我們該如何面對商業WiFi帶來的風險
2015-05-14 21:37:25 donews2015年5月3日,國內最權威的網絡安全漏洞信息交換平臺之一烏云網(WooYun.org),發布了北京首都機場T1航站樓存在網絡安全隱患,它能竊取登機人信息、散發惡意消息等,免費WiFi的網絡安全問題再一次成為業界關注的焦點。
這次出現安全問題的免費WiFi,并非是“散兵游勇”,也不是流氓小賊,而是正規軍——正規公司提供的商業免費WiFi。“經機場Wi-Fi登錄頁面顯示,T1航站樓的Wi-Fi服務商為邁外迪(WiWide)網絡科技有限公司,是目前國內比較大的商用Wi-Fi網絡服務提供商,為包括首都機場、上海浦東機場、三亞、海口、天津、長春、石家莊等國內眾多機場提供WiFi服務。”
如果說那些別有用心的免費WiFi、經過軟件“破解”的WiFi有風險還勉強能讓人接受的話,那這正規公司在公共場合提供的商用WiFi也出現了安全問題,就很讓人擔憂了。
基于對大數據、O2O入口以及其他經濟利益的爭奪,目前商業WiFi領域已經成為互聯網巨頭的兵家必爭之地。各大互聯網巨頭,都紛紛染指這一未來的移動互聯網金礦,目前大家正處于跑馬圈地之時。但是,因為缺乏必備的行業標準、商用WiFi運營企業對安全的不重視等原因,再加上不懷好意者對這一巨大利益的虎視眈眈,商業WiFi有著巨大經濟利益誘惑的同時,也存在著巨大的安全隱患。稍有不慎, “跑馬圈地”的駿馬就有可能因為安全問題“馬失前蹄”,把用戶摔下去。
此時,我思考這么幾個問題。第一,商業免費WiFi有大面積鋪開的趨勢,但世上不會有免費的午餐,免費WiFi有著巨大的商業利益,同時也會有安全隱患,那我們應該知道它的安全隱患究竟在哪里。第二,從免費WiFi商家角度考慮,作為負責任的廠家,他們怎么做才能最大限度的避免安全隱患?第三,作為第三方的安全軟件廠商,該怎么應對免費WiFi的安全問題,為商家和用戶提供安全防護呢?第四,我們用戶自己,該如何主動地保障自己的安全?
在筆者看來,商業WiFi的安全隱患可能存在于這幾個方面:第一,商業WiFi廠家在收集用戶信息大數據的時候,不由自主的“越界”;第二,商業WiFi軟硬件的安全漏洞,給黑客以可乘之機;第三,安全密碼太簡單,輕易被黑客破解。如果是后兩者的原因,那黑客就會輕而易舉的收集到用戶的信息,就像入室的竊賊,或者像“黑店”的老板。而免費WiFi商家在應對可能出現的安全問題時,則需要把自己的心態放的端正一點,要及時升級補丁,采購安全的設備,提高安全意識,設置復雜的密碼,還需要注意對用戶的安全提醒。安全軟件廠商們,則需要針對商用免費WiFi的新局面提供最新的安全防護措施和安全防護設備。至于用戶,需要的則是更好的安全使用習慣了。
對于以上這些問題,筆者與德國歌德塔(G DATA )安全軟件公司中國區的安全專家進行了交流,聽取了他的意見。
商業免費WiFi存在哪些安全隱患,他認為可能有這幾個方面:“一,商家自己故意設定的泄露后門;二,商用WiFi的運營者被‘黑’,黑客盜取了他們的信息進行地下交易;三,WiFi的運營公司有可能不是騙取用戶的信息,但公司的加密程度不夠,被竊取;四,一些APP開發者,開發出一些垃圾應用,本身開發的時候就留下了漏洞,再加上很少去更新,給黑客提供了可乘之機;五,共同使用這個網絡的人可能會竊取你的信息。”
商業WiFi運營者如何從自己的角度減少安全隱患的發生,他認為運營者需要做這幾點:“一,設置多重密碼,或者設定自己獨特的加密方式;二,與其他安全公司進行合作;三,購買最新的設備,隨時更新;四,最好不要隨意收集用戶的信息。”
談到這里,這位安全專家說:“沒有一個無線網絡是絕對安全的,也沒有一部設備是絕對安全的。這就需要用戶自己多多注意。”
那用戶該注意些什么呢,他說了以下幾點:
“一,不要使用沒有密碼的無線網絡。二,盡量使用需要登錄信息驗證(比如登錄密碼等)的無線網。三,在公共場合上網的時候,發現不需要密碼的無線網,或者表面上看很正常,但不一定是正常網絡的無線網,一定要向當地的工作人員驗證,讓他們檢查是不是騙子無線網。四,要有一個好的無線上網習慣,用完后取消自動連接無線網的功能。”
這位安全專家說:“我們最好不要使用那些名字很奇怪的無線網絡。但也有例外,比如德國有家公司曾經給自己的無線網絡起了個很通俗的名字叫‘30分鐘免費’,結果有數百人連接了這個網絡。這足見網民的粗心。幸虧這是個正規的網絡,否則后果會不堪設想。”
同時,針對目前層出不窮的互聯網財產被竊事件,他提醒用戶:“一,盡量不要在無線網絡上使用網銀等工具。二,手機的應用APP要慎用。上一個網站的時候,安全網絡前面都有一個https讓你辨認,筆記本一般都有防火墻,但是手機應用程序沒有這種加密程序,很多時候手機的APP無法像在電腦上一樣被殺毒軟件監控。所以,盡量不要用APP打開一些信息。三,使用密碼時,不要使用同樣的密碼。因為有時候,一個密碼被黑客竊取后,他有可能利用這個密碼去實驗別的密碼。”
除了習慣,還得有安全軟件的防護,他說:“手機安全軟件可以提示不安全的無線網或者密碼太弱,能對用戶信息起到安全保護作用。但是目前用戶移動安全意識比較差,大多數手機都是裸奔,給一些不法商家和網絡犯罪分子以可乘之機。”
最后這位專家建議用戶:“一,盡量使用自己的手機移動網絡,謹慎安裝手機應用,安裝殺毒軟件,把風險減少到最低;二,用戶可以建立一個虛擬網絡,這樣的話,數據傳輸時就有了自動保護,進行了加密,互相傳輸數據時,除了自己和對方,別人就無法看到。”
我們都希望使用免費、高速的無線網絡,這是人之常情。但技術越發達、越便利,它所帶來的風險就越多。商業WiFi風險面前,我們除了寄希望于那些運營者能夠保障用戶安全外,更應該學會自己保護自己。
