新聞中心

EEPW首頁 > 手機(jī)與無線通信 > 業(yè)界動態(tài) > 不安全的WiFi:別為黑客打開大門

不安全的WiFi:別為黑客打開大門

作者: 時間:2015-03-17 來源:IT時報 收藏
編者按:Wi-Fi已成為各路互聯(lián)網(wǎng)企業(yè)爭奪用戶的入口,而此時黑客們則將其看做是更快攻入人們電腦、手機(jī)的捷徑。隨著互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)與日常生活的關(guān)系日益緊密,“互聯(lián)網(wǎng)+”的模式也越來越多,人們將更多的錢、信息都托付給互聯(lián)網(wǎng)時,暗藏的風(fēng)險也令人觸目驚心,我們不得不防。

  ◆ 十年始終只有入門級監(jiān)管

本文引用地址:http://m.butianyuan.cn/article/271055.htm

  “很難說在國內(nèi)哪種類型的免費(fèi)Wi-Fi會更安全。”據(jù)了解,目前市場上可連接的Wi-Fi大體可分為由運(yùn)營商提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi運(yùn)營商提供的Wi-Fi平臺,以及各類虛假免費(fèi)Wi-Fi。如此多的種類,如何界定安全與否?很可惜,到目前為止,無論是官方還是非官方,都無法給出一個切實有效的方案。

  到目前為止,行業(yè)內(nèi)唯一可遵循的規(guī)則是自2006年3月1日起施行的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》,在業(yè)內(nèi)被稱為“第82號令”,從10年前頒布一直延用至今,其根本要求是用戶可溯源。

  “一般情況,我們對正規(guī)Wi-Fi渠道最簡單的鑒定就是看其是否需要用戶輸入賬戶和密碼,是否需要進(jìn)行認(rèn)證登錄,關(guān)鍵的動作是用戶輸入動態(tài)的短信驗證碼,這就是認(rèn)證的過程。”一位業(yè)內(nèi)人士透露,驗證機(jī)制是目前國家安全部門對Wi-Fi安全的主要要求。當(dāng)用戶輸入驗證碼之后,Wi-Fi提供商的后臺即生成相應(yīng)的認(rèn)證號、留下了用戶資料,從而完成對用戶識別。

  這套機(jī)制對Wi-Fi登錄前的安全保障負(fù)責(zé),“動態(tài)密碼作為接入校驗,多了一個認(rèn)證因子,對判斷虛假Wi-Fi和運(yùn)營商防止黑客破解Wi-Fi接入是有意義的。”在Wi-Fi安全獨(dú)立研究員營智敏看來,到目前為止,虛假Wi-Fi的制作者是無法提供這樣一個校驗碼的,“最起碼他們買不了和運(yùn)營商一致的短信接口,也無法形成相似的聯(lián)動機(jī)制,另一方面,他們也無法攻擊網(wǎng)頁登錄界面去獲得動態(tài)密碼,因此,在這條界限內(nèi),攻擊者被暫時攔在了門外。”不過他也提出,這種安全也只在沒有“偽基站”的前提下成立。

  犯罪分子的手段在不斷升級,而防御管理者卻始終在入門級的安全水平徘徊。“Wi-Fi安全分為沒有鏈接之前的誘騙、誘導(dǎo)攻擊和鏈接之后的中間人攻擊。” 在業(yè)內(nèi)人士看來,Wi-Fi犯罪成本低,犯罪技術(shù)手段正在不斷成熟,對于地下黑客而言,早就形成了一條龐大的利益鏈條。而最初的入門防御,其實很難阻擋他們犯罪的腳步。

  林先生在Wi-Fi行業(yè)工作多年,他告訴筆者,目前的這套驗證機(jī)制就好比是在一幢大樓的門口裝了一個攝像頭,能記錄下每一個進(jìn)出的人,但是進(jìn)去之后這些人做了什么,就無從追蹤了。而驗證碼就好比這個攝像頭,無法記錄登錄Wi-Fi后,人們都干了什么。因此如何防御進(jìn)入網(wǎng)內(nèi)的攻擊,目前,官方的法律規(guī)范幾乎是空白。

  而缺乏有關(guān)規(guī)范條例的約束,業(yè)內(nèi)各方只能“跟著感覺”來把控安全。

  ◆ 用戶信息密碼竟然明文傳輸

  目前,Wi-Fi使用的現(xiàn)狀是,公共Wi-Fi普及率低,商用Wi-Fi發(fā)展速度快,但安全級別無法考證。業(yè)內(nèi)觀察人士對此評價,商用Wi-Fi更在意Wi-Fi所能帶來的商業(yè)價值,而非安全本身。

  安全向利益妥協(xié),這并不是戲言。“目前,國內(nèi)大部分商用Wi-Fi運(yùn)營商都處于起步階段,要求他們做到成熟的安全防御本來就不現(xiàn)實。”據(jù)一位知情人士透露,盡管不少商用Wi-Fi也配備了驗證碼機(jī)制,但其目的并非是用戶認(rèn)證,而是為了截取用戶的手機(jī)號碼等個人信息。而個人信息的大量聚攏本身就能產(chǎn)生無形的商業(yè)價值。

  “安全加密通道”,對于國內(nèi)大部分Wi-Fi用戶而言,是頗為陌生的專用詞,也正是因為如此,大量的廠商和Wi-Fi運(yùn)營商才有空間做到對于這種更安全的技術(shù)手段“視而不見”。

  事實上,安全加密通道是保障Wi-Fi安全的重要手段。在國內(nèi)Wi-Fi作為可以傳遞的信息通道,用戶完全有權(quán)要求選擇自己在Wi-Fi上流通的內(nèi)容是否通過加密傳輸。但到目前為止,除了部分銀行采取了以安全專線的技術(shù)方法為某類型的業(yè)務(wù)提供加密傳輸外,普通大眾的日常Wi-Fi使用,都并不具備如此“待遇”。

  “現(xiàn)有Wi-Fi網(wǎng)絡(luò)可以使用加密通道傳輸,但這是附加性功能,非Wi-Fi本身自帶的技術(shù)功能。”在營智敏看來,在沒有用戶主動提出要求的情況下,廠商和Wi-Fi運(yùn)營商自然是不會主動添加類似的非盈利業(yè)務(wù)。據(jù)一家在Wi-Fi中加入了基礎(chǔ)雙層加密技術(shù)的企業(yè)透露,該公司在安全支出的成本幾乎占到1/3,其中加密技術(shù)涉及到技術(shù)的復(fù)雜性,比普通防御技術(shù)的成本高20%。

  無論是公共還是商用Wi-Fi,一旦加載了加密傳輸技術(shù),用戶可以在不同通道間擁有選擇權(quán),而選擇加密通道,也就意味著通過的明文信息就將被隔離和保護(hù),處于高度保護(hù)狀態(tài)。這對于黑客破解難度發(fā)起挑戰(zhàn)。

  但由于這項技術(shù)所涉及到的復(fù)雜性和建設(shè)成本都偏高,因此,行業(yè)內(nèi)提供加密通道的企業(yè)少之又少。同時,政府或管理部門也并未對此做出任何強(qiáng)制規(guī)范。

路由器相關(guān)文章:路由器工作原理


路由器相關(guān)文章:路由器工作原理


p2p機(jī)相關(guān)文章:p2p原理




關(guān)鍵詞: WiFi

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉