返回新闻列表

无线上网,夏日好时光

介绍

        终于可以休假了!临行前,你肯定会记得打包好所有假期中所需的物品,而且你绝对不会忘记带上笔记本电脑。毕竟现在电脑是一项必不可少的日常工具。假期期间,你可能需要用它整理和归档自己的照片,或者检查私人(以及工作)邮件。度假地宾馆是否会提供WiFi互联网连接成为了选择宾馆的一个决定因素,因为大家都知道,时刻保持消息灵通是多么的重要。

        你坐在宾馆房间里,打开你的笔记本电脑,开启无线网卡,开始搜索宾馆提供的无线互联网络连接。在该区域内,你搜索到几个无线访问接入点。首先,你选择那个SSID(服务设置标识)显示为宾馆名称的接入点。连接建立后,通常显示的第一页都是宾馆的登录页面,要求你选择付款方式。通常,价格都贵的离谱。宾馆24小时的上网费用是20欧元,这笔钱足够你支付整整一个月的家里的高速DSL网络包月费了。但你现在身处宾馆,没有其他的选择,是不是?这时你发现该区域内的另外一个接入点颇具吸引力,上面的广告称其具有高速连接,非常安全,而且价格极其低廉,只需要6欧元一天。出于价格的考虑,你当然选择该接入点了。连接后,你选择使用信用卡付费,你一边输入自己信用卡信息,一边为节省了不少钱感到洋洋得意。

        不一会功夫,你就通过互联网来到了一个广阔的世界。你先检查一下自己的电子邮件,然后你决定比较一下你早先看中的那款数码相机的价格。同往常一样,你在线比较了一下本地的价格,发现本地价格比你原来相中在线销售商给的价格贵多了。所以你决定立即购买,这样就可以保证下次度假时可以用到该相机了。这次,你仍然利用自己的信用卡付款,因为这样做很方便。

        上述情形非常普遍,大多数人们对此都非常熟悉,或者至少有过一些这样的经历。但很少有人会对使用未知的无线接入点的安全性在意,甚至大部分人连想都不会想到。那么,究竟哪里出问题了吗?

        尽管答案似乎是“否”,但事实上隐藏在表面之下,有很大的风险。下面我们具体分析一下。

表象的背后

        上述示例中发生的情况被称为 “中间人攻击”。有人在宾馆创建了一个简单的登录页面,或者复制了一下该宾馆的登录页面,其目的就是使得用户误认为这就是该宾馆的正式WiFi登录画面。(而从事这项工作并不需要过多的专业知识,甚至可以使用很多已有的商业WiFi路由器和修改过的固件创建,或者利用一台自组织网络中开启WiFi的笔记本电脑。)在该页面背后,其实是已经登陆了的互联网连接,这个页面的目的是用来误导用户以为登录过程并未被窃听。

        此时,任何输入的数据都会被策划这次攻击的网络罪犯所截获。这种网络攻击的主要目的是为了获取信用卡相关信息,另外还可以收集其他账户信息如电子邮件账户、在线商店账户以及金融机构账户等。


图1. 宾馆的预付费互联网接入服务登录页面

        设置好陷阱后,网络罪犯只需等待,只要有一个受害者上钩,他们所做的努力就没有白费。从受害者角度来看,就算是用宾馆提供的真正的昂贵的WiFi连接上网,也比被网络罪犯窃取信息代价小。但事实上,即使正规的网络也并非绝对安全。

        任何不通过物理介质传输的数据,都很有可能被轻易截获。某些专门的程序可以用来从空中直接探听数据包,并且很容易地对数据包进行即时破译,前提是如果数据包没有被加密。而这个被拦截的有效区域的大小决定于该接入点的信号强度以及其所使用的WiFi标准。一般商业WiFi路由器使用802.11b标准,其有效范围大概为100米,信号是从设备发出,呈球形向四周传播。墙壁以及其他物品会减小信号的传遍半径,但信号不会被局限于路由器所在的建筑物内。这意味着通常可以在建筑物外对信号进行截获,例如在街上。

        上述提到的信号距离还仅仅是通过网卡的内部天线能够接收到的距离。如果使用配件市场上买到的特殊的天线,则能够接收到非常弱的信号,从而显著增大了可截获信号的距离。这是因为微波天线能够将信号的传播距离增强很多倍。关于如何制作此类天线的教程网上有很多,并且制作材料很简单,制作方法也并不复杂。

        许多被称为嗅探器的程序也包含拦截SSL加密数据的功能,这意味着即使是所谓的通过安全连接的登陆页面,也不能保证完全安全。根据所使用加密强度的不同,网络罪犯可能需要多花费一些力气破译。正在网络罪犯破译加密信号的同时,受害者已经轻信了虚假的安全圈套,正在进行在线银行交易或者检查自己的电子邮件。

后果

        陷入中间人攻击的潜在后果取决于用户在连接期间都进行了哪些行为。

        在上述例子中,用户登录的电子邮箱账号会首先被截获。该账号会被置于邮箱账号列表中,用以发送垃圾电子邮件。由于用户登陆了邮箱,这也意味着攻击者也可以通过邮箱嗅探到用户储存在邮箱中的其他个人数据,例如用户注册的网上商店账号、社交网络平台信息以及网上论坛的信息等。因为这些网站经常会向用户邮箱发送最新访问信息的邮件。如果用户当时登录的是企业邮箱,那造成的潜在威胁恐怕就更大了。如果金融数据遭窃,不仅造成的损失难以估算,甚至可能需要很多年才能评估具体的损失。如果这类攻击涉及到机密数据,例如公司报告、技术文档甚至客户数据,并且造成数据丢失或者被公布,那对该公司的信誉将产生毁灭性的影响,很可能会造成用户流失、信誉降低、销售下降甚至业务关系崩溃。所以,在任何地方使用工作邮箱时,我们建议您一定要尤其谨慎。

        如果信用卡信息落入不法分子之手,后果会相当严重。使用详细的信用卡信息可以在全球购买商品或者服务,而受害者则要承担这笔损失,直到受害者觉察到这一情况。而且通常都是月末收到信。

        用卡账单的时候才反应过来。一般情况下,信用卡公司会为受害者报销这笔损失,但有两个条件:1. 用户必须证明使用该信用卡购物的并不是持卡人自己。2. 受害者并未疏于保护自己的信用卡信息。我们可以看到,第一个条件相对来说很容易证明,但第二个条件要想证明就比较麻烦了,而且不同的信用卡公司也会采取不同的处理方法。即使最后你成功报销了这笔损失,但很可能要花费大量时间和精力。从另一方面来说,通过访问不安全的WLAN连接进行在线支付,不管当事人知晓与否,都会被认定是疏于保护自己的信用卡信息。这种情况下,受害者要自己承担损失,这个教训未免过于昂贵。


图2:登录页面

        大部分具有登陆区域的网站都会使用SSL安全连接。虽然网络罪犯可以使用很多工具破解或者读取该类加密信息,但仍然会有一些登录信息是隐藏的。但是,如果要想获取这些信息,还是有很多方法的。在登陆信息发送到Internet之前,可以通过间谍软件或者简单的keylogger程序在用户计算机本地记录。当用户登录到假定的热点网站时,很容易就会遭遇所谓的浏览即下载。要实现浏览即下载,只需要在网页中植入JavaScript脚本、IFrame或者利用浏览器漏洞。例如,在HTML代码中植入受感染页面,当用户访问该页面时,就会直接向用户计算机下载恶意代码。使用恶意软件感染受害者计算机,能够确保受感染计算机向网络罪犯开放。这些恶意程序能够造成的危害难以估量,完全取决于恶意软件编写者的想象力。

        这一切都在瞬间完成,受害者根本不会察觉到有任何不利于自己的事情发生。这跟以往的情况正好相反,以往使用恶意软件和进行网络攻击仅仅是为了造成破坏和混乱。那时候用户往往能够意识到有奇怪的事情发生,但那个时代已经一去不返了。今天的网络罪犯会尽量隐匿地进行操作,这样他们就有机会在一定时间内截获更多的敏感信息。

        用户可以采取一些措施避免遭到上述网络攻击的侵害。首先,我们分析一下几种加密方式以及操作系统设置方法,使用这些策略可以消除公共网络上的潜在弱点。

加密通信数据

        为通讯数据加密的最有效方法是使用VPN(虚拟专用网络)。简单地说,这种连接方式是通过在笔记本电脑(客户端计算机)和目的点(或者服务器)之间建立了所谓的VPN通道。两点之间的所有通信数据都被加密,这意味着任何从事处理或者中转数据的中间设备都不能够破译其内容。不仅如此,由于所有数据通信都经过该路线,这也就避免了热点提供商设立的端口屏蔽产生的限制。例如端口80是用于HTTP请求的,所以一般不会被屏蔽,但其他许多服务例如即时通讯服务或者电子邮件所使用的POP3和IMAP都会被屏蔽。

        VPN服务器扮演连接目标的角色,所以它本身必须是安全受信任的计算机,是安全环境中的一部分。服务器的功能相当于客户端计算机的“长手臂”,客户端在互联网上向目标服务器发送请求,服务器将请求的内容通过该路线以加密的方式返回。用户们可以使用传统的用户名和密码的方式登录VPN。

有几种不同的方式建立这类VPN服务器,而且任何人都可以做到,并不需要太多的专业知识。在选择作为服务器的计算机的位置时,基本上有3种可选方案:

        服务器可以是在某个数据中心租用的一台计算机。这种情况不仅适用于实物主机,还适用于虚拟主机。这种方式尤其适合那些已经拥有此类计算机的客户,例如他们已经在使用此计算机作为电子邮件或者网页服务器。如果想实现随时随地都能连接的话,还需要一个静态的IP地址(如果使用动态IP地址的话,则需要动态IP域名解析服务)。虚拟服务器方案尤其吸引人,因为该服务花费很少,只需10欧元/每月,而且VPN服务器服务对资源要求很低。但是,有一点也很重要,那就是要考虑到数据传输量的增加,因为在使用VPN是,所有的数据通信都要通过该通道。

        另外,还可以使用家用计算机进行VPN服务。假设你拥有家用宽带连接,例如DSL宽带连接,并且是包月付费制。你可以将外部计算机加入到家庭网络中。这种方式还有一个优点,即你可以随时访问自己的私人数据,前提是你有适当的访问方式。一种方式是使用一台共享网络并且总保持开启的计算机,或者使用NAS(网络附加存储)设备。

        企业经常会提供VPN服务,尤其是那些允许远程工作的企业或者员工需要花费大量时间在客户现场的情况。上述情况下,企业会提供VPN服务,供员工在公司外执行工作相关任务,例如检查工作邮件、访问网络驱动或者访问公司内部网络。该服务是否运行用户从事与工作无关的操作,可能不同的公司要求也不尽相同,用户可以参阅服务的相关条款或者询问提供该服务的管理员。

        最后,同样有一点非常重要,有很多不同的服务商提供VPN服务,这些公司可以提供服务器,用以创建安全VPN连接,起价一般为每月10欧元左右,通常还包括一定范围的关税。用户可以根据自己的需求选择最适合自己的服务。同样,用户一定要认真查看一下服务提供商的服务条款。

        使用VPN不会降低网络传输速度,同时Draft N技术(该技术理论上可以将WiFi传输速度提高到300 MB/秒)的到来也使得VPN对网络传输速度的影响可以忽略不计。使用VPN特别适合那种无大量数据交换的情况。

        还有一种比较独立的方式,是通过UMTS。该方式允许用户不必依靠WiFi技术,在任何时候都可以访问互联网,但前提是用户当前必须在接收范围内。目前,其覆盖范围已经颇具规模(在欧洲,其覆盖范围为总范围的60%至90%,百分率由于乡村或者城市地区而不同。)UMTS同热点相比截然不同,热点虽然数量很多,但其有效半径却很小。目前,UMTS接入技术相对便宜。价格从每月5欧元另外附加关税(具体关税金额取决于不同的服务供应商以及容量)到30欧元包月。采用这种方式接入互联网相对来说更具竞争力,尤其同昂贵的宾馆WiFi连接相比的情况下。另外一个优点是采用该服务的收费是透明的,这意味着你不会在到达度假地后才发现令人不愉快的高价收费。

        基于兼容性考虑,UMTS网络基于第二代GSM,但同样支持第三代GSM。采取此方式是基于安全原因,因为其对用户和网络授权算法进行了优化。通过HSDPA和HSUPA,其网络传输速度理论上可以达到14.6 Mb/秒,足够满足大多数用途的需求。所以,UMTS证明有望成为WiFi的替代品,尤其对于那些经常旅行的用户,原因是该服务是采取月租的方式收费,而不是短时收费。

基本的安全预防措施

        基于安全原因,我们通常会为数据传输加密,但除数据加密之外,还有其他一些因素我们在配置和装备自己的计算机时要考虑到。

        为了方便计算机之间交换数据,计算机上的文件夹和文件可以通过网络共享。即计算机上的对象可以通过内部网络访问,不管是通过有线网络还是无线网络。根据不同的网络共享设置,网络用户可以直接访问被共享对象(使用只读权限或者可读写权限)或者通过用户名和密码进行授权访问。所以,你准备好用于假期享用的音乐和其他媒体文件以及你可能会在假期处理的公司内部文件,传送到你的笔记本电脑上,传送结束后你会关闭共享功能,这一点很重要。因为你不想对网络内所有的用户发送邀请来浏览你共享的文件。而许多热点设置都具有相关技术,用以互相屏蔽网络上的计算机,但目前无法直接证明该功能的存在。

        虽然关闭所有共享项目能够有效提高数据的安全级别,但风险并没有完全消除,因为黑客可以进行直接攻击,使计算机上的所有数据都现形。不管在任何情况下,这都是很危险的。如果涉及到的是敏感数据,则更危险。为了进一步提高针对此类数据的安全保护级别,我们应该对这些数据进行加密格式备份并存储于其他存储媒介上。针对数据加密备份,甚至有一些免费的遵循GPL(通用公共许可证)的免费软件。我们可以使用这些软件将数据保存为加密压缩文件,只有使用正确的密码才能够打开这些文件。创建压缩文件所使用的加密强度非常高,即使使用超级计算机进行暴力破解,也需要很多年。当然,高安全级别的前提是必须使用高强度的密码,该密码至少由8个字符组成,包括大小写字母、数字以及特殊符号。这里还要明确一点,即此类加密的压缩文件只有在必要的时候才可以打开,并且使用完毕后一定要立刻关闭。因为就算是最安全的金库,如果门敞开着,也毫无安全而言。同时,我们要增强WiFi网络的安全级别,采取上述安全措施还有一个显著的优点,那就是即使你的笔记本电脑丢失,其中的所有敏感数据也不会泄露。

        推行有效的互联网安全方案同样非常重要。除了基本的安全防护功能(恶意软件防护)外,上述的应用区域还需要网络保护模块,即防火墙和HIPS(主机入侵防御系统)。因为就算是最安全的网络连接,如果连接到的源系统本身已经被入侵,又何来安全而言?防火墙和主机防御系统能够对系统上运行的未知程序进行复杂的分析和评估,为其确定一个威胁级别。根据安全级别,可以为未知程序分配权限。如果某一个程序被归类为可疑程序,它将不被赋予权限或者只被赋予受限的权限,进行对重要资源的访问,例如操纵系统、网络、机密数据、系统特权或特定设备。这样能减少被恶意代码感染的机会。

        对很多人来说,安装更新程序是一件非常让人烦恼的事情。经常每隔几天,计算机系统本身或者计算机上安装的某个程序会宣称有新的可用的更新。而安装这些更新程序势必造成用户在安装过程中等待一段时间,而可能恰恰此时用户只想浏览全球最新的资讯。用户不愿意安装更新的另一个原因是安装更新后,对系统做的更改并不明显可见。但是,这些更新的目的是用于消除计算机上的安全漏洞,为了更好的保护用户免遭攻击。所以,用户应该耐心一些并且将所有的更新全部安装,因为这些更新的目的完全是为了保护用户自身安全。

        最后,有一点需要声明,即技术并不担负提高安全性的责任。用户应该对自身行为保持高度警戒。就以上述例子中的情况来说,有一点很重要,那就是用户应该对自己所连接到的WiFi网络的可信任程度有一个估计,但做到这一点并非总是很容易。一般来说,对于不熟悉的网络,我们应该保持一定的警惕性,因为你不知道连接这个网络后,你的数据是如何传输的,数据是否能被其他人访问。根据这一点,你就可以判断自己能够进行什么操作以及不能够做什么。而且有些情况下,最好还是等到你找到安全的可信任的网络再进行网络访问比较好。

结论

        无线业务的发展正在迅速增长。全球销售额从2005年的9.69亿美元增长到2009年的34.6亿美元。它快速增长主要归功于无线上网点数量的大幅上升。在2005年,无线网点数量有1百万个,而随着餐饮业的快速发展,无线上网点在2009年的数量几乎翻了一番。因为很多大型快餐连锁店引领了安装WiFi服务的潮流,其他很多咖啡厅和饭店也开始纷纷效仿,搭上了WiFi普及的快车。这一潮流非常受消费者的欢迎。在美国,有25%的成年人(或者总体互联网用户的34%)会在远离家或者工作场所的地方使用笔记本电脑和热点服务访问互联网。而且笔记本市场也鼓励用户们这样做,毕竟相关设备的价格近几年有了大幅下跌。事实上,从2008年开始,笔记本电脑的销量首次超过了普通电脑的销量。

        不幸的是,目前可用的为无线数据传输加密的方法还不为普通用户所熟知和掌握。而且目前也没有即插即用的解决方案。如果这种解决方案被引入,前提是无线服务提供商要支持,并且最终操作系统也要支持。即使相关标准被通过和发展,但其最终能否成功还依赖很多因素。

        在非技术领域,养成良好的安全意识对于保护自己的数据和系统安全非常关键。如果你不能完全信任一个网络,对于陌生的接入点,通常都是这种情况,在操作时,你应该特别留意自己泄漏到“外部世界”中的各种信息。这种情况下,千万不要输入敏感信息,例如在线银行或者Paypal的登录信息等。过于谨慎也总比银行账户被盗空好得多。

        最后要说明的是,关系到网络安全,有很多因素。尽管如此,让人们通过相对较少的专业知识和操作去有效提高自身的安全级别还是可能的。用户需要就自己眼前遇到的问题进行深究,同时要对潜在威胁保持警惕。考虑到有可能遭遇的风险及其后果,付出上述精力也是值得的。

参考信息来源:
http://www.itfacts.biz/revenue-from-wireless-hotspots-to-reach-969-bln-in-2005-346-bln-in-2009/4941(As at 30.04.2009)
http://www.itfacts.biz/34-of-us-internet-users-used-wifi-away-from-homework/11477 (As at 30.04.2009)