比特网编译设想一下:你坐在一家咖啡馆,拿着一杯拿铁享受着无线上网的快乐,准备回顾销售策略和季度财务预测报告。首先你需要连接咖啡馆提供的免费Wi-Fi。然后将你的笔记本和放映机连起来,以便整个咖啡馆的人都可以看到,最后你发出去一些打印好的副本给其他人参考,这些里面含有机密的产品规格信息。
这听起来可能有点可笑,但是如果你使用公共Wi-Fi而且没有采取适当的措施的话,那么你的商业机密就可能会被其他的“咖啡同胞”分享。
开放Wi-Fi无隐私可言
今天,大多数的科技用户都知道如何(以及为何)确保家庭无线路由器的安全。Windows7和Vista在连接到未加密无线网络的时候都会弹出一个对话框提醒用户。
而在咖啡馆、机场休息室或图书馆人们频繁地不假思索地连接无线,尽管使用加密的连接查看比赛结果或航班状态是可以接受的,但是读取电邮或进行任何Web活动等需要登录的做法,就好像你在人群中使用对讲机不安全。
那么为什么所有的企业不对他们Wi-Fi网络进行加密呢?答案就是IEEE802.11设计规范的密钥系统太过复杂:如果对流量进行加密,网络所有者和管理者需要选择一个密码,也就是“网络密钥”。需要每个网络都有自己的密钥,无论网络所有者选择了相对不安全、并很久未更新的WEP还是相对安全的WPA或WPA2,这个密钥都需要在所有的用户中共享。
在家中,你需要进行设置,然后将密码告诉你的家人,那么你们就可以在家中享受无忧的网上冲浪了。而在咖啡馆,咖啡师不得不将密码(或26位的十六进制WEP密钥)告诉给每位客人,可能他们就可以联网了。在这种情况下没有什么比空密码更简便了。
然而,就算网络已经加密了,你可能也不是绝对安全的。一旦你的计算机知道了密钥,只有对于那些和你不在同一网络的人来说,你的信息才是安全的;所有“咖啡同胞”都可以看到你的流量,因为他们使用的是同一个密钥。
你的私人业务就是你竞争对手的业务
但是如果你认为自己的数据没有重要到别人会喜欢窃取,又会怎样呢?也许你只是浏览一下网页,不需要登录邮箱或打开需要密码的Web应用。那么是否就会安全了呢?也未必。
设想一下,你刚从一个行业的贸易展览回来,正在使用机场的Wi-Fi。没有成百的电子邮件等你查看,你决定浏览一下竞争对手的网站,寻找一些灵感。或者选择在网上研究可能达成的收购交易。
实际上,背后的情况是,你的电邮客户端会检测网络连接并开始下载你的电邮。总部你的一个同事看到你的IM状态瞬间变为“在线”并向你发送一个慌忙的请求:“工厂出现大问题啦,可能会被召回,尽快给鲍勃打个电话!”
只要有个无线数据包分析软件,在同一块休息区的恰巧和你曾经参加过同一个会议的人就可以收集你浏览过的网站以及你(未加密)的即时消息等泄露的商业机密,更不要说招聘人员发给你的泄露出你要跳槽的邮件或者可以反映出你和你另一半关系问题的消息了。简言之,不良企图的人在你阅读之前就阅读了你的信息,你可能没有做过任何事情。
坚持在SSL协议下使用web邮箱
首先为了与邮件间谍对抗,你应该使用HTTPS协议的Web邮箱系统。几乎所有Web邮箱系统在你登录的时候都会使用HTTPS,所以你的密码可以保证传送的安全。而在当身份认证完成后,它们往往会返回使用HTTP,因为这可以降低服务器的计算应变功耗,更易于服务广告。
这意味着所有与你处于同一个无线网络(无论是未加密的还是共享密钥)的人都可以阅读你电邮的内容。在一些情况下,一些人可以盗取你的会话cookie并在无需密码的情况就登录到你的Web邮箱会话。
两个非常明显的例外是Gmail和你的企业电子邮件系统(例如Outlook)。今年早些时候,Gmail从只在登录时候使用HTTPS的做法,转变后现在的整个Web邮箱会话都使用HTTPS。
谷歌应用用户之前可以选择使用这个功能,但是现在默认的则退出了这个功能。这一变化,加上谷歌新出来的可疑的登录检测算法,让Gmail成为免费Web邮箱供应商的佼佼者。如果你想退出AOL、Hotmail或Yahoo帐户,你就会发现这一变化。
你公司的Web邮箱系统也很可能始终都受到HTTPS的保护,因为这是大多数系统的默认配置。然而,如果使用本地软件(如Outlook,Thunderbird,MacOSX的邮箱)查看工作信息,而不是基于Web的HTTPS邮箱,那么你可能不会被加密。
付费热点:无安全性可谈
在对这个课题进行研究的时候,我发现存在着一个对旅行者和咖啡爱好者的普遍误解。从字面意义来看,需要每小时或每月进行费用订阅的商业“热点”(如AT&T,Boingo,GoGo,T-Mobile)比那些无需付费的竞争对手更加安全,因为这其中存在着一个密钥的问题。
实际上,这些“热点”几乎都往往没有加密,他们采用一种被称为“套住门户”的做法只是为了防止你在付费之前能够连接上网。一旦验证无线网络中的所有流量都未被加密,那么这些“网关”Web门户通常都通过HTTPS交付(为了保证信用卡信息和密码的安全)。
所以,你每月10美元的费用却不能保证访问的安全。实际上,由于无线电频率传输的性质,任何人都可以看到你未被加密的流量,他们只需要加入同样的SSID无线网络。
这意味着外部人员可以轻易地观看并截获你浏览过的任何常规的HTTP网站,任何未加密的POP3邮件,任何你的FTP传输。聪明的黑客甚至可以修改他们的无线网卡来克隆出你的无线网卡,因此通过“搭载”在你的信号获得免费进入一个商业“热点”的机会。
相关链接:
http://news.163.com/10/0415/09/64A77B3U00014AEE.html
|