“您这有WIFI吗?密码是多少?”已经成为不少人的口头禅。随着WIFI的普及,它给人们的工作、生活和娱乐带来了极大的便利,迅速融入到现代社会生活中,但你知道吗?在畅享WIFI的时候,危险也在向你靠近。今年央视315晚会以现场演示的方式对WIFI网络安全风险提出预警,主持人邀请观众连接场内的公共WIFI进行自拍并且上传到朋友圈,仅仅几分钟时间,连接场内WIFI的观众就看到了自己的照片及邮箱显示在大屏幕上。不仅如此,现场观众的邮箱密码也显示在大屏幕上,令场内观众瞠目结舌。主持人介绍说,刚才进行的是一场黑客WIFI的测试,只要连接了WIFI的观众,个人信息已经被黑客窃取了,如果有用户的邮箱绑定了手机号码,那么涉及支付密码等隐私信息也将会被黑客掌握,后果不堪设想。
WIFI安全现状堪忧
本次演示给大众尤其是喜欢蹭免费WIFI的人们敲响了警钟,免费的午餐并不是那么好吃的。据调查,2014年全中国可查询到的公共WiFi热点覆盖已经超过600万个,然而其中近21%的公共WiFi热点存在安全隐患。利用这些隐患,不法分子只需一台电脑、一套无线路由器和一个网络分析软件就可以轻易搭建无线钓鱼WIFI陷阱。通过设置一个无线热点AP,取一个与公共WiFi相近或相同的名字,免除登录密码,引诱用户接入。用户一旦连入,所有操作和传输数据都将被第三方监视,如果登录账户,黑客还可以从数据包里查到用户登陆信息,窃取个人邮箱、电子商务账号等信息。近年来由此引发的网银被盗、个人信 息泄露、网络诈骗等案例频频发生且呈快速上涨趋势。既然连接公共WIFI有风险,那用家里或单位路由器上网应该安全了吧?事实上并非如此,由于有相当用户缺乏安全保护意识,WIFI密码设置过于简单,黑客很容易就可破解。接入WIFI之后,再破解路由器管理后台的账号和密码,获得路由器管理权。之后再在路由器中植入后门程序,窃取网民上网信息或者篡改路由器DNS设置,使得网民在不知情的情况下访问钓鱼欺诈网站。另外,一些用户贪图便宜使用低价路由器也是造成安全隐患的原因。由于Wi-Fi需要覆盖的人群范围广,使用频率高,路由器上安全技术比PC端的复杂许多、技术难度和成本高,不少硬件设备厂商为了降低成本,大大降低了无线路由器设备自身的抗攻击能力。近年来WiFi共享软件颇为流行,殊不知此为本已糟糕的WIFI安全现状雪上加霜。这类WiFi共享软件的工作原理为:用户将自己已经连接上的WiFi分享出去,将WiFi名字和密码上传到云端。当其他用户在附近发出连接请求时,软件就自动从数据库中筛选匹配用户想要使用的WiFi热点,不用用户输入密码就能进入网络。由于此类软件具有自动收集上传的特性,如果用户在自家或单位内部WiFi环境下使用此类软件上网,将会使WIFI密码泄露。那么黑客通过这类WiFi共享工具,可以大大降低其入侵难度。
如何应对
手机、平板、笔记本等便携设备的普及,无线网络所承载业务和应用的增多,使得用户对于WiFi的使用需求越来越大,而大众安全意识的不足及很多无线设备保护措施的缺乏,给黑客们留下了犯罪空间,造成近年来WiFi安全问题呈几何级数高速增长,因此安全防范势在必行。
前不久全国政协委员蔡秀军提出政府应该对公众WiFi提供场所进行有效管理,利用路由监管技术,通过认证技术实现实名上网,同时在接入网络时发送安全通告。
事实上关于实名制在多年前就已出法规。2005年底国家公安部发布了《互联网安全保护技术措施规定》,其中第七条明确规定:互联网服务提供者和联网使用单位应当记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。规定发布后,最先被纳入监管的是网吧,对经营者实行牌照制度,要求每个网吧都必须安装安全管理软件,实行实名制。2011年鉴于通过互联网WIFI进行网络犯罪、传播计算机病毒案件的增多,北京市东城区公安局还发布了《关于开展非经营性上网服务场所依法落实安全技术保护措施的通知》,要求提供免费wifi服务的咖啡店、酒店等场所安装2万元的安全技术保护系统,记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志等,否则不许提供此项服务,后因用户隐私、费用、监管难度等问题没有能够持续贯彻下去。国外方面,俄罗斯于去年8月出台法规实行WIFI实名认证,规定在公共场所,例如酒店、地铁、公园等处不能匿名接入无线网络,使用者可用护照号、驾照号等证件号码进行实名认证,个人信息得到核实后方可使用。这一法令出台后引起俄罗斯民众广大争议,大约58%的被调查者称,今后将不会在公共场所使用免费WiFi。
WIFI实名尚存争议,那其他方式是否可行?业内人士表示,从技术上是可以防止的,如采用动态密码加强用户身份识别,在需要登录的时候,利用密码产生器产生具有有效期的一次性密码,利用短信或者语音通道发送到用户账号绑定的手机或者电话上,从而保证用户身份的安全性;或采用CHAP方式认证,通过MD5算法,使得用户密码不以明文的方式在网上传输等等。但无论哪种方式,都涉及到成本问题,到目前为止,除了部分金融机构为某类型的业务提供加密传输外,在没有政府管理部门做出强制规范之前,绝大部分厂商和Wi-Fi运营商是不会主动添加类似的非盈利业务的。
如此而言,当前用户只能从自身入手,养成良好的使用习惯来规避风险了。首先,要谨慎使用公共场合的WiFi热点。官方机构提供的且有验证机制的WiFi,可以找工作人员确认后连接使用。其他不需要验证或密码的公共WiFi风险较高,背后有可能是钓鱼陷阱,尽量不使用;其次,使用公共场合的WiFi热点时,尽量不要进行网络购物和网银的操作,避免重要的个人敏感信息遭到泄露,甚至被黑客银行转账;第三,养成良好的WiFi使用习惯。手机会把使用过的WiFi热点都记录下来,如果WiFi开关处于打开状态,手机就会不断向周边进行搜寻,一旦遇到同名的热点就会自动进行连接,存在被钓鱼风险。因此在公共区域,尽量不要打开WiFi开关,或者把WiFi调成锁屏后不再自动连接,避免在自己不知道的情况下连接上恶意WiFi;第四,在笔记本电脑、平板电脑、智能手机上安装杀毒软件,可帮助网民拦截可能的钓鱼网站和病毒木马攻击。如果杀毒软件报警,建议断开连接,确保安全;第五、不要使用默认路由器管理后台的登录账户、密码,建议使用字母加数字的高强度密码,设置的WIFI密码应选择WPA2加密认证方式,并使用较复杂的密码。