首页 > 知乎精选 > 移动互联网 > 透过公共Wi-Fi热点上网会面临哪些安全风险?
2015
11-01

透过公共Wi-Fi热点上网会面临哪些安全风险?

下面是我去年写的一篇短文,也许对你有帮助。用商家提供的免费WiFi上网购物和操作网银安全吗?

不安全。

你会用那些免费WiFi上网购物和操作网银吗?

有可能。不过我会准备一张银行卡专门用于这种情形下的网络购物,这张卡余额不会超过1000元,并使用和其它银行卡完全不同的密码。

明知不安全你还用?

如我在《安全风险漫谈之一:后门和借钱》中所述,处理不同价值的资产时,对风险的态度是不一样的。通过控制风险涉及的资产价值,可以实现方便和安全之间的平衡。不因噎废食,也不因食忘噎

免费WiFi为什么不安全?

很多免费WiFi传输都不加密,加密的那些密码也很容易得到——问店员。最重要的是:当你接入一个叫“Starbucks”的接入点时,你无法确认这是星巴克提供的,还是猩疤客提供的。需要强调的是:这些是WiFi的通病,免费不免费都一样存在这些问题

网银不是都HTTPS通信吗?HTTPS不是安全的吗?
网银不是有“U吗?用“U还不安全吗?

这类问题大概相当于“穿防弹衣还会被枪打死吗”?

HTTPS是一个大概念,其中包含了若干种算法和子协议,这些算法和子协议中的某些已经被找到了攻击方法。例如BEAST、CRIME、Padding、Lucky 13等技术。

设计的理想和实现的完美是两回事。据我们测试,特别是一些手机上的浏览器,在HTTPS的具体实现上有比较严重的问题,很容易受到攻击。

最重要的是:攻击网银根本用不着和HTTPS或是U盾直接对抗。

面对一座固若金汤的城池,只能硬拼强攻?攻击者的目标并非突破城墙,而是进入城内。所以三千年前希腊人就选择了另一条路,让认为自己有HTTPS和U盾就可高枕无忧的特洛伊人吃了一惊,然后把他们都杀了。

当你连接了一个“猩疤客”的WiFi接入点,攻击者有非常非常多的方法在你的系统上植入木马(就像3000年前希腊人干的那样)。

而在系统被植入的木马控制后,当希腊士兵藏在木马里进入特洛伊城之后,一切就是另一回事了。

我们协助某银行处理过一个案件:用户在使用了U盾的情况下,通过网银被盗转近百万元。这事没有公开报道,我也不能透露具体犯罪手段,不能提供当事人姓名联系方式家庭住址等细节来证明真有其事,我甚至都不能告诉你是哪家银行,因为要替客户保密。不过,如果公开报道可以让你相信此事——2011年4月15日《新京报》第A14版刊载过一起案件:某用户在使用了U盾的情况下,被盗转30万元。

如需要看更多案例请搜索关键字“U盾 + 仍被盗”。

注1:前些年我们和国内一些银行合作,对网银安全进行过长时间的研究,结论是:至少对当时的网银来说,攻击者入侵用户电脑后,在有U盾的情况下仍然可以实现盗取。银行后来根据我们提交的报告进行了改进,现在好多了。譬如在使用了有显示屏和按键的新型U盾后,类似前面提到的《新京报》所刊载那起案件中的犯罪手法就无效了。

注2:“U盾”是用于身份认证的有存储数字证书等安全功能的USB安全设备的俗称之一,本文中泛指所有此类设备。

最后编辑:
作者:管理员
呃...怎么介绍呢?就是个管理员吧~
捐 赠如果您觉得这篇文章有用处,请支持作者!鼓励作者写出更好更多的文章!