点击这里给我发消息 
  设为首页 | 加入收藏 | 网站地图
联系我们
北京总部调度中心
具体地址:北京市海淀区知春路23号量子银座(863软件园)8层802
电话:010-51530012/13
传真:010-51530013
24小时服务热线:13501016950
长途客户:4006-355-119
数据恢复项目
监控录像数据恢复
监控录像数据恢复,大华监控录像恢复,海康监控录像恢复,汉邦高科监控录像恢复
数据库修复
ACCESS、FOXPRO、SQL SERVER、 ORACLE、MYSQL、DB2、NFORMIX、 SYBASE等数据库丢失的恢复
硬盘数据恢复
希捷、日立、IBM、迈拓、三星、 西部数据、昆腾、富士通、东芝、易拓等各种硬盘的数据恢复
RAID数据恢复
RAID0、RAID1、RAID5、RAID6、RAID1+0、RAID0+1.硬盘掉线导致RAID信息丢失、误删除数据、RAID信息丢失、服务器硬盘损坏导致无法读取数据
开盘数据恢复
硬盘磁头卡死、硬盘电机问题、硬盘读取无反应、硬盘内部组件问题、硬盘磁头偏移、硬盘磁头等等相关问题。
存储介质恢复
U盘、光盘、软盘、MP3、MP4、CF、SD、xD、MMC、SM、SMC、记忆棒、录音笔、磁带、微硬盘、硬盘、等。
当前位置:首页 > 媒体报道

公共Wi-Fi泄密疑云:商家自建Wi-Fi多属民用级

来源: 发布时间:2012-3-19 点击量:   【返回

坐在星巴克的落地窗边,杜瑞强没有如常打开iPhone的Wi-Fi开关,虽然每天下午来星巴克喝杯咖啡、顺便蹭蹭网早已成为他的习惯。但就像窗外广州阴霾的天气一样,此时他的心情正在为天涯论坛上一篇网帖而备感纠结。

这篇名为《有图有真相,你还敢用UC上网吗?》的帖子说,“在星巴克、麦当劳,黑客只要用一台笔记本、一套无线热点和一个叫做Wireshark的软件,最少只要15分钟,就能获取通过临时无线网络上网者的账号和密码。”

“虽然不知是真是假,但是听起来真有点恐怖。”杜瑞强担忧地说。

有着同样忧虑的不止杜瑞强一人,自从上述网贴发布后,网络上关于使用公共场所免费Wi-Fi上网究竟是否安全的讨论激增,更多市民开始对公共场所Wi-Fi上网的安全性问题予以高度关注。

公共免费Wi-Fi,上还是不上,一串串有关安全的追问随之而来。

如何防范钓鱼Wi-Fi

天涯网帖的火爆传播,让钓鱼Wi-Fi臭名远扬,也让不少对于技术不太精通的用户闻之生畏。有关专家指出,只要用户增强主动防范意识,并建立良好的Wi-Fi使用习惯,就能够防止堕入钓鱼Wi-Fi的陷阱。要想做到这一点,有些小技巧可以利用。

第一招 拒绝来源不明的Wi-Fi

正如“妖妃娘娘”所披露的那样,设置钓鱼Wi-Fi陷阱的黑客大多利用的是用户想要免费蹭网的占便宜心理。因此要想避免堕入类似陷阱,首先要做到的就是尽量不要使用来源不明的Wi-Fi,尤其是免费又不需密码的Wi-Fi。如果是在星巴克、麦当劳这样有商家提供免费Wi-Fi网络的地方,用户也要多留一个心眼,主动向商家询问其提供的Wi-Fi的具体名称,以免在选择Wi-Fi热点接入时不小心连接到黑客搭建的名称类似的钓鱼Wi-Fi。

第二招 及时更新升级浏览器

和传统有线网络相比,Wi-Fi网络环境下,用户信息的安全性挑战更多。用户在使用非加密的Wi-Fi网络或者陌生的Wi-Fi网络时,最好提前在笔记本电脑或智能手机中安装一些安全防范软件以作提防。

针对最容易泄露用户信息的浏览器软件,用户除了要在官方网站进行下载的和安装之外,还要养成定时更新升级的好习惯。例如此前提到的UC浏览器,其最新的版本就加入了连接到无密码的Wi-Fi网络自动提醒用户是否要断开的功能,这种功能升级对于用户防范钓鱼Wi-Fi无疑会起到比较实用的效果。

使用浏览器登录网站时,如果碰到需要用户输入账户名和密码并弹出“是否记住密码”选项框的情况,最好不要选择“记住密码”,因为“记住密码”功能会将用户的账号信息存储到浏览器的缓存文件夹中,无形中方便了黑客进行窃取。

第三招 手机软件设置莫偷懒

针对智能手机用户尤其需要提醒的是,在日常使用时最好关闭Wi-Fi自动连接这项功能。因为如果这项功能打开的话,手机在进入有Wi-Fi网络的区域就会自动扫描并连接上不设密码的Wi-Fi网络,这无疑会大大增加用户误连钓鱼Wi-Fi的几率,为了一时方便而留下安全隐患,未免有些得不偿失。

另外,用户在使用智能手机登录手机银行或者支付宝、财付通的金融服务类网站时,最好不要直接通过手机浏览器进行,请优先考虑使用银行或者第三方支付公司推出的专用应用程序,这些程序的安全性要比开放的手机浏览器高上不少。

安全进化史

Wi-Fi是一种短程无线传输技术,能够在数百英尺范围内支持互联网接入的无线电信号。随着技术的发展,以及IEEE802.11a、802.11b、802.11g以及802.11n等标准的出现,现在IEEE802.11这个标准已被统称作Wi-Fi。

第二次世界大战后,无线通讯因在军事上应用的成功而受到重视,但缺乏广泛的通讯标准。于是,IEEE(美国电气和电子工程师协会)在1997年为无线局域网制定了第一个标准——IEEE802.11。IEEE 802.11标准最初主要用于解决办公室局域网和校园网中用户的无线接入,其业务主要限于数据存取,速率最高只能达到2Mbps。

在Wi-Fi技术的发展过程中,除了传输速率不断提升之外,安全加密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进入Wi-Fi标准的加密技术名为WEP(Wired Equivalent Privacy,有线等效保密),但由于该技术的加密功能过于脆弱,很快就被2003年和2004年推出的WPA(Wi-Fi Protected Access,Wi-Fi网络安全存取)和WPA2技术所取代。

但即使是较新的WPA2加密技术,仍然在无线开放环境下存在安全性较弱、无法满足电信级高可靠性要求等问题,为此,我国依据“商用密码管理条例”制定了针对Wi-Fi既有安全加密技术漏洞自主安全标准WAPI(Wireless LAN Authentication and Privacy Infrastructure,无线网络鉴别保密基础结构)。

2009年6月,工信部发布新政,宣布加装WAPI功能的手机可入网检测并获进网许可。当月,包括美国代表在内的参会成员一致同意,将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。

追问1 钓鱼Wi-Fi窃取用户密码?

从技术角度来说,只要使用免费Wi-Fi上网,手机或者电脑都有可能被钓鱼

在那篇引发公共Wi-Fi安全性问题争议的网帖中,名为“妖妃娘娘”的楼主详细演示了如何用“Win7系统电脑、无线热点和Wireshark软件”窃取使用UC浏览器用户个人信息和密码的全过程。

“妖妃娘娘”称,按照该教程,即使是初级黑客也只需要两个小时,就能掌握如何在公共场所设置免费Wi-Fi来进行钓鱼,熟练后甚至仅需15分钟就能够轻松搞定使用UC浏览器上网用户的密码。而这其中的关键在于,UC浏览器本身存在安全漏洞,其所谓的“云加速”服务在传输用户信息时使用了明文传输密码,让泄密成为了可能。

对于这份“钓鱼Wi-Fi”的详细教程,很快就有热心网友进行了亲身验证,结果证明在iPhone上使用版本号为8.2.1.132的UC浏览器,果真可以通过Wireshark软件截取到登录Gmail账户时输入的账号和密码信息。

看完网友实证帖后,杜瑞强想起自己平时肆无忌惮地在星巴克蹭网,不由得有些后怕。

然而,这还不是让公共Wi-Fi安全性问题被彻底引爆的关键,在“妖妃娘娘”的网帖和随后网友实证帖被广泛传开后,有关“钓鱼Wi-Fi”窃取他人信息和密码的强大能力被越传越神,“网银密码也能轻松搞定”等说法更是引起了众多网友的强烈不安。

作为UC浏览器开发厂商——UC优视公司对于这个问题并没有太多回避。

该公司CEO俞永福直承,在前期某个版本的iPhone用UC浏览器上的确存在漏洞,但很快就推出了新版本的软件加以改进。不过他同时也表示,只要是遭遇“钓鱼Wi-Fi”,用户上网过程中个人信息和密码就都有可能被别有用心的黑客获取,并非只有使用UC浏览器的用户才会有这个风险。

“最大的问题其实是在我们目前网站建设上普遍采用的HTTP(Hypertext Transfer Protocol,超文本传输)协议本身的安全性较低。”俞永福的说法获得了金山网络安全专家李铁军的支持。

李铁军称,从技术角度来说“妖妃娘娘”介绍的钓鱼方法是可行的,但这并不止是手机浏览器的问题,只要使用免费Wi-Fi上网,手机或者电脑都有可能被钓鱼,这种技术被业内称为“攻击中间人”。

李铁军进一步解释,如果用户使用黑客设置的钓鱼Wi-Fi上网,那么黑客使用相关软件监视并记录用户在网上进行的所有操作信息,从中窃取有价值资料,比如QQ聊天记录、邮件内容等,“获取网银账户密码的可能性较小,但也并不是完全没有可能”。

追问2 用户资料泄露漏洞在哪?

Wi-Fi设备并没有出现安全方面的问题,是人们怎样使用Wi-Fi上出了问题

虽然专家证明“钓鱼Wi-Fi”的确有可能导致用户的个人信息泄露,但这究竟是Wi-Fi网络本身的问题还是其它方面的因素导致,这种泄露的后果究竟又会有多严重呢?

贝尔金公司技术工程师梁汉明认为,钓鱼Wi-Fi引发的公共场所Wi-Fi的安全性问题和Wi-Fi本身的安全性问题,在本质上是两回事,前者更多的是人的问题,但后者则只是较为单纯的设备问题。

“首先我们需要承认Wi-Fi设备是有一定技术漏洞,这种情况在各种高科技产品和服务中都存在,就像Windows系统市场多次爆出安全漏洞,美国五角大楼也曾经被黑客攻破一样,网络设备和服务安全性虽然一直都在提升中,但谁也不敢保证万无一失。”梁汉明说,2011年Wi-Fi设备就曾经爆出过WPS(Wi-Fi保护设置)协议的漏洞,黑客只要用密码穷举法(使用计算能力强大的设备将的所有有可能性的密码排列组合都尝试一遍)暴力破解,能够完全攻破Wi-Fi设备的安全防护。“但这样做不仅需要专业的设备,还需要精通相关安全协议的知识,并非一般黑客能做到的,即使能做到,也往往要花上几天的时间。”

但钓鱼Wi-Fi的情况显然完全不同,“妖妃娘娘”称最短只需要15分钟就能搞定用户的账号和密码。“这是因为他本身就是设置了一个人为的陷阱,他攻克的本来就不是Wi-Fi设备的安全防护,而是网络浏览器的软件漏洞,或者说是网络传输协议的漏洞。”梁汉明解释道,在这整个过程中,Wi-Fi设备其实扮演的只是数据传输通道的角色,造成用户信息的泄露并非“Wi-Fi设备惹的祸”,而是用户贪便宜的心理和网络浏览器和网络传输协议的软件漏洞。“在这件事上Wi-Fi设备并没有出现安全方面的问题,是人们怎样使用Wi-Fi上出了问题。”

不过无论是哪个环节出了问题,遭遇钓鱼Wi-Fi有可能导致用户信息泄露的风险却是真实存在,仅这一点,就足够让杜瑞强这样的网络用户忧心忡忡:“一想到有可能连网银的账号和密码都泄露,就不敢再用了!”但在专业人士眼中,这种担忧显得有些过虑。

广东发展银行陈捷表示,目前绝大部分网络银行都已经在页面上加入了安全控件的技术,而且登录页面也多是采用了HTTPS(超文本传输安全协议,Hypertext Transfer Protocol Secure)技术,在终端和服务器之间进行数据传输时采用的是密文形式,使用WireShark之类的软件是无法截取的。

支付宝公司朱建称,目前网络第三方支付账户的登录和使用也大多采用手机账号绑定或者数字证书认证等技术,即使黑客通过“钓鱼Wi-Fi”获得了账户和密码,在没有相关数字证书和绑定账号的手机短信认证的情况下,也是无法对账户资金进行调动的。

追问3 免费公共Wi-Fi还能用吗?

不少运营商都提供免费Wi-Fi,市民在公共场所最好选择运营商提供的Wi-Fi

钓鱼Wi-Fi被曝光后,在引发人们对Wi-Fi安全性再检讨的同时,也让不少人对于是否应该继续在公共场所接入Wi-Fi网络产生了怀疑。

媒体人士潘少文平日经常在机场、酒店等公共场所利用免费Wi-Fi工作,现在正考虑买一个3G上网卡。

潘少文的顾虑并非杞人忧天。专门为中国移动提供Wi-Fi设备专业建设和维护服务工作的夏侯宇表示,目前公共场所的Wi-Fi主要分为两种,一种是有电信运营商提供的Wi-Fi热点,另一种则是商家为招徕客户自行搭建的Wi-Fi。

“这两种Wi-Fi在技术上是有着很大差距的。运营商提供的公共Wi-Fi网络无论是否免费,都是采用电信运营级的网络设备,性能稳定。运营商在Wi-Fi组网时都会部署多种安全措施,例如连接上Wi-Fi后要想上网还需要通过身份认证、或是要求使用专用的客户端软件等,在后台服务器端,运营商往往还会提供24小时的监控。”

夏侯宇称,普通商家自行搭建的Wi-Fi热点则大多使用民用级Wi-Fi设备,“其实就是家庭用户的普通无线路由器,而且后台也没有进行专门的安全性设置,有的甚至连密码都没有,这就给黑客留下了乘虚而入的机会。”

作为行业人士,夏侯宇个人建议,市民在公共场所最好优先选择运营商提供的Wi-Fi。“目前不少运营商都针对其自身的用户提供免费的Wi-Fi使用时长,充分利用这种优惠可以让用户在省钱的前提下享受到安全性更有保障的Wi-Fi服务。”

据了解,目前仅中国电信在广东地区就已经建设了超过5万个Wi-Fi热点,主要分布在校园、酒店、宾馆、机场、火车站等交通枢纽、大型购物广场、商务楼宇等七类公共场所,今年其还将新建2万个Wi-Fi热点,使得省内Wi-Fi热点数量达到7万个的水平。而中国移动今年在广东也提出了新增1.7万个Wi-Fi热点的建设计划,预计到年底其Wi-Fi热点总数将达4.2万个。

行业分析人士杨群表示,随着未来运营商之间竞争的加剧,这种由运营商搭建的公共场所Wi-Fi热点规模还有可能进一步扩大,而且免费的也会越来越多。



上一条: 希捷宣布达到存储密度新纪录:硬盘容量有望翻倍 | 下一条: 奢侈品大佬联手炮轰网商 消费者维权遭遇三重门
最新文章 
· 服务器虚拟化带来的六大存储瓶颈 6-5
· 服务器虚拟化的经验未必适合桌面… 6-5
· 服务器虚拟化怎样选择具体实施方… 6-5
· 选购虚拟化服务器的五大注意事项 6-5
· 如何创建虚拟机备份并避免一些常… 6-5
· 嵌入云服务器:如何控制服务器升… 6-5
· 云时代:政府CIO应该“未雨绸缪”… 6-5
· 存储虚拟化和服务器虚拟化紧密相… 5-31
相关文章
· 西数的微博开通了! 2-20
· 关注微博,有好礼相送! 2-20
· 西数科技培训 2-22
· 西数科技的培训课程表 2-22
· R-Studio5.0 2-22
· 聚焦MySQL性能优化 空间数据库开… 2-22
· SQL Server 2000数据库管理中的维… 2-22
· 程序员基础 MySQL数据库开发必备… 2-22
 
友情链接: 北京服务器数据恢复 | 数据安全论坛 | 重庆数据恢复 | 天津数据恢复 | 监控录像数据恢复 | 数据恢复实验室 | 保定分类信息网 | 南京数据恢复 | 南京硬盘恢复 | 数据恢复 | 电子取证 | U盘数据恢复 | 西数数据恢复博客 | 昆明数据恢复 |
版权所有:北京西数科技有限公司 Copyright @ 2003-2012 All rights reserved 京ICP备10217323号
公司地址:北京市海淀区知春路23号量子银座(863软件园)8层802 | 邮编:230031 1024*768显示最佳
公司电话:010-51530012 /13 13501016950