- 政策解读
- 经济发展
- 社会发展
- 减贫救灾
- 法治中国
- 天下人物
- 发展报告
- 项目中心
|
|
安全进化史
WiFi是一种短程无线传输技术,能够在数百英尺范围内支持互联网接入的无线电信号。随着技术的发展,以及IEEE802.11a、802.11b、802.11g以及802.11n等标准的出现,现在IEEE802.11这个标准已被统称作WiFi。
第二次世界大战后,无线通讯因在军事上应用的成功而受到重视,但缺乏广泛的通讯标准。于是,IEEE(美国电气和电子工程师协会)在1997年为无线局域网制定了第一个标准——IEEE802.11。IEEE 802.11标准最初主要用于解决办公室局域网和校园网中用户的无线接入,其业务主要限于数据存取,速率最高只能达到2Mbps。
在WiFi技术的发展过程中,除了传输速率不断提升之外,安全加密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进入WiFi标准的加密技术名为WEP(Wired Equivalent Privacy,有线等效保密),但由于该技术的加密功能过于脆弱,很快就被2003年和2004年推出的WPA(WiFi Protected Access,WiFi网络安全存取)和WPA2技术所取代。
但即使是较新的WPA2加密技术,仍然在无线开放环境下存在安全性较弱、无法满足电信级高可靠性要求等问题,为此,我国依据“商用密码管理条例”制定了针对WiFi既有安全加密技术漏洞自主安全标准WAPI(Wireless LAN Authentication and Privacy Infrastructure,无线网络鉴别保密基础结构)。
2009年6月,工信部发布新政,宣布加装WAPI功能的手机可入网检测并获进网许可。当月,包括美国代表在内的参会成员一致同意,将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。
追问1
钓鱼WiFi窃取用户密码?
从技术角度来说,只要使用免费WiFi上网,手机或者电脑都有可能被钓鱼
在那篇引发公共WiFi安全性问题争议的网帖中,名为“妖妃娘娘”的楼主详细演示了如何用“Win7系统电脑、无线热点和Wireshark软件”窃取使用UC浏览器用户个人信息和密码的全过程。
“妖妃娘娘”称,按照该教程,即使是初级黑客也只需要两个小时,就能掌握如何在公共场所设置免费WiFi来进行钓鱼,熟练后甚至仅需15分钟就能够轻松搞定使用UC浏览器上网用户的密码。而这其中的关键在于,UC浏览器本身存在安全漏洞,其所谓的“云加速”服务在传输用户信息时使用了明文传输密码,让泄密成为了可能。
对于这份“钓鱼WiFi”的详细教程,很快就有热心网友进行了亲身验证,结果证明在iPhone上使用版本号为8.2.1.132的UC浏览器,果真可以通过Wireshark软件截取到登录Gmail账户时输入的账号和密码信息。
看完网友实证帖后,杜瑞强想起自己平时肆无忌惮地在星巴克蹭网,不由得有些后怕。
然而,这还不是让公共WiFi安全性问题被彻底引爆的关键,在“妖妃娘娘”的网帖和随后网友实证帖被广泛传开后,有关“钓鱼WiFi”窃取他人信息和密码的强大能力被越传越神,“网银密码也能轻松搞定”等说法更是引起了众多网友的强烈不安。
作为UC浏览器开发厂商——UC优视公司对于这个问题并没有太多回避。
该公司CEO俞永福直承,在前期某个版本的iPhone用UC浏览器上的确存在漏洞,但很快就推出了新版本的软件加以改进。不过他同时也表示,只要是遭遇“钓鱼WiFi”,用户上网过程中个人信息和密码就都有可能被别有用心的黑客获取,并非只有使用UC浏览器的用户才会有这个风险。
“最大的问题其实是在我们目前网站建设上普遍采用的HTTP(Hypertext Transfer Protocol,超文本传输)协议本身的安全性较低。”俞永福的说法获得了金山网络安全专家李铁军的支持。
李铁军称,从技术角度来说“妖妃娘娘”介绍的钓鱼方法是可行的,但这并不止是手机浏览器的问题,只要使用免费WiFi上网,手机或者电脑都有可能被钓鱼,这种技术被业内称为“攻击中间人”。
李铁军进一步解释,如果用户使用黑客设置的钓鱼WiFi上网,那么黑客使用相关软件监视并记录用户在网上进行的所有操作信息,从中窃取有价值资料,比如QQ聊天记录、邮件内容等,“获取网银账户密码的可能性较小,但也并不是完全没有可能”。