钓鱼软件成公共Wi-Fi最大威胁保障安全需多方协作
2015-03-16刁兴玲
本刊记者 | 刁兴玲
钓鱼软件成公共Wi-Fi最大威胁保障安全需多方协作
本刊记者 | 刁兴玲
针对日趋严峻的Wi-Fi安全问题,电信运营商、手机厂商、安全软件开发商和用户本人应该互相协同以保障信息安全,尤其是广大网民在公共场所使用Wi-Fi时,更应注意做好防护措施。
随时随地搜索免费Wi-Fi已然成为用户的习惯,在享受Wi-Fi带来便利的同时,用户很少关注免费Wi-Fi上网的安全问题,由此而引发的Wi-Fi钓鱼、盗取账号、窃取隐私甚至盗刷银行卡的事件时有发生。
在今年的“3·15”晚会上,央视对公共Wi-Fi的安全问题进行了曝光,现场互动说明在公共Wi-Fi环境下,黑客窃取用户的个人信息轻而易举。
Wi-Fi安全威胁源自多种原因
公共Wi-Fi网络安全保障为何如此脆弱?中国信息通信研究院信息通信安全研究所副所长魏亮对这一问题做了解读。他认为,诸多元素导致了公共Wi-Fi安全问题的产生。首先,Wi-Fi是无线接入,设计之初未过多考虑安全问题,与有线接入相比有天然的劣势(蜂窝通信主要用于个人话音通信,在设计之初对安全有一定考虑);第二,公共Wi-Fi一般提供免费接入,接入提供者缺乏安全方面的经验;第三,出于成本考虑,公共Wi-Fi接入的AP设备大量使用共享代码,对被攻击、后门、漏洞等安全问题考虑不足;此外,互联网安全问题具有短板效应,而Wi-Fi接入堪称最容易被黑客攻击的短板。
除此之外,移动终端发展时间较短,整个生态系统并不健全,尤其是用户安全意识淡薄,这些也是公共Wi-Fi安全威胁无处不在的重要原因。中国人民公安大学警务信息工程学院院长李欣表示:“Wi-Fi演进过程是性能不断提升、安全不断加固的过程,用户在使用Wi-Fi时不关心Wi-Fi安全问题,大多数还延续旧的不安全配置,从而导致安全问题层出不穷。”另外,“Wi-Fi技术认证过程大部分是单向认证的,即AP认证用户。”如此一来,黑客只要知道AP的名称、用户名和密码这三个因素,设置钓鱼Wi-Fi盗取用户信息就很简单。
窃取个人密码方式众多
在“3·15”晚会现场互动中,主持人邀请现场观众连接免费的公共Wi-Fi上传自拍照,不过几分钟的时间,后台扮演“黑客”的工程师就截获了几百位现场观众的自拍照,同时这些用户经常登录的邮箱名称和密码也被公布在大屏幕上。公共Wi-Fi网络的安全问题伴随“商用Wi-Fi”的崛起,一直备受诟病。
黑客窃取公共Wi-Fi的密码的方式众多。魏亮表示:Wi-Fi密码过于简单,容易被破解;AP设备使用缺省管理员密码、存在后门、漏洞或者通用密码,都会导致恶意人员控制AP任意截取信息、更改DNS等;恶意人员直接从空口获取信息;AP设备管理员密码过于简单,导致恶意人员控制AP任意截取信息、更改DNS等,都是黑客窃取公共Wi-Fi密码的常用方式。
魏亮还提醒用户:“一般虚假AP会把网络名称设置成让用户误以为信任的服务提供者,例如,在星巴克附近设置Star-Buck-1,或者CMCC-2等。恶意设置专门窃取用户信息的AP(正常AP被黑客控制以后安全风险也等同于专门窃取用户信息的AP)是免费公共Wi-Fi最大的危险。”
为了防止手机用户在公共Wi-Fi环境下个人隐私被窃取,在“3·15”晚会上,技术专家表示,建议使用电信运营商的2G/3G/4G网络上网。魏亮认为:“当前对Wi-Fi信息盗取的技术门槛低,设备要求少,Wi-Fi的AP设备容易被控制;电信运营商的2G/3G/4G网络信息盗取相对困难,基站设备不容易被攻击,因此安全性要高一些。”李欣坦言:“在系统实施过程中需要人员运维,运营商2G/3G/4G网络专门的人员维护的能力,是公共Wi-Fi提供者无法比拟的。”
总体而言,传统电信网络比互联网封闭、成本高、设备专用,也相对安全。然而随着网络的融合,互联网提供电信业务,电信网使用IP技术。因此互联网逐步重视安全;电信网逐步开放,安全性有所下降,也会出现涉及IP技术的非传统安全问题。
协同合作保安全
针对日趋严峻的Wi-Fi安全问题,电信运营商、手机厂商、安全软件开发商和用户本人应该互相协同以保障信息安全,尤其是广大网民在公共场所使用Wi-Fi时,更应注意做好防护措施。
魏亮表示:“业务提供者对用户密码、ID应适当加密,不明文传送;Wi-Fi接入提供者使用安全的AP设备,设置加密强度足够的管理员密码,对用户进行安全提示;应用厂商应减少应用漏洞的产生,出了问题要及时修补;网民接入公共Wi-Fi时尽量不要使用网银、邮箱等,尽量只浏览不登录。”各方应该合力把网络环境建设得更加安全。
李欣则提醒用户:“要提高安全意识,个人财产的支付要选择安全的环境,优先选择电脑支付。同时,用户在使用免费Wi-Fi时要有良好的安全习惯:认清支付网站,在正规的应用商城下载APP应用,使用良好的安全工具等。”
国内公共Wi-Fi安全问题由来已久,海外在公共Wi-Fi安全防护上是否有自己的独到之处?魏亮表示:“海外市场的公共Wi-Fi技术本身并不比国内市场安全,在Wi-Fi技术标准上,国内外未有差距。”李欣则透露:“国内用户规模大,并且安全意识淡薄。在自觉遵从安全守则方面,国内和国外尚有差距,需要用户认真遵守安全规则,从而保护自己的信息安全。”
用户安全意识淡薄成隐患
恶意设置专门窃取用户信息的AP是免费公共Wi-Fi最大的危险。
——中国信息通信研究院信息通信安全研究所副所长 魏亮
移动终端发展时间较短,整个生态系统并不健全,尤其是用户安全意识淡薄,这些是公共Wi-Fi安全威胁无处不在的重要原因。
——中国人民公安大学警务信息工程学院院长李欣