“您這有WIFI嗎?密碼是多少?”已經成為不少人的口頭禪。隨著WIFI的普及,它給人們的工作、生活和娛樂帶來了極大的便利,迅速融入到現代社會生活中,但你知道嗎?在暢享WIFI的時候,危險也在向你靠近。今年央視315晚會以現場演示的方式對WIFI網絡安全風險提出預警,主持人邀請觀眾連接場內的公共WIFI進行自拍并且上傳到朋友圈,僅僅幾分鐘時間,連接場內WIFI的觀眾就看到了自己的照片及郵箱顯示在大屏幕上。不僅如此,現場觀眾的郵箱密碼也顯示在大屏幕上,令場內觀眾瞠目結舌。主持人介紹說,剛才進行的是一場黑客WIFI的測試,只要連接了WIFI的觀眾,個人信息已經被黑客竊取了,如果有用戶的郵箱綁定了手機號碼,那么涉及支付密碼等隱私信息也將會被黑客掌握,后果不堪設想。
WIFI安全現狀堪憂
本次演示給大眾尤其是喜歡蹭免費WIFI的人們敲響了警鐘,免費的午餐并不是那么好吃的。據調查,2014年全中國可查詢到的公共WiFi熱點覆蓋已經超過600萬個,然而其中近21%的公共WiFi熱點存在安全隱患。利用這些隱患,不法分子只需一臺電腦、一套無線路由器和一個網絡分析軟件就可以輕易搭建無線釣魚WIFI陷阱。通過設置一個無線熱點AP,取一個與公共WiFi相近或相同的名字,免除登錄密碼,引誘用戶接入。用戶一旦連入,所有操作和傳輸數據都將被第三方監視,如果登錄賬戶,黑客還可以從數據包里查到用戶登陸信息,竊取個人郵箱、電子商務賬號等信息。近年來由此引發的網銀被盜、個人信 息泄露、網絡詐騙等案例頻頻發生且呈快速上漲趨勢。既然連接公共WIFI有風險,那用家里或單位路由器上網應該安全了吧?事實上并非如此,由于有相當用戶缺乏安全保護意識,WIFI密碼設置過于簡單,黑客很容易就可破解。接入WIFI之后,再破解路由器管理后臺的賬號和密碼,獲得路由器管理權。之后再在路由器中植入后門程序,竊取網民上網信息或者篡改路由器DNS設置,使得網民在不知情的情況下訪問釣魚欺詐網站。另外,一些用戶貪圖便宜使用低價路由器也是造成安全隱患的原因。由于Wi-Fi需要覆蓋的人群范圍廣,使用頻率高,路由器上安全技術比PC端的復雜許多、技術難度和成本高,不少硬件設備廠商為了降低成本,大大降低了無線路由器設備自身的抗攻擊能力。近年來WiFi共享軟件頗為流行,殊不知此為本已糟糕的WIFI安全現狀雪上加霜。這類WiFi共享軟件的工作原理為:用戶將自己已經連接上的WiFi分享出去,將WiFi名字和密碼上傳到云端。當其他用戶在附近發出連接請求時,軟件就自動從數據庫中篩選匹配用戶想要使用的WiFi熱點,不用用戶輸入密碼就能進入網絡。由于此類軟件具有自動收集上傳的特性,如果用戶在自家或單位內部WiFi環境下使用此類軟件上網,將會使WIFI密碼泄露。那么黑客通過這類WiFi共享工具,可以大大降低其入侵難度。
如何應對
手機、平板、筆記本等便攜設備的普及,無線網絡所承載業務和應用的增多,使得用戶對于WiFi的使用需求越來越大,而大眾安全意識的不足及很多無線設備保護措施的缺乏,給黑客們留下了犯罪空間,造成近年來WiFi安全問題呈幾何級數高速增長,因此安全防范勢在必行。
前不久全國政協委員蔡秀軍提出政府應該對公眾WiFi提供場所進行有效管理,利用路由監管技術,通過認證技術實現實名上網,同時在接入網絡時發送安全通告。
事實上關于實名制在多年前就已出法規。2005年底國家公安部發布了《互聯網安全保護技術措施規定》,其中第七條明確規定:互聯網服務提供者和聯網使用單位應當記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日志的技術措施。規定發布后,最先被納入監管的是網吧,對經營者實行牌照制度,要求每個網吧都必須安裝安全管理軟件,實行實名制。2011年鑒于通過互聯網WIFI進行網絡犯罪、傳播計算機病毒案件的增多,北京市東城區公安局還發布了《關于開展非經營性上網服務場所依法落實安全技術保護措施的通知》,要求提供免費wifi服務的咖啡店、酒店等場所安裝2萬元的安全技術保護系統,記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日志等,否則不許提供此項服務,后因用戶隱私、費用、監管難度等問題沒有能夠持續貫徹下去。國外方面,俄羅斯于去年8月出臺法規實行WIFI實名認證,規定在公共場所,例如酒店、地鐵、公園等處不能匿名接入無線網絡,使用者可用護照號、駕照號等證件號碼進行實名認證,個人信息得到核實后方可使用。這一法令出臺后引起俄羅斯民眾廣大爭議,大約58%的被調查者稱,今后將不會在公共場所使用免費WiFi。
WIFI實名尚存爭議,那其他方式是否可行?業內人士表示,從技術上是可以防止的,如采用動態密碼加強用戶身份識別,在需要登錄的時候,利用密碼產生器產生具有有效期的一次性密碼,利用短信或者語音通道發送到用戶賬號綁定的手機或者電話上,從而保證用戶身份的安全性;或采用CHAP方式認證,通過MD5算法,使得用戶密碼不以明文的方式在網上傳輸等等。但無論哪種方式,都涉及到成本問題,到目前為止,除了部分金融機構為某類型的業務提供加密傳輸外,在沒有政府管理部門做出強制規范之前,絕大部分廠商和Wi-Fi運營商是不會主動添加類似的非盈利業務的。
如此而言,當前用戶只能從自身入手,養成良好的使用習慣來規避風險了。首先,要謹慎使用公共場合的WiFi熱點。官方機構提供的且有驗證機制的WiFi,可以找工作人員確認后連接使用。其他不需要驗證或密碼的公共WiFi風險較高,背后有可能是釣魚陷阱,盡量不使用;其次,使用公共場合的WiFi熱點時,盡量不要進行網絡購物和網銀的操作,避免重要的個人敏感信息遭到泄露,甚至被黑客銀行轉賬;第三,養成良好的WiFi使用習慣。手機會把使用過的WiFi熱點都記錄下來,如果WiFi開關處于打開狀態,手機就會不斷向周邊進行搜尋,一旦遇到同名的熱點就會自動進行連接,存在被釣魚風險。因此在公共區域,盡量不要打開WiFi開關,或者把WiFi調成鎖屏后不再自動連接,避免在自己不知道的情況下連接上惡意WiFi;第四,在筆記本電腦、平板電腦、智能手機上安裝殺毒軟件,可幫助網民攔截可能的釣魚網站和病毒木馬攻擊。如果殺毒軟件報警,建議斷開連接,確保安全;第五、不要使用默認路由器管理后臺的登錄賬戶、密碼,建議使用字母加數字的高強度密碼,設置的WIFI密碼應選擇WPA2加密認證方式,并使用較復雜的密碼。