谁来负责公共Wi-Fi安全?
2015-03-16张鹏
本刊记者 | 张鹏
谁来负责公共Wi-Fi安全?
本刊记者 | 张鹏
公共Wi-Fi网络的安全问题伴随“商用Wi-Fi”的崛起,一直被用户所诟病,而用户登录公共Wi-Fi后“被钓鱼”和“被黑”的案例更是屡见不鲜。
编者按
看似美好的商用Wi-Fi市场也存在着隐患,安全问题就是其中之一。在今年的“3·15”晚会上,央视首度针对公共Wi-Fi网络的安全问题进行曝光。在晚会现场,主持人通过现场互动来说明在公共Wi-Fi环境下“黑客”窃取用户的个人信息是多么的容易!
在今年的“3·15”晚会上,央视首度针对公共Wi-Fi网络的安全问题进行曝光。在晚会现场,主持人通过现场互动来说明在公共Wi-Fi环境下,“黑客”窃取用户的个人信息是多么容易!
在现场互动中,主持人首先邀请现场观众连上免费的公共Wi-Fi并上传自拍照至社交媒体,仅几分钟之后,后台扮演“黑客”的工程师就截获了几百位现场观众的自拍照片,同时这些用户经常登录的邮箱名称和密码也被公布在大屏幕上。随即有技术专家上台公布消费预警:为了防止手机用户在公共Wi-Fi环境下的个人隐私被窃取,建议尽量使用电信运营商的3G/4G网络。
Wi-Fi网络是当下非常热门的一种无线网络接入方式,对于用户而言,通过接入AP热点就能使手机上网,所消耗掉的网络流量也无需按时或按M来计费,是一种既经济又快捷的上网方式;而对于电信运营商而言,Wi-Fi网络能够有效地为移动网络分流,可以解决单小区内因上网用户过多所造成的网络阻塞现象。
更重要的是,目前在“商用Wi-Fi”的广阔市场前景下,业界正在崛起一批专门运营“商用Wi-Fi”的网络服务商。他们为广大的商家搭建并运营Wi-Fi网络,以此为平台引入广告商进行投放,并逐渐积累用户群,希望通过后续的用户分析和精准定位开辟后续的大数据分析市场。
然而看似美好的商用Wi-Fi市场却也存在着隐患,安全问题就是其中之一。事实上,多年来公共Wi-Fi网络的安全问题伴随“商用Wi-Fi”的崛起,一直被诸多用户所诟病。用户在登录公共Wi-Fi后“被钓鱼”和“被黑”的案例更是屡见不鲜。
一旦用户的个人数据被窃取,黑客就会利用大量的用户数据在类似淘宝、京东、支付宝等重要网站上进行“撞库”——以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登录其它的网站。面对让人如此不安的Wi-Fi网络,我们不禁发问,公共Wi-Fi网络真的如此脆弱吗?
免费Wi-Fi如何被“黑”?
破解1:DNS劫持
DNS(Domain Name System)是将域名转换为IP地址的一个分布式数据库。为了方便网民的使用和记忆,网站的域名通常为自然语音,比如百度、360、谷歌等,但当我们在网址栏里面输入这些域名时,后台的DNS自动将域名和IP地址建立起映射关系,并通过对应的IP地址找寻服务器。
DNS劫持就是强制修改了这个映射关系,黑客将所有需要访问的IP地址都改成了自己的黑客地址,当网络用户的电脑屏幕呈现出黑客伪造的“钓鱼网站”时,用户所输入的用户名和密码也就相应地被“黑客”截获。
破解2:ARP攻击
ARP攻击是当DNS成功将域名转化为IP地址后,将IP地址转换到服务器的MAC地址上(一台真实的计算机),这样用户发出的需求才能被服务器收到并处理。
ARP攻击就是通过强制修改局域网内这个映射关系,将所有IP地址本来对应的MAC地址,通过广播改为黑客自己计算机的MAC地址,并伪造要访问的网站。同样当用户上网时,即使域名和对应的IP地址都是正确的,因为最后发到的MAC地址错了,也只能打开黑客精心伪造的假网站。
破解3:伪造Wi-Fi
伪造Wi-Fi是一种技术难度较低的黑客行为,但也是屡试不爽的黑客攻击方式。简单而言,就是在Wi-Fi网络附近架设一个名称相同的Wi-Fi黑客网络,当附近的用户错误地点入了黑客Wi-Fi时,用户在该网络上传的所有数据和信息都将轻易被黑客所截获,尤其是用户名、支付账户及密码等关键信息。
安全防护专家支招
局域网的安全防护通常采用防护加密技术和隔离技术。公共Wi-Fi之所以多被用户诟病,是因为大部分的公共热点由于缺乏必要的盈利模式和安全运营模式,很多AP热点都是未经加密的,也就是说连接该热点传输的所有数据都是明文传输,网络上的其他人在窃取后,不需解码即可直接获得信息。
另外,目前很多公共Wi-Fi网络都采用统一密码,Wi-Fi运营者可以轻易地告诉任何人,当然也包括“黑客”在内。这样的网络加密方式同样也有安全隐患,所以目前越来越多的正规商家在架设Wi-Fi网络时,都采用短信验证码的方式。虽然网络接入的程序会相对复杂,但与此同时,也将很多网络恶意侵占者挡在了“门外”。
89%的公共热点不安全
有数据表明,89%的公共无线网络热点是不安全的,比如商场、机场、地铁站、图书馆、咖啡厅等地方提供的Wi-Fi热点在方便移动用户的同时,也开放了网络犯罪的入口。世界上每4个人中就有3个曾遭受过网络侵害,只是所受侵害的程度各有不同而已。
