2015年5月3日,国内最权威的网络安全漏洞信息交换平台之一乌云网(WooYun.org),发布了北京首都机场T1航站楼存在网络安全隐患,它能窃取登机人信息、散发恶意消息等,免费WiFi的网络安全问题再一次成为业界关注的焦点。
这次出现安全问题的免费WiFi,并非是“散兵游勇”,也不是流氓小贼,而是正规军——正规公司提供的商业免费WiFi。“经机场Wi-Fi登录页面显示,T1航站楼的Wi-Fi服务商为迈外迪(WiWide)网络科技有限公司,是目前国内比较大的商用Wi-Fi网络服务提供商,为包括首都机场、上海浦东机场、三亚、海口、天津、长春、石家庄等国内众多机场提供WiFi服务。”
如果说那些别有用心的免费WiFi、经过软件“破解”的WiFi有风险还勉强能让人接受的话,那这正规公司在公共场合提供的商用WiFi也出现了安全问题,就很让人担忧了。
基于对大数据、O2O入口以及其他经济利益的争夺,目前商业WiFi领域已经成为互联网巨头的兵家必争之地。各大互联网巨头,都纷纷染指这一未来的移动互联网金矿,目前大家正处于跑马圈地之时。但是,因为缺乏必备的行业标准、商用WiFi运营企业对安全的不重视等原因,再加上不怀好意者对这一巨大利益的虎视眈眈,商业WiFi有着巨大经济利益诱惑的同时,也存在着巨大的安全隐患。稍有不慎, “跑马圈地”的骏马就有可能因为安全问题“马失前蹄”,把用户摔下去。
此时,我思考这么几个问题。第一,商业免费WiFi有大面积铺开的趋势,但世上不会有免费的午餐,免费WiFi有着巨大的商业利益,同时也会有安全隐患,那我们应该知道它的安全隐患究竟在哪里。第二,从免费WiFi商家角度考虑,作为负责任的厂家,他们怎么做才能最大限度的避免安全隐患?第三,作为第三方的安全软件厂商,该怎么应对免费WiFi的安全问题,为商家和用户提供安全防护呢?第四,我们用户自己,该如何主动地保障自己的安全?
在笔者看来,商业WiFi的安全隐患可能存在于这几个方面:第一,商业WiFi厂家在收集用户信息大数据的时候,不由自主的“越界”;第二,商业WiFi软硬件的安全漏洞,给黑客以可乘之机;第三,安全密码太简单,轻易被黑客破解。如果是后两者的原因,那黑客就会轻而易举的收集到用户的信息,就像入室的窃贼,或者像“黑店”的老板。而免费WiFi商家在应对可能出现的安全问题时,则需要把自己的心态放的端正一点,要及时升级补丁,采购安全的设备,提高安全意识,设置复杂的密码,还需要注意对用户的安全提醒。安全软件厂商们,则需要针对商用免费WiFi的新局面提供最新的安全防护措施和安全防护设备。至于用户,需要的则是更好的安全使用习惯了。
对于以上这些问题,笔者与德国歌德塔(G DATA )安全软件公司中国区的安全专家进行了交流,听取了他的意见。
商业免费WiFi存在哪些安全隐患,他认为可能有这几个方面:“一,商家自己故意设定的泄露后门;二,商用WiFi的运营者被‘黑’,黑客盗取了他们的信息进行地下交易;三,WiFi的运营公司有可能不是骗取用户的信息,但公司的加密程度不够,被窃取;四,一些APP开发者,开发出一些垃圾应用,本身开发的时候就留下了漏洞,再加上很少去更新,给黑客提供了可乘之机;五,共同使用这个网络的人可能会窃取你的信息。”
商业WiFi运营者如何从自己的角度减少安全隐患的发生,他认为运营者需要做这几点:“一,设置多重密码,或者设定自己独特的加密方式;二,与其他安全公司进行合作;三,购买最新的设备,随时更新;四,最好不要随意收集用户的信息。”
谈到这里,这位安全专家说:“没有一个无线网络是绝对安全的,也没有一部设备是绝对安全的。这就需要用户自己多多注意。”
那用户该注意些什么呢,他说了以下几点:
“一,不要使用没有密码的无线网络。二,尽量使用需要登录信息验证(比如登录密码等)的无线网。三,在公共场合上网的时候,发现不需要密码的无线网,或者表面上看很正常,但不一定是正常网络的无线网,一定要向当地的工作人员验证,让他们检查是不是骗子无线网。四,要有一个好的无线上网习惯,用完后取消自动连接无线网的功能。”
这位安全专家说:“我们最好不要使用那些名字很奇怪的无线网络。但也有例外,比如德国有家公司曾经给自己的无线网络起了个很通俗的名字叫‘30分钟免费’,结果有数百人连接了这个网络。这足见网民的粗心。幸亏这是个正规的网络,否则后果会不堪设想。”
同时,针对目前层出不穷的互联网财产被窃事件,他提醒用户:“一,尽量不要在无线网络上使用网银等工具。二,手机的应用APP要慎用。上一个网站的时候,安全网络前面都有一个https让你辨认,笔记本一般都有防火墙,但是手机应用程序没有这种加密程序,很多时候手机的APP无法像在电脑上一样被杀毒软件监控。所以,尽量不要用APP打开一些信息。三,使用密码时,不要使用同样的密码。因为有时候,一个密码被黑客窃取后,他有可能利用这个密码去实验别的密码。”
除了习惯,还得有安全软件的防护,他说:“手机安全软件可以提示不安全的无线网或者密码太弱,能对用户信息起到安全保护作用。但是目前用户移动安全意识比较差,大多数手机都是裸奔,给一些不法商家和网络犯罪分子以可乘之机。”
最后这位专家建议用户:“一,尽量使用自己的手机移动网络,谨慎安装手机应用,安装杀毒软件,把风险减少到最低;二,用户可以建立一个虚拟网络,这样的话,数据传输时就有了自动保护,进行了加密,互相传输数据时,除了自己和对方,别人就无法看到。”
我们都希望使用免费、高速的无线网络,这是人之常情。但技术越发达、越便利,它所带来的风险就越多。商业WiFi风险面前,我们除了寄希望于那些运营者能够保障用户安全外,更应该学会自己保护自己。
