當你商務旅行之時,或許會在某個咖啡館小憩。可是在你一邊從無線熱點上網沖浪、一邊品味飲料或美食的同時,別人說不定就在偷偷竊取你的個人信息。因為無線信號采用無線形式,人們實際上能夠從空中竊取你的數據。
不過,你也用不著因噎廢食、放棄使用公共無線網絡。你可以采取許多防范措施來確保自己的文件和敏感信息是私密信息,本文將進行全面探討。
為了有效保護你自己、防范無線網絡黑客或竊聽者,你必須首先明白使用無線熱點帶來的幾個主要安全風險:
·在無線連接上傳輸的流量是完全暴露的:大多數無線熱點并不用加密技術對于在你的電腦與熱點之間來回傳送的數據進行加密。這意味著,別人只要在幾十米之內、擁有合適的工具,就有可能截獲你無線連接上傳輸的原始數據包。
要是沒有加密,別人至少能夠清楚地看到你到底在訪問哪些網站。此外,如果網站連接沒有采用安全套接層(SSL)來加密――如果瀏覽器上顯示一個掛鎖,表明采用了SSL,那么別人就能看到與這個網站有關的內容和流量。這可能包括你登錄到沒有使用SSL的那些網站上所填寫的用戶名和密碼。
沒有得到加密保護的其他服務也存在同樣的風險,比如FTP或電子郵件服務。圖1顯示了你可以清楚地看到無線熱點用戶的一舉一動,那是因為該用戶使用的POP3電子郵件帳戶(比如微軟Outlook中的POP3電子郵件帳戶)沒有得到SSL的保護。除了圖中顯示的電子郵件帳戶證書外,發送或收到的郵件也以明文格式顯示。
·你的筆記本電腦容易受到未授權訪問:如果你的防火墻或共享設置沒有經過合理配置,你的電腦就極容易受到來自網上或公共熱點的黑客的入侵。許多人可能犯下的最大錯誤之一就是,連接至熱點期間,任由共享文件夾功能開著。別人只要連接至該熱點,也許就能打開“網絡”(Network)或“我的網絡位置”(My Network Places),然后瀏覽至你的共享文件夾。他們也許進而能夠閱讀或編輯你的文件,具體取決于共享設置,這當然不是好事。
·雙面惡魔熱點(Evil-twin hotspot)會竊取你的財務信息或身份:一心想為非作歹的無線網絡黑客能夠搭好自己的接入點和設備,建立起真實無線熱點的“山寨版”。他們這么做的目的是,引誘你連接至他們的信號、進行支付活動。然后,他們就可以自己利用或者出售你的信用卡和身份信息。因為黑客可以把仿冒熱點做得幾乎與其他的真實熱點一模一樣,你甚至不會發覺自己上當受騙了――所以完全有必要定期檢查自己的信用報告。黑客還會使出其他花招,比如把用戶從一些知名的財務網站引到虛擬網站,企圖竊取登錄信息。
[NextPage]
現在不妨看一下如何防范我們假想的所有這些壞事不會發生在自己身上。首先,我們先來討論確保無線流量的一些技術和方法。你在使用無線熱點時,只要使用下列其中一種方法,就足以保護最敏感的信息。
·對于敏感的網站及服務使用SSL:不管你是不是連接至公共熱點上,都應當始終確保你登錄上去、處理敏感信息的任何網站或者你使用的任何服務(比如電子郵件和FTP)都得到了SSL加密的保護。這將確保在你的電腦與網站或服務之間來回傳送的信息是安全可靠的,無論連接上去的熱點是真還是假。如果使用了SSL,互聯網瀏覽器就會跳出https地址,而不是http地址,還會顯示掛鎖或證書信息。
對于像Outlook或Thunderbird這些電子郵件客戶程序,你需要確保POP3和IMAP4或SMTP服務器連接使用了SSL。你使用的電子郵件服務必須支持加密。如果不支持,你可能需要關注其他解決方案,比如Neomailbox、Hushmail或4securemail。
·使用虛擬專用網(VPN)連接:這會對你的所有互聯網流量進行加密。你其實完全可以使用未加密連接來訪問網站或服務,因為熱點上的黑客無法截獲任何流量。你基本上是在VPN服務器端點使用互聯網連接,以便訪問萬維網。之所以使用熱點的互聯網連接,完全是為了在你的電腦與VPN服務器之間有一條加密隧道。
如果你使用的網站或服務不是全部采用加密,或者你希望額外的安全性,那么連接至公共熱點時使用VPN連接是個好主意。你可以詢問雇主是不是有VPN解決方案,也可以自行構建VPN,或者使用商用或免費的托管服務。為了獲得最佳保護效果,請使用基于IPsec的VPN,而不是基于PPTP的VPN。
·使用經過加密的熱點:T-Mobile和iBahn等一些大型熱點提供商在其熱點上為WPA企業級加密機制提供了802.1X證書。連接至這些熱點可確保你的無線連接得到了保護、以免被公眾偷竊。切記:不過確保安全地訪問網站和服務總是最佳辦法,以便保護在互聯網上傳輸的流量。
阻止互聯網和無線入侵
為了防止有人未經授權訪問你的電腦或設備,就要確保采取了以下每個步驟:
·禁用共享功能:有些熱點并不阻止彼此連接的用戶之間的通信。因此,你在公共場所上網沖浪時,總是應當禁用文件共享功能。在Windows XP中,雙擊系統托盤上的無線圖標,點擊“屬性”(Properties)按鈕,取消“文件和打印機共享”(File and Printer Sharing)選項前面的勾(見圖1),然后點擊“確認”(OK)。在Windows Vista中,你應當使用新的網絡分類方案。連接至熱點后,選擇“公共”(Public)作為網絡類型或位置(見圖2);這樣就能自動禁用共享功能。
·啟用Windows防火墻,并保持安全:這樣就可以阻止有人利用端口侵入到你的電腦上。你還應當考慮在連接至開放網絡時,選中“不允許例外”(Don’t allow exceptions)選項,或者至少檢查一下例外列表上的程序和端口。
·讓你的電腦或設備處于最新版本:這將確保你的電腦堵上了操作系統或你所用軟件存在的最新安全漏洞。
[NextPage]
你可以采取以下這幾個方法來確保自己連接至真實熱點:
·向提供熱點的商家核實一下:如果你找到一個熱點,一定要弄清楚誰提供該熱點,并詢問一下對方。你可能會發現值得注意的一些矛盾之處,比如對方其實并不提供無線網絡。另外,如果熱點似乎是某個網絡或多場所熱點提供商的一部分,就要查清楚熱點目錄是不是列出了這個特定位置。
·在家注冊熱點服務:不要直接從熱點注冊熱點服務,這完全是為了安全起見。這樣一來,雙面惡魔熱點就弄不到你的信用卡信息了。
·確保SSL用于熱點的支付/計費環節:如果你在外出時必須注冊熱點服務,就要確保所填寫的任何支付或計費表格都得到了SSL連接的保護。另外還要留意出現錯誤的SSL證書,IE瀏覽器會通知你注意這種證書。虛假熱點可能根本就不使用正確的證書或SSL。
·不要連接至臨時性的對等連接:應當把任何臨時性的對等連接(這種連接上的電腦允許人們可連接上去)都看成是雙面惡魔連接或XP中無線設置的配置不當。換句話說,無線互聯網很少通過這種電腦至電腦連接來提供。
現在你得到了保護!
如果你采用了前面討論的一些技術和方法,你的電腦、數據和身份應當安然無恙。要記住三大風險。為了確保無線數據包的案例,至少要使用一種加密方法。為了防范黑客活動,應當考慮禁用共享功能、啟用防火墻。最后,務必確保你沒有受到無線犯罪分子的欺騙。
最后提供幾個實用方法:
·你在公共場所時要看好身上的高科技裝備――這類高科技裝備很惹眼,有人會伺機竊取你的東西。
·禁用網絡屬性中的自動連接選項。
·移除Windows列表中的任何臨時性的對等網絡。
·要是不常上網沖浪,就干脆禁用無線適配器。
京公網安備 11010502049343號