对话嘉宾:
腾讯手机管家安全专家 陆兆华
东软网络安全事业部硬件产品开发部部长 杨德光
锐捷网络无线产品线总监 蔡韡
酷派副总裁 周明毅
公共Wi-Fi网络因其便捷、灵活、廉价等优势,近年来伴随着移动互联网得到迅猛的发展。与此同时,安全性薄弱也一直是公共Wi-Fi的核心问题,成为其发展的主要障碍。今年央视“3·15”晚会上曝出公共场所免费Wi-Fi存有安全隐患,并现场为观众演示了利用免费Wi-Fi截获观众传输的照片及电子邮箱密码,让很多观众触目惊心。那么,Wi-Fi安全的漏洞在哪里?会给产业带来哪些影响?如何解决呢?就此,《通信世界》记者采访了多位安全专家。
虚假Wi-Fi风险巨大
《通信世界》日常生活中我们接触到的公共Wi-Fi网络,是否如“3·15”晚会中提及的那般脆弱?是何原因造成?
陆兆华:日常公共Wi-Fi网络分为几种类型,如运营商Wi-Fi、商用Wi-Fi、商家自建Wi-Fi,而“3·15”晚会提到的公共Wi-Fi,主要指的是攻击分子通过假冒SSID等方式搭建的虚假Wi-Fi。黑客对虚假Wi-Fi的路由器拥有完全的管理权,由于连接该虚假Wi-Fi的数据都通过路由器进行中转,所以黑客可以设置访问跳转、植入恶意代码等,用户使用时风险系数就非常高。
架设一个相同无线名称的Wi-Fi热点非常容易实现,用户肉眼很难识别,外加网络上各种攻击软件工具也容易能下载到,所以如果黑客在公众场所偷偷搭建此类Wi-Fi,就很容易盗取连接该热点并进行敏感信息操作的用户信息。
如果是运营商、商用公司、商家自建的公共Wi-Fi,黑客同样可以连接进入局域网,在网内进行针对性攻击,也是具有一定的风险性,这其实与各种联网设备之间攻击的安全性类似,但就风险性而言,其比虚假Wi-Fi更安全一些。
蔡:日常生活中的Wi-Fi安全问题,主要有以下几种场景。
第一,未加密的Wi-Fi部署。公共Wi-Fi的部署者缺乏安全保护的意识,没有对Wi-Fi网络进行加密(Open模式),任何人都可以随意访问该无线网络。此时普通用户发送的数据是明文的,很容易被攻击者嗅探到(sniffing)。
第二,是伪装AP。这种攻击是指Wi-Fi部署本身已经设置了严格的加密,此时上边提到的Open模式下的攻击方式将无法实施。于是攻击者模仿真实Wi-Fi的名字(SSID),架设一个同名的未加密的无线网络(Rogue AP),实施钓鱼攻击。用户往往区分不出哪个是可靠的Wi-Fi网络,关联到假的无线网络后,便暴露在Open模式下的种种攻击方式之下。
第三,加密方式不“健壮”或密码维护困难。Wi-Fi网络技术经历了十余年的发展历程,而早期的技术规范存在明显的安全问题。经历了多年的演进之后,新标准下有了可靠性很高的加密方法(WPA2/AES),但是对早期的WEP等加密方式依然兼容。这种加密方式其实形同虚设,稍微具备网络知识的普通用户通过阅读教程也能轻松破解。
即使采用“健壮”的加密方式,由于公共网络下往往采用预设密码的方式(PSK),同一个网络下的所有用户都是同一个密码,公共网络中难于管理,很容易被攻击者获取到。另外,如果网管长期不更新密码,攻击者还是有可能通过“嗅探”和暴力破解等方式获取到密码。
总结而言,网络部署者缺乏安全意识、现有技术架构下用户难于辨别真伪以及密码管理的困难,是公共Wi-Fi网络中安全问题的主要原因。
周明毅:随着这些安全隐患在“3·15”晚会上的曝光,手机安全问题再次成为了民众的焦点话题,并在一定程度上,使得以酷派铂顿为代表的双系统安全手机也再次成为市场热点。
目前,不少用户的手机中已经安装了一些安全软件,并具备了一定的安全意识,但对于一些高水平的黑客而言,依旧可轻松绕过这些防护,令人防不胜防。要做到真正的安全,只能通过封闭的安全系统加以实现。
安全问题阻挠商用Wi-Fi发展
《通信世界》如果公共Wi-Fi网络存在严重的安全漏洞,那么安全因素是否将成为制约我国“商用Wi-Fi”产业链发展的“拦路虎”?如何破解?
杨德光:从其诞生之日起,Wi-Fi的安全性就是无线网络的核心问题,伴随其快速地发展,这个问题也并没有得到缓解。央视“3·15”晚会曝光的Wi-Fi问题,应该只是无线安全领域暴露出问题的冰山一角,背后隐藏的黑色产业链应该更触目惊心,当前安全已经成为制约相关产业链发展的主要因素。
我们建议从以下方面着手改善:一是加强全民的安全防护意识,大力宣传安全的上网行为规范,在关键场景和关键场合加强安全防范意识,尤其是支付、身份认证等相关业务;二是加大对安全基础设备的投资,安全不应该成为成本的负担,而应该作为运营不可或缺的基础设施,真正在Wi-Fi网络运营中做到事前有防御、事中有响应、事后有审计;三是加大相关行业政策法规的制定和梳理,使用户受到的损失能得到有效补偿,同时也对不正当的竞争实体进行规范和整治。
陆兆华:Wi-Fi网络并不能直接简单地概括为存在严重的安全漏洞,更多问题还是因为攻击分子灵活地利用一些特定的技术手段或产品,进行针对性恶意攻击而引起的。
对于商用Wi-Fi而言,如果是商业公司有组织有规划推行的Wi-Fi联网接入服务,商用Wi-Fi一般有统一的管理系统、用户认证、密码获取等一套规范,在保证路由器管理、网络传输过程等安全性的基础上,用户访问安全具有一定的保障。但是商用Wi-Fi市场鱼龙混杂,不能保证所有的商用Wi-Fi都按照严格的安全规范进行接入,因此存在风险性。
综合考量Wi-Fi联网的安全性与便捷性,尽管存在一定的安全性问题,但是用户在这方面的需求还是非常强烈的,所以商用Wi-Fi的发展还会越来越活跃。
反之,商用Wi-Fi服务提供商应在安全方面综合考虑,迫切需要根据用户使用场景进一步提升安全接入标准,提升用户信心,才能迎来商业大发展。
蔡:随着Wi-Fi无线网络以及智能终端的普及,承载的应用越来越多,也越来越重要。除了浏览网页、读新闻以及看视频以外,网上银行、网上购物等涉及个人隐私及财产安全的应用越来越常见。商用Wi-Fi的网络安全问题确实凸显出了许多亟待解决的问题,在得到社会的广泛关注后,问题应该能够迎刃而解。
防护以提升用户安全意识为先
《通信世界》我国公共Wi-Fi网络存在哪些亟待解决的问题,产业链各方面应该如何强化安全特性?
蔡:首先需要强化网络提供方以及使用方的网络安全意识,因为不论技术本身多么安全可靠,最薄弱的环节还是在人。
网络提供方应该选取可靠的、成熟的Wi-Fi产品解决方案,获取更好的技术支持和安全方面的指导;充分利用已有的技术方案,提高网络的安全性,降低不法分子钻空子的机会。