“蹭网”崭露Wi-Fi不安全冰山一角
——全球无线网络安全遭到严重威胁
近期,在CCTV等权威电视媒体以及大量网络媒体频曝“蹭网”事件,很多记者亲身暗访,得到的数据与看到的场景可谓触目惊心。
随着无线网络的发展和普及,WLAN安全问题正在以几何级数高速增长。当你拿着Wi-Fi无线上网笔记本上网,发现网络里多了几个网上邻居,看看共享文件,拷到自己电脑上。恐怕此时你就没有什么隐私可言了,大家的电脑互相连接形成了一个大的局域网,想想就十分恐怖。Wi-Fi无线上网漏洞除了可以免费“蹭网”外,还可以轻松的盗取别人邮箱的用户名、密码和截获MSN聊天等信息,而操作方法更是简单易懂,在如今互联网强势传播力影响下,恐怕Wi-Fi漏洞被广泛利用的风暴不可避免。
近期网络上频繁出现了“蹭网”的相关报道,以及大量销售“蹭网卡”的信息。为什么会出现“蹭网”?其技术原理是什么?我们将从“蹭网”现象入手,深入剖析其本质。
蹭网现象的背后:Wi-Fi网络参在严重的安全漏洞
一、蹭网是什么?
“蹭网”就是指用自己电脑的无线网卡连接相邻的无线路由器上网,而不是通过正规的ISP提供的线路上网。从而减免个人网费支出,或窃取他人私人信息、数据。
蹭网是一种盗用别人家网络带宽的行为,因为你并没有通过你邻居的允许而使用了她家的上网资源。同时很多蹭网者频频出现攻击行为或窃取他人隐私行为,这是典型的违法行为,有些国家已将蹭网定义为犯罪。
时下流行的“蹭网卡”实质上是一种大功率无线网卡,同时配备了密码破解软件。“蹭网卡”的灵敏度越高、搜索范围越大,其功率也就越大,对人体危害也可能越大。一些“蹭网卡”最高功率达到0.5瓦,对人体危害明显。
无线局域网络的这种严重安全问题不仅在个人隐私泄露、带宽被非法占用等方面给普通个人用户以及银行、电信运营等机构带来诸多纷扰与安全风险,还会在法务诉讼、纠纷处理、伦理维护、运营机构与银行等机构结算管理、国家信息安全等方面,向人类发起全面的挑战。
二、蹭的是谁的网?
目前“蹭网”的目标对象主要是Wi-Fi网络。由于Wi-Fi安全所引发的问题日趋严重,不仅仅对于个人家庭用户造成了伤害,对各大企业的商业机密也构成了严重的威胁,甚至还为犯罪分子创造了便利途径。印度内政部已发布了禁令,禁止在敏感部门使用Wi-Fi技术上网,澳大利亚昆士兰州组成了世界上第一支警备力量,防范犯罪分子利用不安全的无线网络进行犯罪活动,美政府勒令互联网服务供应商保留Wi-Fi记录至少两年,以协助警方进行调查,英国卫生防护局主席、前政府首席科学顾问斯图尔特呼吁对Wi-Fi技术可能造成的负面影响进行“及时”调查,欧美国家往往法律森严,蹭网被拘捕的案例已经屡见不鲜,美国、英国均已出现因蹭网而逮捕或者判刑的案例,而目前新加坡已明确界定“蹭网”属犯罪……
上述仅仅是目前无线局域网极度脆弱的一个缩影,如果任其无序与不可控制地蔓延,其结果将是灾难性与不可逆的。援引2009年02月15日《纽约时报》当天撰文:“许多网络工程师和安全专家认为,要彻底解决当前的互联网安全和隐私问题,只能是放弃当前的Wi-Fi网络。”
综上,如此严重的Wi-Fi安全性隐患已经暴露无疑,更为严重地是,难以控制的诉讼数量与规模以及各类纠纷,将严重挑战法务机构、运营机构以及人类自身的道德伦理。在当今无线局域网备受推崇之时,已是必须果断提出应对之策、迅速全面地完善整个WLAN体系安全,创造可运营、可管理良好秩序的关键时刻,很多业界专家、经济学家、法律学家纷纷都提出了相关忧虑、警醒以及观点或者解决方案。
三、被“蹭网”的根本原因:Wi-Fi网络在接入安全方面存在严重先天性漏洞
无线局域网国际标准ISO/IEC 8802-11中规定了WEP安全体制,但WEP自2001年就被发现存在严重安全漏洞,最早发现这个漏洞的专家是现任Intel公司安全架构师Jesse Walker。后来美IEEE 802.11工作组又提出IEEE 802.11i来弥补WEP存在的安全问题,但是由于其在安全架构上还存在基本的安全问题,并且过分考虑和过去不安全的产品和设施兼容,因此IEEE 802.11i也未能解决无线局域网的安全问题。同时,由此引发了一系列法律纠纷。
06年6月外媒体报道,安全专家发现目前在迅驰技术中共发现三处漏洞,主要存在于Intel PRO/无线网络连接(WNC)模块的Windows驱动中。利用无线网络连接模块存在的漏洞,攻击者可以在Wi-Fi热点的覆盖范围之内,获得目标系统的核心级权限,并执行任意代码,危险不可谓不大。
2005年,英特尔就表示,在使用Wi-Fi网络的过程中隐私得不到保证,英特尔认为Wi-Fi网络本身就是不安全的。
有意思的是,在英特尔承认其无线驱动中存在安全漏洞后不久,在美国拉斯维加斯举行的Black Hat大会上又爆出无线网卡驱动的安全漏洞:两名黑客仅用了60秒即宣告攻入以安全著称的苹果Mac OS X系统,而利用的恰恰又是无线驱动的缺陷。
为了改善或替换有漏洞的WEP加密方式,出现了一度被误认为安全的WPA加密。
对于无线WPA加密环境,在获得了WPA握手验证包后,攻击者会通过暴力破解模式来进行WPA密码破解,同时也可以通过事先建立有针对性的字典,然后再进行字典破解(攻击)。对于大多数无线接入点AP而言,这将会是个行之有效的方法。
在此后不久的2008年11月,德国研究人员Martin Beck和Erik Tews找到WPA的一个漏洞。而最近日本研究人员近日发表了对Wi-Fi WPA加密的最新研究结果,经研究人员发现WPA加密非常不安全,最快在1分钟之内就能被黑客攻破。“上趟厕所的功夫你就能破解邻居的WPA密码……”
四、Wi-Fi网络为信息安全、公共基础设施安全埋下巨大隐患
使用Wi-Fi技术的公司和家用电脑用户受到黑客的威胁,黑客们随意进入办公室浏览机密文件研究成果,窥探他们的所有文档并且监视用户的线上活动,由于安全问题给企业带来的损失已经由2006年的470万美元急速上升到2008年的660万美元。如今,无线网络的普及乃大势所趋,然而,用户依旧提心吊胆地使用着无线网络,既担心无线信号被盗用,也担心机密被窃取,还担心遭受各种恶意攻击,并由此引发了一系列法律纠纷和安全隐患。
据悉,有50%的无线局域网用户对安全不满意,从安全考虑不搭建无线局域网的占40%以上。2002年盐湖城冬奥会、禁止采用WLAN设备, 在雅典奥运会上,组织者本来已经考虑采用无线局域网络,也因为无法保证安全而放弃。
WLAN安全恐慌的始作俑者——Wi-Fi
Wi-Fi网络安全漏洞始末
上图为Wi-Fi网络安全协议的历史与演化
无线局域网在发展中前后采用了多种加密方式。首先是WEP加密,这是目前使用得最多的一种加密方式,然而这个协议在投入应用后没有多久就被发现存在一些漏洞,容易被破解。在2005年,英特尔就表示,在使用Wi-Fi网络的过程中隐私得不到保证,英特尔认为Wi-Fi网络本身就是不安全的;其次是WPA加密,制定这个协议是为了改善或替换有漏洞的WEP加密方式,正如上文提到,2008年11月,德国研究人员Martin Beck和Erik Tews找到WPA的一个漏洞。而最近日本研究人员近日发表了对Wi-Fi WPA加密的最新研究结果,经研究人员发现WPA加密非常不安全,最快在1分钟之内就能被黑客攻破。
Wi-Fi三种典型应用场景的安全隐患表
|
Wi-Fi三种典型应用场景的安全隐患表
|
|
|
网络模式
|
破解密钥
|
占用网络资源
|
信息泄露
|
|
占用IP资源
|
蹭网
|
(outlook、Foxmail等)邮箱用户名和密码
|
QQ聊天记录
|
MSN聊天记录
|
私人文件
|
网页还原
|
|
百姓家庭
|
开放式网络
|
无密钥
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
|
Wi-Fi
|
加密网络
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
|
办公
|
开放式网络
|
无密钥
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
|
Wi-Fi
|
加密网络
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
|
运营商Wi-Fi
|
开放式网络
|
无密钥
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
目前的“蹭网”其实仅是Wi-Fi不安全的冰山一角,如不加以重视,将使全球WLAN网络面临更加巨大的安全风险,并可能引发更大规模的社会问题及国家信息安全问题。及时的亡羊补牢、正视并解决它已成为当务之急。 | 
