訪問(wèn)的頁(yè)面劫持到自己的服務(wù)器上,以此盜取網(wǎng)銀、QQ等。

“如果黑客攻入的是商場(chǎng)、飯店的路由器,那么這時(shí)由他們提供的Wi-Fi就是不安全的,而且受眾的受害面會(huì)更加大。”安全專家營(yíng)智敏說(shuō)。付先生現(xiàn)在幾乎都不敢用外面的無(wú)線網(wǎng)絡(luò)了。

◆ 十年始終只有入門級(jí)監(jiān)管

“很難說(shuō)在國(guó)內(nèi)哪種類型的免費(fèi)Wi-Fi會(huì)更安全。”據(jù)了解,目前市場(chǎng)上可連接的Wi-Fi大體可分為由運(yùn)營(yíng)商提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi運(yùn)營(yíng)商提供的Wi-Fi平臺(tái),以及各類虛假免費(fèi)Wi-Fi。如此多的種類,如何界定安全與否?很可惜,到目前為止,無(wú)論是官方還是非官方,都無(wú)法給出一個(gè)切實(shí)有效的方案。

到目前為止,行業(yè)內(nèi)唯一可遵循的規(guī)則是自2006年3月1日起施行的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》,在業(yè)內(nèi)被稱為“第82號(hào)令”,從10年前頒布一直延用至今,其根本要求是用戶可溯源。

“一般情況,我們對(duì)正規(guī)Wi-Fi渠道最簡(jiǎn)單的鑒定就是看其是否需要用戶輸入賬戶和密碼,是否需要進(jìn)行認(rèn)證登錄,關(guān)鍵的動(dòng)作是用戶輸入動(dòng)態(tài)的短信驗(yàn)證碼,這就是認(rèn)證的過(guò)程。”一位業(yè)內(nèi)人士透露,驗(yàn)證機(jī)制是目前國(guó)家安全部門對(duì)Wi-Fi安全的主要要求。當(dāng)用戶輸入驗(yàn)證碼之后,Wi-Fi提供商的后臺(tái)即生成相應(yīng)的認(rèn)證號(hào)、留下了用戶資料,從而完成對(duì)用戶識(shí)別。

這套機(jī)制對(duì)Wi-Fi登錄前的安全保障負(fù)責(zé),“動(dòng)態(tài)密碼作為接入校驗(yàn),多了一個(gè)認(rèn)證因子,對(duì)判斷虛假Wi-Fi和運(yùn)營(yíng)商防止黑客破解Wi-Fi接入是有意義的。”在Wi-Fi安全獨(dú)立研究員營(yíng)智敏看來(lái),到目前為止,虛假Wi-Fi的制作者是無(wú)法提供這樣一個(gè)校驗(yàn)碼的,“最起碼他們買不了和運(yùn)營(yíng)商一致的短信接口,也無(wú)法形成相似的聯(lián)動(dòng)機(jī)制,另一方面,他們也無(wú)法攻擊網(wǎng)頁(yè)登錄界面去獲得動(dòng)態(tài)密碼,因此,在這條界限內(nèi),攻擊者被暫時(shí)攔在了門外。”不過(guò)他也提出,這種安全也只在沒(méi)有“偽基站”的前提下成立。

犯罪分子的手段在不斷升級(jí),而防御管理者卻始終在入門級(jí)的安全水平徘徊。“Wi-Fi安全分為沒(méi)有鏈接之前的誘騙、誘導(dǎo)攻擊和鏈接之后的中間人攻擊。” 在業(yè)內(nèi)人士看來(lái),Wi-Fi犯罪成本低,犯罪技術(shù)手段正在不斷成熟,對(duì)于地下黑客而言,早就形成了一條龐大的利益鏈條。而最初的入門防御,其實(shí)很難阻擋他們犯罪的腳步。

林先生在Wi-Fi行業(yè)工作多年,他告訴記者,目前的這套驗(yàn)證機(jī)制就好比是在一幢大樓的門口裝了一個(gè)攝像頭,能記錄下每一個(gè)進(jìn)出的人,但是進(jìn)去之后這些人做了什么,就無(wú)從追蹤了。而驗(yàn)證碼就好比這個(gè)攝像頭,無(wú)法記錄登錄Wi-Fi后,人們都干了什么。因此如何防御進(jìn)入網(wǎng)內(nèi)的攻擊,目前,官方的法律規(guī)范幾乎是空白。

而缺乏有關(guān)規(guī)范條例的約束,業(yè)內(nèi)各方只能“跟著感覺(jué)”來(lái)把控安全。

◆ 用戶信息密碼竟然明文傳輸

目前,Wi-Fi使用的現(xiàn)狀是,公共Wi-Fi普及率低,商用Wi-Fi發(fā)展速度快,但安全級(jí)別無(wú)法考證。業(yè)內(nèi)觀察人士對(duì)此評(píng)價(jià),商用Wi-Fi更在意Wi-Fi所能帶來(lái)的商業(yè)價(jià)值,而非安全本身。

安全向利益妥協(xié),這并不是戲言。“目前,國(guó)內(nèi)大部分商用Wi-Fi運(yùn)營(yíng)商都處于起步階段,要求他們做到成熟的安全防御本來(lái)就不現(xiàn)實(shí)。”據(jù)一位知情人士透露,盡管不少商用Wi-Fi也配備了驗(yàn)證碼機(jī)制,但其目的并非是用戶認(rèn)證,而是為了截取用戶的手機(jī)號(hào)碼等個(gè)人信息。而個(gè)人信息的大量聚攏本身就能產(chǎn)生無(wú)形的商業(yè)價(jià)值。

“安全加密通道”,對(duì)于國(guó)內(nèi)大部分Wi-Fi用戶而言,是頗為陌生的專用詞,也正是因?yàn)槿绱耍罅康膹S商和Wi-Fi運(yùn)營(yíng)商才有空間做到對(duì)于這種更安全的技術(shù)手段“視而不見(jiàn)”。

事實(shí)上,安全加密通道是保障Wi-Fi安全的重要手段。在國(guó)內(nèi)Wi-Fi作為可以傳遞的信息通道,用戶完全有權(quán)要求選擇自己在Wi-Fi上流通的內(nèi)容是否通過(guò)加密傳輸。但到目前為止,除了部分銀行采取了以安全專線的技術(shù)方法為某類型的業(yè)務(wù)提供加密傳輸外,普通大眾的日常Wi-Fi使用,都并不具備如此“待遇”。

“現(xiàn)有Wi-Fi網(wǎng)絡(luò)可以使用加密通道傳輸,但這是附加性功能,非Wi-Fi本身自帶的技術(shù)功能。”在營(yíng)智敏看來(lái),在沒(méi)有用戶主動(dòng)提出要求的情況下,廠商和Wi-Fi運(yùn)營(yíng)商自然是不會(huì)主動(dòng)添加類似的非盈利業(yè)務(wù)。據(jù)一家在Wi-Fi中加入了基礎(chǔ)雙層加密技術(shù)的企業(yè)透露,該公司在安全支出的成本幾乎占到1/3,其中加密技術(shù)涉及到技術(shù)的復(fù)雜性,比普通防御技術(shù)的成本高20%。

無(wú)論是公共還是商用Wi-Fi,一旦加載了加密傳輸技術(shù),用戶可以在不同通道間擁有選擇權(quán),而選擇加密通道,也就意味著通過(guò)的明文信息就將被隔離和保護(hù),處于高度保護(hù)狀態(tài)。這對(duì)于黑客破解難度發(fā)起挑戰(zhàn)。

但由于這項(xiàng)技術(shù)所涉及到的復(fù)雜性和建設(shè)成本都偏高,因此,行業(yè)內(nèi)提供加密通道的企業(yè)少之又少。同時(shí),政府或管理部門也并未對(duì)此做出任何強(qiáng)制規(guī)范。

◆ 智能路由器或成重災(zāi)區(qū)

Wi-Fi是來(lái)無(wú)影去無(wú)蹤的信號(hào),轉(zhuǎn)換信號(hào)的路由器同樣是確保安全的重要源頭。目前,市場(chǎng)上智能路由器大多價(jià)格低,使用簡(jiǎn)便,但無(wú)法規(guī)避的是其背后的安全代價(jià)。

一位來(lái)自本地Wi-Fi運(yùn)營(yíng)的廠商負(fù)責(zé)人告訴記者,他們之所以沒(méi)有開(kāi)展類似公共Wi-Fi領(lǐng)域的業(yè)務(wù),就是擔(dān)心其背后的安全隱患,到目前為止,路由器領(lǐng)域內(nèi)的“安全機(jī)制”的缺失,始終讓安全開(kāi)了一道后門。

為了配合快速發(fā)展的需要,目前市場(chǎng)上大部分的無(wú)線路由器都需要做到快速部署、低成本開(kāi)發(fā),并采取通用性的解決方案,如此一來(lái),勢(shì)必犧牲安全。“99元的Wi-Fi路由器,要怎么上高級(jí)防御技術(shù)呢?”

據(jù)了解,不少硬件設(shè)備廠商為了降低成本,開(kāi)源修改固件設(shè)備,以此大大降低了無(wú)線路由器設(shè)備自身的抗攻擊能力。這一根本性的薄弱將拉低整條產(chǎn)業(yè)鏈的安全防御級(jí)別,“路由器有漏洞的時(shí)候,有沒(méi)有加密方式都可以進(jìn)行攻擊。”

另一方面,部分路由器廠商本身對(duì)安全也長(zhǎng)期采取忽視的態(tài)度,據(jù)了解,包括一些路由器品牌在做安全眾測(cè)時(shí),被發(fā)現(xiàn)了大量漏洞,在安全界人士看來(lái),“這本身就代表這些廠家在其自身技術(shù)體系下無(wú)法發(fā)現(xiàn)相關(guān)漏洞,單純依靠外包安全眾測(cè)不定期的安全檢測(cè),很難真正解決問(wèn)題。”

“其實(shí)只要適當(dāng)拉高技術(shù)開(kāi)支,就一定有門檻可以減少攻擊者挖掘到漏洞的可能性。”在營(yíng)智敏看來(lái),由于Wi-Fi需要覆蓋的人群范圍廣,使用頻率高,導(dǎo)致在路由器上安全技術(shù)部署變成了高成本的開(kāi)支,要在智能路由器上部署安全技術(shù),比PC端的復(fù)雜許多,技術(shù)難度高,“類似的路由器防火墻無(wú)法快速通用搭配到任何Wi-Fi網(wǎng)絡(luò)內(nèi),尤其是對(duì)于已經(jīng)受到攻擊或者已經(jīng)泄露密碼的無(wú)線網(wǎng)絡(luò)。” 成本高,加上低效益,導(dǎo)致以商家為代表的用戶也并不樂(lè)意買賬,“商家本身也不具備維修能力。”由此造成的現(xiàn)實(shí)就是安全不斷讓位于操作的便捷性和低廉的成本。

此外,記者了解到,目前路由器的相關(guān)備案機(jī)制也并不成熟。目前,我國(guó)實(shí)行的報(bào)備制度并非強(qiáng)制性的規(guī)定,除了運(yùn)營(yíng)商的設(shè)備、終端、產(chǎn)品都必須向工信部報(bào)備外,其他廠商的路由器是否報(bào)備皆靠自覺(jué),與此同時(shí),私人用的路由器就無(wú)需報(bào)備。

* 記者觀察

Wi-Fi安全有新嘗試

目前,“安全讓道于商業(yè)利益”,幾乎是目前國(guó)內(nèi)Wi-Fi不安全的重要誘因,不少管理規(guī)則的缺失導(dǎo)致了Wi-Fi發(fā)展的亂象。不過(guò)《IT時(shí)報(bào)》記者同時(shí)也發(fā)現(xiàn),對(duì)于Wi-Fi領(lǐng)域的安全,國(guó)內(nèi)也有不少新的嘗試。

最新成立的騰訊Wi-Fi安全聯(lián)盟是目前國(guó)內(nèi)的一家安全聯(lián)盟,對(duì)于加盟其中的企業(yè),騰訊提出了不少規(guī)范和細(xì)則,但到目前為止,這個(gè)聯(lián)盟依然處于發(fā)展階段,聯(lián)盟內(nèi)不同企業(yè)的利益妥協(xié)是他們要著手解決的一道難題。

此外,廣州有一家安全企業(yè)目前正在嘗試搭建一個(gè)內(nèi)部的應(yīng)用,對(duì)Wi-Fi安全進(jìn)行評(píng)級(jí),而他們的數(shù)據(jù)來(lái)源是一家來(lái)自國(guó)外記錄Wi-Fi的網(wǎng)站W(wǎng)igle,據(jù)這家企業(yè)的負(fù)責(zé)人介紹,Wigle是一個(gè)記錄全世界Wi-Fi的網(wǎng)站,網(wǎng)站上的信息來(lái)源是依靠全世界的人共同提交完善的。目前,這個(gè)網(wǎng)站上的數(shù)據(jù)可以顯示我國(guó)加密和沒(méi)加密的Wi-Fi信息。他們正在做的是,根據(jù)Wigle的數(shù)據(jù)以及其他服務(wù)接口判斷其中加密Wi-Fi是否泄露,然后提供給大眾。但他們坦言,沒(méi)有人力去做免費(fèi)Wi-Fi的安全認(rèn)證,因此這套應(yīng)用只能暫時(shí)對(duì)內(nèi)測(cè)試。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 城固县| 博乐市| 商都县| 阿拉善左旗| 南岸区| 伊春市| 友谊县| 建宁县| 常山县| 合水县| 阳新县| 晋江市| 什邡市| 南昌市| 桑日县| 张北县| 嘉定区| 洛阳市| 梅州市| 收藏| 桐庐县| 资阳市| 壶关县| 淄博市| 鹤峰县| 潮安县| 栖霞市| 屯昌县| 石棉县| 桐城市| 邯郸县| 宜州市| 横峰县| 黄平县| 兖州市| 琼结县| 陆良县| 绥江县| 沁阳市| 榆树市| 油尖旺区|