侵权投诉
搜索
更多>> 热门搜索:
订阅
纠错
加入自媒体

不安全的WiFi:别为黑客打开大门

2015-03-16 15:05
华静一
关注

  ◆ 十年始终只有入门级监管

  “很难说在国内哪种类型的免费Wi-Fi会更安全。”据了解,目前市场上可连接的Wi-Fi大体可分为由运营商提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi运营商提供的Wi-Fi平台,以及各类虚假免费Wi-Fi。如此多的种类,如何界定安全与否?很可惜,到目前为止,无论是官方还是非官方,都无法给出一个切实有效的方案。

  到目前为止,行业内唯一可遵循的规则是自2006年3月1日起施行的《互联网安全保护技术措施规定》,在业内被称为“第82号令”,从10年前颁布一直延用至今,其根本要求是用户可溯源。

  “一般情况,我们对正规Wi-Fi渠道最简单的鉴定就是看其是否需要用户输入账户和密码,是否需要进行认证登录,关键的动作是用户输入动态的短信验证码,这就是认证的过程。”一位业内人士透露,验证机制是目前国家安全部门对Wi-Fi安全的主要要求。当用户输入验证码之后,Wi-Fi提供商的后台即生成相应的认证号、留下了用户资料,从而完成对用户识别。

  这套机制对Wi-Fi登录前的安全保障负责,“动态密码作为接入校验,多了一个认证因子,对判断虚假Wi-Fi和运营商防止黑客破解Wi-Fi接入是有意义的。”在Wi-Fi安全独立研究员营智敏看来,到目前为止,虚假Wi-Fi的制作者是无法提供这样一个校验码的,“最起码他们买不了和运营商一致的短信接口,也无法形成相似的联动机制,另一方面,他们也无法攻击网页登录界面去获得动态密码,因此,在这条界限内,攻击者被暂时拦在了门外。”不过他也提出,这种安全也只在没有“伪基站”的前提下成立。

  犯罪分子的手段在不断升级,而防御管理者却始终在入门级的安全水平徘徊。“Wi-Fi安全分为没有链接之前的诱骗、诱导攻击和链接之后的中间人攻击。” 在业内人士看来,Wi-Fi犯罪成本低,犯罪技术手段正在不断成熟,对于地下黑客而言,早就形成了一条庞大的利益链条。而最初的入门防御,其实很难阻挡他们犯罪的脚步。

  林先生在Wi-Fi行业工作多年,他告诉笔者,目前的这套验证机制就好比是在一幢大楼的门口装了一个摄像头,能记录下每一个进出的人,但是进去之后这些人做了什么,就无从追踪了。而验证码就好比这个摄像头,无法记录登录Wi-Fi后,人们都干了什么。因此如何防御进入网内的攻击,目前,官方的法律规范几乎是空白。

  而缺乏有关规范条例的约束,业内各方只能“跟着感觉”来把控安全。

  ◆ 用户信息密码竟然明文传输

  目前,Wi-Fi使用的现状是,公共Wi-Fi普及率低,商用Wi-Fi发展速度快,但安全级别无法考证。业内观察人士对此评价,商用Wi-Fi更在意Wi-Fi所能带来的商业价值,而非安全本身。

  安全向利益妥协,这并不是戏言。“目前,国内大部分商用Wi-Fi运营商都处于起步阶段,要求他们做到成熟的安全防御本来就不现实。”据一位知情人士透露,尽管不少商用Wi-Fi也配备了验证码机制,但其目的并非是用户认证,而是为了截取用户的手机号码等个人信息。而个人信息的大量聚拢本身就能产生无形的商业价值。

  “安全加密通道”,对于国内大部分Wi-Fi用户而言,是颇为陌生的专用词,也正是因为如此,大量的厂商和Wi-Fi运营商才有空间做到对于这种更安全的技术手段“视而不见”。

  事实上,安全加密通道是保障Wi-Fi安全的重要手段。在国内Wi-Fi作为可以传递的信息通道,用户完全有权要求选择自己在Wi-Fi上流通的内容是否通过加密传输。但到目前为止,除了部分银行采取了以安全专线的技术方法为某类型的业务提供加密传输外,普通大众的日常Wi-Fi使用,都并不具备如此“待遇”。

  “现有Wi-Fi网络可以使用加密通道传输,但这是附加性功能,非Wi-Fi本身自带的技术功能。”在营智敏看来,在没有用户主动提出要求的情况下,厂商和Wi-Fi运营商自然是不会主动添加类似的非盈利业务。据一家在Wi-Fi中加入了基础双层加密技术的企业透露,该公司在安全支出的成本几乎占到1/3,其中加密技术涉及到技术的复杂性,比普通防御技术的成本高20%。

  无论是公共还是商用Wi-Fi,一旦加载了加密传输技术,用户可以在不同通道间拥有选择权,而选择加密通道,也就意味着通过的明文信息就将被隔离和保护,处于高度保护状态。这对于黑客破解难度发起挑战。

  但由于这项技术所涉及到的复杂性和建设成本都偏高,因此,行业内提供加密通道的企业少之又少。同时,政府或管理部门也并未对此做出任何强制规范。

<上一页  1  2  3  下一页>  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号