|
????當(dāng)你坐在咖啡屋,習(xí)慣性地拿出手機(jī)或者ipad,連接上店里提供的wifi接入點(diǎn),翻看最新的郵件和朋友留言時(shí),你可曾想過,就在不遠(yuǎn)處,可能有一位看似普通的消費(fèi)者正悄悄記錄你的網(wǎng)絡(luò)賬戶和密碼,了解你的一些嗜好甚至算計(jì)你的網(wǎng)銀?近日,一則《免費(fèi)無線網(wǎng)絡(luò)暗藏陷阱:使用無線網(wǎng)絡(luò),用戶網(wǎng)銀遭竊》的新聞被廣為轉(zhuǎn)發(fā)。而記者通過網(wǎng)絡(luò)上流傳的最簡單教程,在島城一星巴克咖啡廳小坐2小時(shí)就“抓”到了許多有意思的信息。 ???輕松抓到空中信息 ????近日,記者帶著一臺(tái)帶有無線功能的筆記本電腦 ,來到沿海一星巴克咖啡館。在咖啡館前臺(tái),貼著無線網(wǎng)絡(luò)免費(fèi)覆蓋的告示,四周的顧客要么在擺弄手機(jī),要么在用ipad或筆記本電腦瀏覽網(wǎng)頁。 ????記者打開筆記本電腦,進(jìn)入U(xiǎn)盤上裝有的用于破解無線信號(hào)的linux系統(tǒng),搜索到這家星巴克的wifi熱點(diǎn)名稱后,記者啟動(dòng)了筆記本網(wǎng)卡的監(jiān)聽模式,在終端窗口里,記者輸入一串命令后,咖啡廳里無線數(shù)據(jù)的捕捉就這樣開始了…… ????屏幕上數(shù)據(jù)一欄下被捕捉到的數(shù)據(jù)量在快速增長,窗口中顯示,有10多個(gè)正在使用這一無線信號(hào)的設(shè)備,他們在空中交互的那些看不見的數(shù)據(jù)就這樣被悄悄記錄了下來。 ????當(dāng)然,對(duì)于那些更熟悉windows操作系統(tǒng)的人來說,還有更多更方便的軟件工具可以免費(fèi)下載使用。記者下載一款軟件試了一下,先將筆記本加入這個(gè)wifi信號(hào),然后打開這個(gè)軟件的監(jiān)聽模式對(duì)局域網(wǎng)內(nèi)信號(hào)進(jìn)行掃描,同樣可以發(fā)現(xiàn)網(wǎng)絡(luò)里正在活動(dòng)的各種上網(wǎng)設(shè)備。一旦載入需要監(jiān)聽的多個(gè)移動(dòng)設(shè)備ip地址并啟動(dòng)后,你只需默默等待,就能獲取意想不到的信息。 ????有的賬號(hào)密碼也可以被捕捉 ????在linux系統(tǒng)下,還可以對(duì)從空中捕捉的數(shù)據(jù)文件解包成正常網(wǎng)絡(luò)報(bào)文,進(jìn)而加以分析。而使用windows系統(tǒng)下安裝的軟件進(jìn)行無線數(shù)據(jù)嗅探,許多明文傳輸?shù)馁~號(hào)密碼則無需分析,甚至直接能在屏幕上跳出來。 ????在不到2個(gè)小時(shí)的時(shí)間里,僅僅通過下載的軟件,記者輕而易舉看到了咖啡店內(nèi)顧客正在瀏覽的人人網(wǎng)個(gè)人主頁地址。通過別人瀏覽QQ郵箱時(shí)空中交互的數(shù)據(jù),他或她的QQ號(hào)碼也顯而易見。更不用說還有各種微博登錄賬號(hào) 、網(wǎng)絡(luò)視頻地址了。 ????當(dāng)天,記者通過該軟件還捕捉到了一顧客瀏覽某電玩論壇的用戶名和密碼,甚至還捕捉到了有人正在使用的全球著名同志交友軟件的登錄名和密碼,甚至還能看到對(duì)方好“基友”發(fā)來的信息…… ????任何人都可以監(jiān)聽 ????或許,有的讀者會(huì)說上述的信息即便被人看到了也無所謂,但如果您丟失的論壇賬號(hào)密碼恰恰與自己的郵箱相同,事情的后果可能就不會(huì)這么簡單了。 ????“并不是所有的咖啡屋、酒店都提供免費(fèi)無線網(wǎng)絡(luò),有的還是需要密碼的,一般是提供給來消費(fèi)的客人。”從事無線安全研究的楊哲告訴記者,不過若“有心”去刻意消費(fèi)一把,想要知道這些密碼也不是什么難題 。楊哲說,“無線環(huán)境中,任何人都可以監(jiān)聽,空口數(shù)據(jù)的截獲與否和消費(fèi)者用手機(jī)還是上網(wǎng)本上網(wǎng)本質(zhì)上沒有任何關(guān)系 ,完全是由網(wǎng)址驗(yàn)證方式所決定的。比如你隨意登錄一個(gè)普通論壇,賬戶密碼本來就是明文的,不管用什么設(shè)備載入,這些無線數(shù)據(jù)只要被截獲,一還原就能看到。如果你登錄gmail,網(wǎng)頁上使用的是HTTPS加密協(xié)議,這樣就會(huì)起到保護(hù)隱私作用。然而,對(duì)于更高級(jí)的攻擊還是會(huì)存在隱患?!?/p> ????網(wǎng)銀信息也容易被盜 采訪中記者了解到 ,之前記者所做的,只是最簡單的網(wǎng)絡(luò)數(shù)據(jù)嗅探行為,如果心懷叵測者想要近一步直接接觸你的網(wǎng)銀等信息,搭建偽造的無線路由,山寨一個(gè)跟星巴克或者麥當(dāng)勞里面無線名稱一模一樣的信號(hào)也并非什么難事。 ????“由于偽造的信號(hào)通過放大、相同標(biāo)示等方式,就能使得無線客戶端誤認(rèn)為登錄了合法的無線寬帶。”楊哲說。這樣的結(jié)果是客戶瀏覽的內(nèi)容不僅容易被人截獲,甚至還會(huì)被直接“釣魚”,如果你進(jìn)入銀行支付網(wǎng)站,就很可能被這個(gè)山寨信號(hào)的創(chuàng)建者重新定向到了偽造的網(wǎng)址上,你輸入的卡號(hào)密碼自然也被人拿走了?!艾F(xiàn)實(shí)中,還有更多針對(duì)無線網(wǎng)絡(luò)更高級(jí)攻擊技術(shù)?!睏钫苷f,如普通人依靠3G上網(wǎng)的話,比如發(fā)短信、上微信之類的,目前的攻擊手段主要是降級(jí)處理,就是把3G降到2G 處理,再進(jìn)行數(shù)據(jù)嗅探…… ????如何保護(hù)信息安全? ????通過試驗(yàn),記者深刻體會(huì)到無線wifi在給市民日常生活帶來便捷的同時(shí),它不為人知的一面。那到底該如何來保護(hù)自己的信息安全呢? ????實(shí)際上,進(jìn)入公共wifi跟進(jìn)入網(wǎng)吧是一樣的,“保證公共安全無非是那么幾點(diǎn),不要進(jìn)行敏感信息操作(銀行交易等)、不要輕易訪問私人資源(非加密郵箱、相冊等),最好不要發(fā)送私人資料,如大尺度照片、太過私密的信息……”楊哲說,特別是在當(dāng)今智能手機(jī)“泛濫”的時(shí)代,wifi應(yīng)用越來越廣的時(shí)代,手機(jī)的情況也遠(yuǎn)比我們想象中嚴(yán)重得多,作為一個(gè)普通的消費(fèi)者,也應(yīng)當(dāng)引起重視。 |