服务商对无线端的安全投资不足 公用免费WiFi潜藏钓鱼风险
http://msn.finance.sina.com.cn 2012-04-10 01:57 来源: 经济参考报记者 龚雯 上海报道
受移动网络数据流量激增及无线城市的推动,无线宽带接入网络(简称WiFi)覆盖点正如雨后春笋般地在机场、火车站、商场等公共场所涌现。但与此同时,相较于网络建设成本和管理费用等,服务商对于无线端的安全投资显得有点跟不上,“钓鱼WiFi”的悄然现身就令无线网络信息安全受到了质疑。
国家计算机病毒应急处理中心近日通过对互联网的监测发现,在公共场合搭建一个不设密码的WiFi无线信号,一旦用户使用计算机或是手机接入网络,上网用户的个人数据和密码等私密信息就会被轻易窃取。专家表示,“钓鱼WiFi”的出现为网络、应用层面的服务提供商敲响了警钟。
WiFi热浪来袭
无线城市作为城市信息化和现代化的一个重要环节,在上海、广东、四川、河北等全国多个省市掀起“热潮”。而WiFi作为电信运营商构建无线城市中的得力助手,正在获得越来越多的投入。
记者从中国电信上海公司了解到,目前在上海已投入运营WiFi热点超过7300个,大部分WiFi热点接入速率达到54M,每天约有数万用户采取WiFi方式上网,且访问流量急剧上升。
根据规划,上海电信计划三年内热点增加到两万个,“十二五”期间,将完成对公共服务区域的无线热点全覆盖。其中一些中央商务区和重点区域将实现100-300M的极速无线上网。放眼全国,中国电信计划2012年天翼WiFi热点达到100万个。
另外,作为拥有全球最大规模移动用户的中国移动,更是将WLAN网络提高到了与GSM、TD-SCDMA以及TD-LTE同等重要的第四张网络的战略高度。市场预计到2013年前,中国移动全国范围内的WiFi热点数量增加至100万个。
中国移动上海公司副总工程师、计划部总经理孙达表示,不同的终端对于网络的需求好比不同类型的“车”对于“道路”的诉求,在“道路”不可能无限制拓宽的情况下,设计出集约使用的有限频率资源,从而让各种“车”能够顺利行驶,WiFi可以为运营商缓解无线数据流量快速增长带来的网络压力。
据了解,目前在电脑中WiFi的渗透率已达到100%,而WiFi在手机的渗透率也将达到25%。
来自长江证券的研究报告分析称,WiFi终端的增长与无线网络的建设步伐在相互促进作用下呈现出步步高升之势,预计WiFi产业链上的芯片供应商、WiFi终端供应商、零售商都将迎来增长的春天。
“钓鱼WiFi”引担忧
国家计算机病毒应急处理中心的专家说,面对目前如此多的WiFi信号,如果未采取加密等安全防范措施,计算机、手机用户直接接入网络,无论是户外公共WiFi网络还是家里和办公室热点,计算机、手机内的私密数据信息都会有可能面临以下潜在安全风险:
误入“钓鱼”Web网站。公用免费WiFi热点增多,其中可能潜藏“钓鱼”行为,即恶意提供免费WiFi进行网络“钓鱼”,诱使计算机、手机用户免费登录WiFi,一旦期间输入账号、密码以及可能涉及私密的个人信息、财务或者私密数据资料就会受到窃取。
泄密系统中个人私密数据信息。在不能确定安全的免费WiFi环境下,如果采用明文传输,用户的诸多信息数据(包括私密)在传输过程中会轻易被截获。
下载恶意插件、软件。使用安全措施不到位的免费WiFi上网,计算机、手机用户可能下载恶意插件、软件,用户在使用这些软件时会出现问题,特别是银行、支付宝、快钱等涉及钱财的敏感应用软件。
近日,有网友在一篇《有图有真相 你还敢用UC上网吗?——一位初级黑客的自白》中详细演示了如何“钓鱼”,通过“一台Win7系统电脑、一套无线网络和Wireshark软件”设置一个网络环境,就能窃取使用UC浏览器用户的个人信息和密码。
对此,全球第二大无线局域网设备供应商Aruba公司中国区技术总监梁益民在接受记者采访时称,“钓鱼WiFi”就好比黑客在半路“伪装”成了居民,提前从“邮递员”手中“拿”走了原本要送至家中的信件。尽管最后在居民眼中该“信封”是完好无损的,但殊不知,其内容早已被黑客“看”过甚至盗取了一部分。
而对于“钓鱼WiFi”的成功窃取信息,梁益民解释,一方面与近两年移动终端和无线应用发展过快有关。平板电脑以及智能手机的出货量几乎是传统PC的数倍,且绝大多数只能通过无线上网,加上用户对于终端无线上网需求的快速增长,这是国内许多无线宽带网络提供者在当初建设时没有预料到的。所以,相较于网络建设成本和管理费用等,服务商对于无线端的安全投资显得有点跟不上。
另一方面,黑客之所以能轻松吸引“小鱼”入网上钩,还因设置了容易迷惑人的WiFi名字,如Starbucks2、KFC1等,更重要的是掌握了部分消费者免费“蹭”网的侥幸心理。
事实上,多数年轻消费者都有“蹭”网的心态。上海白领陈之平表示,当手机搜索到五到六个WiFi名称时,自己通常会优先考虑连接免费WiFi,至于KFC1、KFC2这类连接点背后真正的“主人”是谁,并未过多考虑。现在想想,倘若自己的隐私全被盗走了,真是后怕。
三管齐下防“李鬼”
专家表示,尽管WiFi作为一个开放式的网络平台,相比有线宽带点对点的信息传输,容易产生技术漏洞和安全隐患,但必须客观、理性地予以看待。毕竟“钓鱼”事件并非只在WiFi领域出现,随着因特网技术和电子商务的普及,网络钓鱼危害范围正在逐渐扩大。因此,关键是找准漏洞,及时防范和修补。
简单来看,消费者在使用WiFi时主要涉及三个层面,即网络、应用和终端。
目前,提供WiFi网络的服务商主要分为两种,一种是电信运营商,另一种是为招揽客户的商家。相比之下,运营商提供的WiFi网络,采用的是电信级的网络设备,且对这些设备都有明确的安全功能规范要求。而后者,在安全设置上则明显偏弱。
记者从中国移动了解到,只有通过身份认证的合法用户才能使用中国移动提供的WiFi网络。同时,中国移动WiFi网络在网络组网上启用了用户隔离功能,同一热点下所有WiFi用户都是互相隔离的。
据介绍,“钓鱼WiFi”导致用户个人信息泄露的问题,所攻克的其实不是WiFi本身的安全防护,而是网络浏览器的软件漏洞或者说是网络传输协议的漏洞。
一位从事无线网络业务的工作人员对记者表示,由于WiFi是一个开放的公网,不大可能对所有数据都进行加密,因为这有可能会影响用户有效信息的传输速率,所以在一定程度上给黑客钻了“空子”。
不过,目前在提供应用的服务商中,以银行、金融机构、交易平台等为代表的一批专业类应用服务商,基本上都会加强自身安全设置并不断升级,从而对用户信息进行严格“审查”并有效保护用户隐私。
业内专家强调,作为在无线网络安全环境中最底层的个人用户,想要避免损失,关键还是要学会自我保护。
首先,消费者在公共场所最好优先选择由运营商提供的WiFi,在使用WiFi时一定要看清楚热点名称。
其次,在手机或电脑终端上设置一些安全防范软件并经常升级。如果要登录手机银行或者支付宝类网站,最好不要直接通过手机浏览器进行,优先使用银行或者第三方支付公司推出的专用应用程序。
再者,即使是自己建立的无线网络,也要使用复杂度较高的接入密码、修改默认热点名称、修改无线设备管理密码,要求更高点还可以隐藏热点名称,限制可以接入的计算机范围等。