WiFi免费上网是馅饼还是陷阱节能

WiFi免费上：是“馅饼”还是“陷阱”？

近日，某黑客在上自曝：在星巴克、麦当劳等提供免费WiFi的公共场合，用一台Win7系统电脑、一个络包分析软件等，15分钟就可以窃取上用户的个人信息和密码。请关注

个人可自行架设WiFi热点

在免费提供WiFi的公共场所，不少顾客会用笔记本和上。但是黑客也盯上了免费WiFi庞大的用户群体。黑客是否如上传言能够通过简单的设备架设虚假的免费WiFi热点，进而盗取私人信息数据?

对此，北京邮电大学计算机学院络与信息安全实验室主任崔宝江副教授介绍道，黑客确实可以通过卡功能配置或者安装第三方软件，将电脑配置成一个用于钓鱼的无线AP，通过设置具有迷惑性的无线AP标识，诱使用户在提供免排行费WiFi的公共场合上时，错登录到钓鱼无线AP中，进而捕获用户上的所有络数据。通过数据包嗅探分析软件，则可对捕获的络数据包解析出其上的内容信息。如果上的数据包中包含明文的个人信息，例如登录的账号和口令等，那么这些明文信息便可被黑客获取。钓鱼的无线接入AP，它的名称可能和免费WiFi站点的名称很相似，容易迷惑人，例如Starbucks2、KFC1等。

个人自行架设WiFi热点，现在的笔记本基本都可以实现，通过自己的无线卡或者无线路由器均可以架设。前奇虎360杀毒中心工作人员、资深反病毒工作者李云告诉笔者，局域如何满足运营商的需求欺骗或者伪造热点都可以将自己的代码嵌入数据包中，再返回给请求者，导致用户访问恶意页或者执行恶意代码。比较常见的攻击是在站传输客户数据时，攻击者会尝试监听或嗅探传输中的数据。比如获取用户的某些卡号之后，对用户访问的其它站点的数据包进行嗅探，窃取生日、其他敏感卡号及字母组合。

窃取用户信息并不容易

公共场所存在钓鱼性质的虚假免费WiFi热点曝光后，有些市民不禁开始担忧，在公共场所通过WiFi上还有安全保障吗?如若进行日常上银行交易会不会存在泄密风险，甚至造成经济损失?

虽然黑客可通过设置虚假免费WiFi热点引君入瓮，但奇虎360公司软件工程师孙诚同时也指出，这条流言有部分是夸大的。这个黑客确实建立了一个免费未加密的WiFi络让用户接入，之后使用嗅探工具将无线卡设置为混杂模式，从而截获到络中所有传输的数据。但这里是利用了某浏览器的漏洞，如果这个漏洞不存在，数据传输过程中也使用了SSL进行加密，窃取用户银账号和密码也是非常困难的。

针对上银行交易等行为，崔宝江指出，如果用户上的站不支持加密的上数据传输功能，则明文的个人信息就可能泄密。黑客如果将用户导向到自己建立的钓鱼站，并诱使用户输入账号和密码登录钓鱼站，那么用户的银安全就没有保证了。

但是银和某些大型正规站需要输入账号密码的登录过程都是加密的，并不容易被破解。 他表示，用数码设备和登录正确的个人上银行址进行交易，安全是有保障的。个人上银行会采用SSL等加密协议来保障交易安全，址中的协议名称显示为https，结尾比常见的http多了s。这说明通过这个页面输入并传送的数据，会被基于SSL协议协商的会话密钥进行加密，即使这些加密数据被黑客盗取，也很难破解。所以，黑客难以通过钓鱼AP的方法获取用户的银行账号密码。除非黑客在用户的计算机中植入了木马，黑客才可通过木马偷取用户的银行账号密码。

李云也认为，关于黑客15分钟便能通过架设免费WiFi热点窃取信息的报道只是个例。要在短时间内窃取数据存在着相当的难度。据李云介绍，大部分无线嗅探及解密行为，是使用类似入侵检测操作系统及络封包分析软件进行数据包截取，经解密后进行用户名及密码的获取。而这种行为一般需要被动监听时间较多，其破解速度由必须的数据包和密码字典大小决定，为了解密则必须抓取大量数据包，这通常需要很长时间。可能在没有获取到有价值信息之前，用户已经离开了这个监听范围。

防李鬼需提高安全意识

目前，北京市不少公众场所的免费WiFi账号密码都已在上公布，而在免费供应地内搜索到账号需要索取密码时，也可直接向工作人员索要。虽然如此，却也不乏市民习惯性搜索到无需密码的免费WiFi后，直接联进行上活动的现象。

用户连接加密的WiFi络，会需要输入密码，如果用户没有输入密码就可以连接到一个WiFi络并且可以访问互联，这时就要注意了，可能连接的WiFi络会有问题。孙诚指出，想破解使用SSL协议加密传输的数据其实比较困难，因此一般黑客会采用证书欺骗的方法，但假的证书在浏览器上都会给出安全提示，用户只要不去访问就可以了。

他认为，李鬼WiFi的危害程度需要从用户的安全使用习惯和络应用的安全性两方面去考虑。用户在使用公共络时要尽量开启ARP防火墙，并且要连接加密的WiFi络。而应用程序和站更要提供对一些涉及到用户隐私的数据进行加密传输，在产品设计上一定要将安全摆在第一位。

崔宝江建议，为了预防因登录假WiFi站点或者钓鱼的WiFi站点造成用户隐私泄露，在公共场所上的用户，需主动了解商家或运营商WiFi无线接入点AP的正确站点名称和登录密码，并且选择合法和正规站进行互联信息获取。

得了肝硬化吃什么药
眼部除皱
厦门看白癜风权威医院