赤裸WIFI隱藏巨大安全隱患

一旦用戶打開電腦，無論他是否打開WiFi功能，他的各種信息就已經(jīng)暴露在空氣中。惡意入侵者只要使用一種稱之為嗅探器的軟件，就可以通過分析周圍的WiFi信號(hào)，獲取自己感興趣的東西

“只要你在咖啡廳或者其他提供WiFi上網(wǎng)的地方通過無線上網(wǎng)，基本上你的電腦對(duì)我就不存在任何秘密而言。”在北京五道口的雕刻時(shí)光咖啡館里，一位網(wǎng)名叫ROX的男孩得意地對(duì)《財(cái)經(jīng)時(shí)報(bào)》記者表示。

在這個(gè)咖啡廳的入口處有一張很醒目的海報(bào)，提示顧客這里可以提供免費(fèi)的無線上網(wǎng)服務(wù)。

當(dāng)著記者的面，ROX熟練地啟動(dòng)電腦里的命令行窗口，運(yùn)行了一個(gè)電腦中的小軟件，片刻之后，在屏幕上就顯示出了一串有規(guī)律的字符串列表。男孩接著又輸入了一串命令之后，屏幕上就出現(xiàn)了一個(gè)新的窗口，剛才那些字符串變成了一些可以識(shí)別的詞語(yǔ)。

ROX向記者介紹，現(xiàn)在窗口里出現(xiàn)的信息就是他從咖啡館的無線網(wǎng)絡(luò)中截取到的信息，包括了聯(lián)網(wǎng)電腦的用戶名、電子郵箱地址以及上網(wǎng)者正在使用的即時(shí)通訊軟件好友列表。

對(duì)于黑客而言，這些信息已經(jīng)非常有用。

ROX透露，“通過這些信息，‘有心’人就可以進(jìn)行更復(fù)雜的入侵活動(dòng)，比如盜取你的電子郵箱密碼，或者將你的信息賣給垃圾郵件制造者。”

“現(xiàn)在，很多白領(lǐng)將在咖啡廳、網(wǎng)吧上網(wǎng)看成一種時(shí)尚，但是幾乎沒有人知道它存有巨大安全隱患。”ROX說。

危險(xiǎn)的網(wǎng)絡(luò)

2007年3月，在美國(guó)舉行的一個(gè)BlackHat安全大會(huì)上，一家名為Errata Security的公司首次對(duì)無線網(wǎng)絡(luò)的安全提出警告。

這家公司的技術(shù)總監(jiān)大衛(wèi)·梅納爾(David Maynor)表示，一旦用戶打開電腦，無論他是否打開WiFi功能，他的各種個(gè)人信息就已經(jīng)暴露在空氣中。惡意入侵者只要使用一種稱之為嗅探器的軟件，就可以通過分析周圍的WiFi信號(hào)，獲取自己感興趣的東西。

大衛(wèi)透露，通過無線廣播方式，用戶的筆記本電腦中的個(gè)人信息和敏感資料都以無線信號(hào)在空氣中傳播。事實(shí)上，在實(shí)際應(yīng)用中多數(shù)無線網(wǎng)絡(luò)是完全“赤裸”的，不使用任何安全協(xié)議。

而對(duì)于無線網(wǎng)絡(luò)可能存在的安全隱患，不僅消費(fèi)者，甚至包括無線服務(wù)提供者的商家同樣知之甚少。

該咖啡廳的經(jīng)理在接受記者采訪時(shí)表示，所使用的無線路由器(提供WiFi網(wǎng)絡(luò)的設(shè)備)并沒有做任何設(shè)置，“就是將ADSL線路插到無線路由器上，然后打開無線路由器大家就可以無線上網(wǎng)了。”

“所有提供無線上網(wǎng)服務(wù)的地方都是這樣做的，從來沒有聽說過有什么問題，你們就放心使用吧。”該經(jīng)理安慰記者。

但事實(shí)并非如此。

美國(guó)《網(wǎng)絡(luò)世界》周刊報(bào)道，僅2006年底，就發(fā)生了多件無線攻擊事件：一名咨詢?nèi)藛T非法進(jìn)入了PG&E公司的無線網(wǎng)絡(luò)，盜取與市政當(dāng)局的口水戰(zhàn)有關(guān)的敏感的計(jì)算機(jī)文件；一名黑客因盜取保密的病人檔案而被判有罪，他非法進(jìn)入了Wake Forest大學(xué)醫(yī)學(xué)院的無線網(wǎng)絡(luò)……

“目前國(guó)內(nèi)關(guān)于無線攻擊的事件報(bào)道并不多，這一方面是因?yàn)闊o線網(wǎng)絡(luò)普及程度并不高，另一方面是因?yàn)榇蠹胰狈@方面的意識(shí)，即使被侵入了也并不知情。”ROX認(rèn)為。

雞肋般的解決方案

無線局域網(wǎng)絡(luò)的脆弱讓人不寒而栗，但是記者隨后的調(diào)查則更讓人觸目驚心。因?yàn)槊鎸?duì)隨時(shí)可能泄露你秘密的無線網(wǎng)絡(luò)，目前幾乎沒有好的解決辦法。

安全專家朱梁對(duì)記者表示，目前的WiFi無線網(wǎng)絡(luò)的確存在很嚴(yán)重的安全隱患，雖然各大無線設(shè)備廠商都加緊研究的腳步，他們提出了各種WiFi安全協(xié)議，但是結(jié)果并不樂觀。

目前常見的WiFi安全技術(shù)包括WEP、WPA以及WPA2，這些技術(shù)都企圖通過加密手段，防止無線信號(hào)被“有心人”截取。

但是朱梁認(rèn)為這些技術(shù)本身意義并不大，絕大多數(shù)用戶在實(shí)際使用中，并不會(huì)啟用這些協(xié)議，因?yàn)槠渑渲眠^程相當(dāng)復(fù)雜，即使是技術(shù)人員，也不能很輕松完成。

而且，還有一個(gè)很嚴(yán)重的問題：由于不同品牌的無線發(fā)射裝置和接收裝置之間存在兼容性問題，在應(yīng)用安全協(xié)議之后可能會(huì)造成大多數(shù)用戶無法連接無線網(wǎng)絡(luò)，具體表現(xiàn)就是你的筆記本電腦可以找到無線網(wǎng)絡(luò)，但即使密碼正確也無法連通。

國(guó)內(nèi)某知名無線廠商市場(chǎng)總監(jiān)對(duì)記者表示，目前在WiFi領(lǐng)域完全兼容還很難實(shí)現(xiàn)。

而在專家看來，指望通過殺毒廠商的防火墻來抵御外部攻擊也只能治標(biāo)不治本。

國(guó)內(nèi)某技術(shù)專家在接受《財(cái)經(jīng)時(shí)報(bào)》記者采訪時(shí)表示，“目前無線安全問題成因在于無線協(xié)議本身存在的漏洞，而安全產(chǎn)品本身能解決的只是終端的問題，協(xié)議漏洞還需要無線廠商解決。”

“沒有標(biāo)準(zhǔn)談?lì)A(yù)防只能是空談，但是我們甚至找不到無線局域網(wǎng)的主管部門。”朱梁憂慮地表示。按道理，無線設(shè)備應(yīng)該屬于無線電管理局管理。但是管理局的人明確告訴我們，它們只管理發(fā)射功率大于0.5瓦的無線設(shè)備，無線路由器本身發(fā)射功率只有幾十毫瓦，所以不屬于無線電管理局的管理范圍。

醞釀中的大災(zāi)難

“大衛(wèi)·梅納爾的發(fā)現(xiàn)讓我們看到了無線網(wǎng)絡(luò)的漏洞，但是客觀地說，目前無線網(wǎng)絡(luò)的安全問題并不嚴(yán)重。”安全專家朱梁認(rèn)為。

朱梁表示，現(xiàn)在雖然無線網(wǎng)絡(luò)已經(jīng)隨處可見，但是實(shí)際應(yīng)用人群還并不是很多。而在企業(yè)中使用無線網(wǎng)絡(luò)時(shí)，大多數(shù)關(guān)鍵服務(wù)器和關(guān)鍵數(shù)據(jù)都是無法通過無線網(wǎng)絡(luò)訪問的，因此通過惡意入侵，獲取公司重要信息的可能性并不大。

不過他也認(rèn)為，隨著無線網(wǎng)絡(luò)的進(jìn)一步發(fā)展，特別是使用迅馳筆記本電腦的用戶越來越多之后，那么爆發(fā)通過無線網(wǎng)絡(luò)入侵的重大安全問題只是一個(gè)時(shí)間問題。

據(jù)業(yè)內(nèi)人士預(yù)測(cè)，隨著筆記本電腦的日益走俏，WiFi無線上網(wǎng)應(yīng)用將在未來兩三年內(nèi)變得更加廣泛。

目前，一些不良黑客已經(jīng)盯上了無線網(wǎng)絡(luò)。據(jù)ROX透露，在一些知名的安全論壇上，已經(jīng)有人在聯(lián)絡(luò)針對(duì)無線網(wǎng)絡(luò)安全漏洞進(jìn)行黑客軟件開發(fā)，其中不乏別有用心之人。

對(duì)此，朱梁希望提醒消費(fèi)者，“如果你的電腦里有很重要的數(shù)據(jù)，那么克制自己在公共場(chǎng)所的上網(wǎng)沖動(dòng)是最有效的辦法。”