人傻錢多沒人管互聯(lián)網(wǎng)安全亟待改善

■杜磊

人傻錢多沒人管互聯(lián)網(wǎng)安全亟待改善

■杜磊

“人傻、錢多、沒人管”，這是央視3·15晚會總導演對互聯(lián)網(wǎng)行業(yè)的定義，雖然不少業(yè)內人士對此說法不以為然，但可以確定的一點是，隨著互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)與日常生活的關系日益緊密，“互聯(lián)網(wǎng)+”的模式將越來越多，只是當人們將更多的錢、信息都托付給互聯(lián)網(wǎng)時，其暗藏的風險也令人觸目驚心。

當各路互聯(lián)網(wǎng)企業(yè)都將Wi-Fi作為爭奪用戶的入口時，更多黑客則將其看做是更快攻入電腦、手機的捷徑；當人們欣喜于自己的投資收益可以高達20%時，一些P2P網(wǎng)貸平臺的老板們正在悄悄將資金轉移到他處；當越來越多的人享受各種手機App提供生活便利時，可能有個公司正在收集你所有的信息……安全與便捷，這一對相生相悖的詞，將一直糾纏于整個互聯(lián)網(wǎng)帶來的信息消費生活中。

“Ghost in the air，信號在大氣中傳播，實體化的防火墻無法影響信號的廣播范圍和游走方向，信號所到之處也就存在著安全風險。因此，沒有絕對安全的Wi-Fi?！痹谝晃话踩缛耸靠磥恚魏涡问降腤i-Fi都有被黑客攻入的可能。劉先生，長期從事信息安全工作，他告訴《IT時報》記者，他從不使用公共或商用Wi-Fi，家中的Wi-Fi也通過技術隔離，給訪客單獨開辟一條通道，為的就是防止Wi-Fi在共享時造成信息泄露。

如此的小心翼翼看似有些夸張，但接下來的一組報道回顧會讓你明白究竟什么樣的危險已經(jīng)來到你身邊：游客在入住的酒店隨機登錄了一個不需密碼的免費Wi-Fi，手機當即中毒，400多元話費10分鐘內不翼而飛；一位市民在當?shù)厥褂霉矆鏊鵚i-Fi，家中的電腦隨即被入侵，網(wǎng)銀內的6萬多元兩天內被69次盜刷，而所謂保障安全的U盾、銀行卡，賬戶綁定的手機短信、密碼都在，賬戶內的錢卻不見了……據(jù)一份非官方的Wi-Fi信息安全報告顯示，過去一年，全國范圍內的無線網(wǎng)絡遭到攻擊的次數(shù)正呈幾何級增長，而讓人更為擔憂的是，依然有很大一部分用戶并沒有意識到Wi-Fi可能帶來的安全風險。

一雙雙無形的幕后黑手正跟著“信號”自如地穿梭于各種賬號間，讓所謂的安全形同虛設，而在這場危機重重的Wi-Fi網(wǎng)絡攻防戰(zhàn)中，我們就真的束手無策了嗎？除了自保，誰又能來保護我們的安全呢？

網(wǎng)站莫名“變身”？

打開百度，網(wǎng)站瞬間就變成了黃色網(wǎng)站，同一時間，QQ賬號也被盜。重啟了路由器，事態(tài)卻依然沒有得到控制。不久前，山東的付先生在上網(wǎng)時，家里的Wi-Fi路由器就遭到了攻擊。“一點擊百度、新浪等官方網(wǎng)站，網(wǎng)站自動跳轉為黃色網(wǎng)站。一開始以為瀏覽器出了問題，但試了幾個瀏覽器后都不行，重啟電腦、路由器還是一樣的結果?！?/p>

沒有辦法的付先生意識到可能中毒了，為防萬一，他只能拔了網(wǎng)線。此后，付先生重新設置了路由器，但情況依舊沒有好轉。然而幾天后，付先生在登錄QQ時看到了“QQ異地登錄”的提示。

付先生告訴記者，身邊有朋友曾經(jīng)因為連了陌生的Wi-Fi，銀行卡賬戶信息被盜，這還可以理解，但是自己用的是家里的Wi-Fi，而且路由器密碼設置的是數(shù)字加字母組合，結果還是被黑客攻破了。

這種情況正是黑客利用路由器的漏洞，繞開管理界面的密碼驗證，進入后臺大肆篡改、劫持用戶路由器的DNS地址，把用戶訪問的頁面劫持到自己的服務器上，以此盜取網(wǎng)銀、QQ等。

“如果黑客攻入的是商場、飯店的路由器，那么這時由他們提供的Wi-Fi就是不安全的，而且受眾的受害面會更加大?！卑踩珜＜覡I智敏說。付先生現(xiàn)在幾乎都不敢用外面的無線網(wǎng)絡了。

十年始終只有入門級監(jiān)管

“很難說在國內哪種類型的免費Wi-Fi會更安全?！睋?jù)了解，目前市場上可連接的Wi-Fi大體可分為由運營商提供的官方公共Wi-Fi、商家自建的商用Wi-Fi、Wi-Fi運營商提供的Wi-Fi平臺，以及各類虛假免費Wi-Fi。如此多的種類，如何界定安全與否？很可惜，到目前為止，無論是官方還是非官方，都無法給出一個切實有效的方案。

到目前為止，行業(yè)內唯一可遵循的規(guī)則是自2006年3 月1日起施行的《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》，在業(yè)內被稱為“第82號令”，從10年前頒布一直延用至今，其根本要求是用戶可溯源。

“一般情況，我們對正規(guī)Wi-Fi渠道最簡單的鑒定就是看其是否需要用戶輸入賬戶和密碼，是否需要進行認證登錄，關鍵的動作是用戶輸入動態(tài)的短信驗證碼，這就是認證的過程?！币晃粯I(yè)內人士透露，驗證機制是目前國家安全部門對Wi-Fi安全的主要要求。當用戶輸入驗證碼之后，Wi-Fi提供商的后臺即生成相應的認證號、留下了用戶資料，從而完成對用戶識別。

這套機制對Wi-Fi登錄前的安全保障負責，“動態(tài)密碼作為接入校驗，多了一個認證因子，對判斷虛假Wi-Fi和運營商防止黑客破解Wi-Fi接入是有意義的?！痹赪i-Fi安全獨立研究員營智敏看來，到目前為止，虛假Wi-Fi的制作者是無法提供這樣一個校驗碼的，“最起碼他們買不了和運營商一致的短信接口，也無法形成相似的聯(lián)動機制，另一方面，他們也無法攻擊網(wǎng)頁登錄界面去獲得動態(tài)密碼，因此，在這條界限內，攻擊者被暫時攔在了門外。”不過他也提出，這種安全也只在沒有“偽基站”的前提下成立。

犯罪分子的手段在不斷升級，而防御管理者卻始終在入門級的安全水平徘徊?！癢i-Fi安全分為沒有鏈接之前的誘騙、誘導攻擊和鏈接之后的中間人攻擊?！痹跇I(yè)內人士看來，Wi-Fi犯罪成本低，犯罪技術手段正在不斷成熟，對于地下黑客而言，早就形成了一條龐大的利益鏈條。而最初的入門防御，其實很難阻擋他們犯罪的腳步。

林先生在Wi-Fi行業(yè)工作多年，他告訴記者，目前的這套驗證機制就好比是在一幢大樓的門口裝了一個攝像頭，能記錄下每一個進出的人，但是進去之后這些人做了什么，就無從追蹤了。而驗證碼就好比這個攝像頭，無法記錄登錄Wi-Fi后，人們都干了什么。因此如何防御進入網(wǎng)內的攻擊，目前，官方的法律規(guī)范幾乎是空白。

而缺乏有關規(guī)范條例的約束，業(yè)內各方只能“跟著感覺”來把控安全。

用戶信息密碼竟然明文傳輸

目前，Wi-Fi使用的現(xiàn)狀是，公共Wi-Fi普及率低，商用Wi-Fi發(fā)展速度快，但安全級別無法考證。業(yè)內觀察人士對此評價，商用Wi-Fi更在意Wi-Fi所能帶來的商業(yè)價值，而非安全本身。

安全向利益妥協(xié)，這并不是戲言?！澳壳?，國內大部分商用Wi-Fi運營商都處于起步階段，要求他們做到成熟的安全防御本來就不現(xiàn)實?！睋?jù)一位知情人士透露，盡管不少商用Wi-Fi也配備了驗證碼機制，但其目的并非是用戶認證，而是為了截取用戶的手機號碼等個人信息。而個人信息的大量聚攏本身就能產(chǎn)生無形的商業(yè)價值。

“安全加密通道”，對于國內大部分Wi-Fi用戶而言，是頗為陌生的專用詞，也正是因為如此，大量的廠商和Wi-Fi運營商才有空間做到對于這種更安全的技術手段“視而不見”。

事實上，安全加密通道是保障Wi-Fi安全的重要手段。在國內Wi-Fi作為可以傳遞的信息通道，用戶完全有權要求選擇自己在Wi-Fi上流通的內容是否通過加密傳輸。但到目前為止，除了部分銀行采取了以安全專線的技術方法為某類型的業(yè)務提供加密傳輸外，普通大眾的日常Wi-Fi使用，都并不具備如此“待遇”。

“現(xiàn)有Wi-Fi網(wǎng)絡可以使用加密通道傳輸，但這是附加性功能，非Wi-Fi本身自帶的技術功能?！痹跔I智敏看來，在沒有用戶主動提出要求的情況下，廠商和Wi-Fi運營商自然是不會主動添加類似的非盈利業(yè)務。據(jù)一家在Wi-Fi中加入了基礎雙層加密技術的企業(yè)透露，該公司在安全支出的成本幾乎占到1/3，其中加密技術涉及到技術的復雜性，比普通防御技術的成本高20%。

無論是公共還是商用Wi-Fi，一旦加載了加密傳輸技術，用戶可以在不同通道間擁有選擇權，而選擇加密通道，也就意味著通過的明文信息就將被隔離和保護，處于高度保護狀態(tài)。這對于黑客破解難度發(fā)起挑戰(zhàn)。

但由于這項技術所涉及到的復雜性和建設成本都偏高，因此，行業(yè)內提供加密通道的企業(yè)少之又少。同時，政府或管理部門也并未對此做出任何強制規(guī)范。

智能路由器或成重災區(qū)

Wi-Fi是來無影去無蹤的信號，轉換信號的路由器同樣是確保安全的重要源頭。目前，市場上智能路由器大多價格低，使用簡便，但無法規(guī)避的是其背后的安全代價。

一位來自本地Wi-Fi運營的廠商負責人告訴記者，他們之所以沒有開展類似公共Wi-Fi領域的業(yè)務，就是擔心其背后的安全隱患，到目前為止，路由器領域內的“安全機制”的缺失，始終讓安全開了一道后門。

為了配合快速發(fā)展的需要，目前市場上大部分的無線路由器都需要做到快速部署、低成本開發(fā)，并采取通用性的解決方案，如此一來，勢必犧牲安全?！?9元的Wi-Fi路由器，要怎么上高級防御技術呢？”

據(jù)了解，不少硬件設備廠商為了降低成本，開源修改固件設備，以此大大降低了無線路由器設備自身的抗攻擊能力。這一根本性的薄弱將拉低整條產(chǎn)業(yè)鏈的安全防御級別，“路由器有漏洞的時候，有沒有加密方式都可以進行攻擊?！?/p>

另一方面，部分路由器廠商本身對安全也長期采取忽視的態(tài)度，據(jù)了解，包括一些路由器品牌在做安全眾測時，被發(fā)現(xiàn)了大量漏洞，在安全界人士看來，“這本身就代表這些廠家在其自身技術體系下無法發(fā)現(xiàn)相關漏洞，單純依靠外包安全眾測不定期的安全檢測，很難真正解決問題?！?/p>

“其實只要適當拉高技術開支，就一定有門檻可以減少攻擊者挖掘到漏洞的可能性?！痹跔I智敏看來，由于Wi-Fi需要覆蓋的人群范圍廣，使用頻率高，導致在路由器上安全技術部署變成了高成本的開支，要在智能路由器上部署安全技術，比PC端的復雜許多，技術難度高，“類似的路由器防火墻無法快速通用搭配到任何Wi-Fi網(wǎng)絡內，尤其是對于已經(jīng)受到攻擊或者已經(jīng)泄露密碼的無線網(wǎng)絡。”成本高，加上低效益，導致以商家為代表的用戶也并不樂意買賬，“商家本身也不具備維修能力。”由此造成的現(xiàn)實就是安全不斷讓位于操作的便捷性和低廉的成本。

此外，記者了解到，目前路由器的相關備案機制也并不成熟。目前，我國實行的報備制度并非強制性的規(guī)定，除了運營商的設備、終端、產(chǎn)品都必須向工信部報備外，其他廠商的路由器是否報備皆靠自覺，與此同時，私人用的路由器就無需報備。

Wi-Fi安全有新嘗試

目前，“安全讓道于商業(yè)利益”，幾乎是目前國內Wi-Fi不安全的重要誘因，不少管理規(guī)則的缺失導致了Wi-Fi發(fā)展的亂象。不過記者同時也發(fā)現(xiàn)，對于Wi-Fi領域的安全，國內也有不少新的嘗試。

最新成立的騰訊Wi-Fi安全聯(lián)盟是目前國內的一家安全聯(lián)盟，對于加盟其中的企業(yè)，騰訊提出了不少規(guī)范和細則，但到目前為止，這個聯(lián)盟依然處于發(fā)展階段，聯(lián)盟內不同企業(yè)的利益妥協(xié)是他們要著手解決的一道難題。

此外，廣州有一家安全企業(yè)目前正在嘗試搭建一個內部的應用，對Wi-Fi安全進行評級，而他們的數(shù)據(jù)來源是一家來自國外記錄Wi-Fi的網(wǎng)站W(wǎng)igle，據(jù)這家企業(yè)的負責人介紹，Wigle是一個記錄全世界Wi-Fi的網(wǎng)站，網(wǎng)站上的信息來源是依靠全世界的人共同提交完善的。目前，這個網(wǎng)站上的數(shù)據(jù)可以顯示我國加密和沒加密的Wi-Fi信息。他們正做的根據(jù)Wigle的數(shù)據(jù)以及其他服務接口判斷其中加密Wi-Fi是否泄露，然后提供給大眾。但他們坦言，沒有人力去做免費Wi-Fi的安全認證，因此這套應用只能暫時對內測試。