"赤裸"WIFI隱藏巨大安全隱患 解決方案如同雞肋

　　本報(bào)特約記者 關(guān)天

　　一旦用戶(hù)打開(kāi)電腦，無(wú)論他是否打開(kāi)WiFi功能，他的各種信息就已經(jīng)暴露在空氣中。惡意入侵者只要使用一種稱(chēng)之為嗅探器的軟件，就可以通過(guò)分析周?chē)�的WiFi信號(hào)，獲取自己感興趣的東西

　　“只要你在咖啡廳或者其他提供WiFi上網(wǎng)的地方通過(guò)無(wú)線(xiàn)上網(wǎng)，基本上你的電腦對(duì)我就不存在任何秘密而言�！痹�北京五道口的雕刻時(shí)光咖啡館里，一位網(wǎng)名叫ROX的男孩得意地對(duì)《財(cái)經(jīng)時(shí)報(bào)》記者表示。

　　在這個(gè)咖啡廳的入口處有一張很醒目的海報(bào)，提示顧客這里可以提供免費(fèi)的無(wú)線(xiàn)上網(wǎng)服務(wù)。

　　當(dāng)著記者的面，ROX熟練地啟動(dòng)電腦里的命令行窗口，運(yùn)行了一個(gè)電腦中的小軟件，片刻之后，在屏幕上就顯示出了一串有規(guī)律的字符串列表。男孩接著又輸入了一串命令之后，屏幕上就出現(xiàn)了一個(gè)新的窗口，剛才那些字符串變成了一些可以識(shí)別的詞語(yǔ)。

　　ROX向記者介紹，現(xiàn)在窗口里出現(xiàn)的信息就是他從咖啡館的無(wú)線(xiàn)網(wǎng)絡(luò)中截取到的信息，包括了聯(lián)網(wǎng)電腦的用戶(hù)名、電子郵箱地址以及上網(wǎng)者正在使用的即時(shí)通訊軟件好友列表。

　　對(duì)于黑客而言，這些信息已經(jīng)非常有用。

　　ROX透露，“通過(guò)這些信息，‘有心’人就可以進(jìn)行更復(fù)雜的入侵活動(dòng)，比如盜取你的電子郵箱密碼，或者將你的信息賣(mài)給垃圾郵件制造者�！�

　　“現(xiàn)在，很多白領(lǐng)將在咖啡廳、網(wǎng)吧上網(wǎng)看成一種時(shí)尚，但是幾乎沒(méi)有人知道它存有巨大安全隱患�！盧OX說(shuō)。

　　危險(xiǎn)的網(wǎng)絡(luò)

　　2007年3月，在美國(guó)舉行的一個(gè)BlackHat安全大會(huì)上，一家名為Errata Security的公司首次對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的安全提出警告。

　　這家公司的技術(shù)總監(jiān)大衛(wèi)·梅納爾（David Maynor）表示，一旦用戶(hù)打開(kāi)電腦，無(wú)論他是否打開(kāi)WiFi功能，他的各種個(gè)人信息就已經(jīng)暴露在空氣中。惡意入侵者只要使用一種稱(chēng)之為嗅探器的軟件，就可以通過(guò)分析周?chē)�的WiFi信號(hào)，獲取自己感興趣的東西。

　　大衛(wèi)透露，通過(guò)無(wú)線(xiàn)廣播方式，用戶(hù)的筆記本電腦中的個(gè)人信息和敏感資料都以無(wú)線(xiàn)信號(hào)在空氣中傳播。事實(shí)上，在實(shí)際應(yīng)用中多數(shù)無(wú)線(xiàn)網(wǎng)絡(luò)是完全“赤裸”的，不使用任何安全協(xié)議。

　　而對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)可能存在的安全隱患，不僅消費(fèi)者，甚至包括無(wú)線(xiàn)服務(wù)提供者的商家同樣知之甚少。

　　該咖啡廳的經(jīng)理在接受記者采訪(fǎng)時(shí)表示，所使用的無(wú)線(xiàn)路由器（提供WiFi網(wǎng)絡(luò)的設(shè)備）并沒(méi)有做任何設(shè)置，“就是將ADSL線(xiàn)路插到無(wú)線(xiàn)路由器上，然后打開(kāi)無(wú)線(xiàn)路由器大家就可以無(wú)線(xiàn)上網(wǎng)了�！�

　　“所有提供無(wú)線(xiàn)上網(wǎng)服務(wù)的地方都是這樣做的，從來(lái)沒(méi)有聽(tīng)說(shuō)過(guò)有什么問(wèn)題，你們就放心使用吧�！痹摻�(jīng)理安慰記者。

　　但事實(shí)并非如此。

　　美國(guó)《網(wǎng)絡(luò)世界》周刊報(bào)道，僅2006年底，就發(fā)生了多件無(wú)線(xiàn)攻擊事件：一名咨詢(xún)?nèi)藛T非法進(jìn)入了PG&E公司的無(wú)線(xiàn)網(wǎng)絡(luò)，盜取與市政當(dāng)局的口水戰(zhàn)有關(guān)的敏感的計(jì)算機(jī)文件；一名黑客因盜取保密的病人檔案而被判有罪，他非法進(jìn)入了Wake Forest大學(xué)醫(yī)學(xué)院的無(wú)線(xiàn)網(wǎng)絡(luò)……

　　“目前國(guó)內(nèi)關(guān)于無(wú)線(xiàn)攻擊的事件報(bào)道并不多，這一方面是因?yàn)闊o(wú)線(xiàn)網(wǎng)絡(luò)普及程度并不高，另一方面是因?yàn)榇蠹胰狈�這方面的意識(shí)，即使被侵入了也并不知情�！盧OX認(rèn)為。

　　雞肋般的解決方案

　　無(wú)線(xiàn)局域網(wǎng)絡(luò)的脆弱讓人不寒而栗，但是記者隨后的調(diào)查則更讓人觸目驚心。因?yàn)槊鎸?duì)隨時(shí)可能泄露你秘密的無(wú)線(xiàn)網(wǎng)絡(luò)，目前幾乎沒(méi)有好的解決辦法。

　　安全專(zhuān)家朱梁對(duì)記者表示，目前的WiFi無(wú)線(xiàn)網(wǎng)絡(luò)的確存在很?chē)?yán)重的安全隱患，雖然各大無(wú)線(xiàn)設(shè)備廠(chǎng)商都加緊研究的腳步，他們提出了各種WiFi安全協(xié)議，但是結(jié)果并不樂(lè)觀(guān)。

　　目前常見(jiàn)的WiFi安全技術(shù)包括WEP、WPA以及WPA2，這些技術(shù)都企圖通過(guò)加密手段，防止無(wú)線(xiàn)信號(hào)被“有心人”截取。

　　但是朱梁認(rèn)為這些技術(shù)本身意義并不大，絕大多數(shù)用戶(hù)在實(shí)際使用中，并不會(huì)啟用這些協(xié)議，因?yàn)槠渑渲眠^(guò)程相當(dāng)復(fù)雜，即使是技術(shù)人員，也不能很輕松完成。

　　而且，還有一個(gè)很?chē)?yán)重的問(wèn)題：由于不同品牌的無(wú)線(xiàn)發(fā)射裝置和接收裝置之間存在兼容性問(wèn)題，在應(yīng)用安全協(xié)議之后可能會(huì)造成大多數(shù)用戶(hù)無(wú)法連接無(wú)線(xiàn)網(wǎng)絡(luò)，具體表現(xiàn)就是你的筆記本電腦可以找到無(wú)線(xiàn)網(wǎng)絡(luò)，但即使密碼正確也無(wú)法連通。

　　國(guó)內(nèi)某知名無(wú)線(xiàn)廠(chǎng)商市場(chǎng)總監(jiān)對(duì)記者表示，目前在WiFi領(lǐng)域完全兼容還很難實(shí)現(xiàn)。

　　而在專(zhuān)家看來(lái)，指望通過(guò)殺毒廠(chǎng)商的防火墻來(lái)抵御外部攻擊也只能治標(biāo)不治本。

　　國(guó)內(nèi)某技術(shù)專(zhuān)家在接受《財(cái)經(jīng)時(shí)報(bào)》記者采訪(fǎng)時(shí)表示，“目前無(wú)線(xiàn)安全問(wèn)題成因在于無(wú)線(xiàn)協(xié)議本身存在的漏洞，而安全產(chǎn)品本身能解決的只是終端的問(wèn)題，協(xié)議漏洞還需要無(wú)線(xiàn)廠(chǎng)商解決�！�

　　“沒(méi)有標(biāo)準(zhǔn)談?lì)A(yù)防只能是空談，但是我們甚至找不到無(wú)線(xiàn)局域網(wǎng)的主管部門(mén)�！敝炝簯n(yōu)慮地表示。按道理，無(wú)線(xiàn)設(shè)備應(yīng)該屬于無(wú)線(xiàn)電管理局管理。但是管理局的人明確告訴我們，它們只管理發(fā)射功率大于0.5瓦的無(wú)線(xiàn)設(shè)備，無(wú)線(xiàn)路由器本身發(fā)射功率只有幾十毫瓦，所以不屬于無(wú)線(xiàn)電管理局的管理范圍。

　　醞釀中的大災(zāi)難

　　“大衛(wèi)·梅納爾的發(fā)現(xiàn)讓我們看到了無(wú)線(xiàn)網(wǎng)絡(luò)的漏洞，但是客觀(guān)地說(shuō)，目前無(wú)線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題并不嚴(yán)重�！卑踩珜�(zhuān)家朱梁認(rèn)為。

　　朱梁表示，現(xiàn)在雖然無(wú)線(xiàn)網(wǎng)絡(luò)已經(jīng)隨處可見(jiàn)，但是實(shí)際應(yīng)用人群還并不是很多。而在企業(yè)中使用無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，大多數(shù)關(guān)鍵服務(wù)器和關(guān)鍵數(shù)據(jù)都是無(wú)法通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)的，因此通過(guò)惡意入侵，獲取公司重要信息的可能性并不大。

　　不過(guò)他也認(rèn)為，隨著無(wú)線(xiàn)網(wǎng)絡(luò)的進(jìn)一步發(fā)展，特別是使用迅馳筆記本電腦的用戶(hù)越來(lái)越多之后，那么爆發(fā)通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)入侵的重大安全問(wèn)題只是一個(gè)時(shí)間問(wèn)題。

　　據(jù)業(yè)內(nèi)人士預(yù)測(cè)，隨著筆記本電腦的日益走俏，WiFi無(wú)線(xiàn)上網(wǎng)應(yīng)用將在未來(lái)兩三年內(nèi)變得更加廣泛。

　　目前，一些不良黑客已經(jīng)盯上了無(wú)線(xiàn)網(wǎng)絡(luò)。據(jù)ROX透露，在一些知名的安全論壇上，已經(jīng)有人在聯(lián)絡(luò)針對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)安全漏洞進(jìn)行黑客軟件開(kāi)發(fā)，其中不乏別有用心之人。

　　對(duì)此，朱梁希望提醒消費(fèi)者，“如果你的電腦里有很重要的數(shù)據(jù)，那么克制自己在公共場(chǎng)所的上網(wǎng)沖動(dòng)是最有效的辦法。 ”

　　鏈 接

　　WiFi網(wǎng)絡(luò)：我們這里所提到的無(wú)線(xiàn)網(wǎng)絡(luò)并不是平常所說(shuō)的CDMA上網(wǎng)或者GPRS上網(wǎng)，它的全稱(chēng)叫做無(wú)線(xiàn)局域網(wǎng)，英文縮寫(xiě)是WiFi.WiFi技術(shù)經(jīng)過(guò)近十年的發(fā)展和普及，目前在我國(guó)很多大城市和沿海發(fā)達(dá)地區(qū)已經(jīng)極為常見(jiàn)。