来源:科技日报——打破砂锅 近日,某黑客在网上自曝:在星巴克、麦当劳等提供免费WiFi的公共场合,用一台Win7系统电脑、一个网络包分析软件等,15分钟就可以窃取手机上网用户的个人信息和密码。请关注—— 个人可自行架设WiFi热点 在免费提供WiFi的公共场所,不少顾客会用笔记本和手机上网。但是黑客也盯上了免费WiFi庞大的用户群体。黑客是否如网上传言能够通过简单的设备架设虚假的免费WiFi热点,进而盗取私人信息数据? 对此,北京邮电大学计算机学院网络与信息安全实验室主任崔宝江副教授介绍道,黑客确实可以通过网卡功能配置或者安装第三方软件,将电脑配置成一个用于钓鱼的无线AP,通过设置具有迷惑性的无线AP标识,诱使用户在提供免费WiFi的公共场合上网时,错登录到钓鱼无线AP中,进而捕获用户上网的所有网络数据。通过数据包嗅探分析软件,则可对捕获的网络数据包解析出其上网的内容信息。如果上网的数据包中包含明文的个人信息,例如登录的账号和口令等,那么这些明文信息便可被黑客获取。“钓鱼的无线接入AP,它的名称可能和免费WiFi站点的名称很相似,容易迷惑人,例如Starbucks2、KFC1等。” “个人自行架设WiFi热点,现在的笔记本基本都可以实现,通过自己的无线网卡或者无线路由器均可以架设。”前奇虎360杀毒中心工作人员、资深反病毒工作者李云告诉笔者,局域网欺骗或者伪造热点都可以将自己的代码嵌入数据包中,再返回给请求者,导致用户访问恶意网页或者执行恶意代码。“比较常见的攻击是在网站传输客户数据时,攻击者会尝试监听或嗅探传输中的数据。比如获取用户的某些卡号之后,对用户访问的其它站点的数据包进行嗅探,窃取生日、其他敏感卡号及字母组合。” 窃取用户信息并不容易 公共场所存在钓鱼性质的虚假免费WiFi热点新闻曝光后,有些市民不禁开始担忧,在公共场所通过WiFi上网还有安全保障吗?如若进行日常网上银行交易会不会存在泄密风险,甚至造成经济损失? 虽然黑客可通过设置虚假免费WiFi热点“引君入瓮”,但奇虎360公司软件工程师孙诚同时也指出,“这条流言有部分是夸大的。这个黑客确实建立了一个免费未加密的WiFi网络让用户接入,之后使用嗅探工具将无线网卡设置为混杂模式,从而截获到网络中所有传输的数据。但这里是利用了某手机浏览器的漏洞,如果这个漏洞不存在,数据传输过程中也使用了SSL进行加密,窃取用户网银账号和密码也是非常困难的。” 针对网上银行交易等行为,崔宝江指出,如果用户上网的网站不支持加密的上网数据传输功能,则明文的个人信息就可能泄密。黑客如果将用户导向到自己建立的钓鱼网站,并诱使用户输入账号和密码登录钓鱼网站,那么用户的网银安全就没有保证了。 “但是网银和某些大型正规网站需要输入账号密码的登录过程都是加密的,并不容易被破解。” 他表示,用数码设备和手机登录正确的个人网上银行网址进行交易,安全是有保障的。个人网上银行会采用SSL等加密协议来保障交易安全,网址中的协议名称显示为https,结尾比常见的http多了s。这说明通过这个页面输入并传送的数据,会被基于SSL协议协商的会话密钥进行加密,即使这些加密数据被黑客盗取,也很难破解。“所以,黑客难以通过钓鱼AP的方法获取用户的银行账号密码。除非黑客在用户的计算机中植入了木马,黑客才可通过木马偷取用户的银行账号密码。” 李云也认为,关于黑客15分钟便能通过架设免费WiFi热点窃取信息的报道只是个例。“要在短时间内窃取数据存在着相当的难度。”据李云介绍,大部分无线嗅探及解密行为,是使用类似入侵检测操作系统及网络封包分析软件进行数据包截取,经解密后进行用户名及密码的获取。而这种行为一般需要被动监听时间较多,其破解速度由必须的数据包和密码字典大小决定,为了解密则必须抓取大量数据包,这通常需要很长时间。“可能在没有获取到有价值信息之前,用户已经离开了这个监听范围。” 防“李鬼”需提高安全意识 目前,北京市不少公众场所的免费WiFi账号密码都已在网上公布,而在免费供应地内搜索到账号需要索取密码时,也可直接向工作人员索要。虽然如此,却也不乏市民习惯性搜索到无需密码的免费WiFi后,直接联网进行网上活动的现象。 “用户连接加密的WiFi网络,会需要输入密码,如果用户没有输入密码就可以连接到一个WiFi网络并且可以访问互联网,这时就要注意了,可能连接的WiFi网络会有问题。”孙诚指出,想破解使用SSL协议加密传输的数据其实比较困难,因此一般黑客会采用证书欺骗的方法,但假的证书在浏览器上都会给出安全提示,用户只要不去访问就可以了。 他认为,“李鬼”WiFi的危害程度需要从用户的安全使用习惯和网络应用的安全性两方面去考虑。用户在使用公共网络时要尽量开启ARP防火墙,并且要连接加密的WiFi网络。而应用程序和网站更要提供对一些涉及到用户隐私的数据进行加密传输,在产品设计上一定要将安全摆在第一位。 崔宝江建议,为了预防因登录假WiFi站点或者钓鱼的WiFi站点造成用户隐私泄露,在公共场所上网的用户,需主动了解商家或运营商WiFi无线接入点AP的正确站点名称和登录密码,并且选择合法和正规网站进行互联网信息获取。 |
|