無線網路:社會工程的沃土(By Jim Stickley)

hzbook2008發表於2011-05-31
安全之美(分享卓越安全專家的思考)

本文節選自《安全之美(分享卓越安全專家的思考)》(Beautiful Security)

如今,許多人都已經聽說過關於無線裝置安全的問題。從2000年最初發布Wi-Fi時,無線裝置安全就已經是許多安全專家所關注的領域了。早在2001年,有線等效保密(Wired Equivalent Privacy,WEP)訪問協議就被發現存在嚴重的缺陷。雖然設計這個協議的目的就是為了阻止非法使用者訪問無線裝置,但是攻擊者在幾分鐘之內就可以繞過它的安全保護機制。隨著2003年Wi-Fi網路安全存取(Wi-Fi Protected Access,WPA)協議的公佈,無線裝置的安全性已經得到了極大的提高。儘管如此,大多數偏執的系統管理員仍然對它的安全性表示懷疑。尤其是在發現了 WPA的幾個新的漏洞之後,他們就更加確信這一點了。雖然它的危險程度不及WEP,但這足以讓許多管理員認為他們的看法是正確的。

雖然仍然有人對無線網路的安全性持懷疑態度,但大多數人在看到無線技術給生活所帶來的便利之後,都接受和認可了這項技術。比如,給百貨公司的員工人手配備一臺手持裝置,那麼他們就能夠直接與機構的伺服器聯絡,快速高效地完成一些與庫存有關的工作。這可以節省大量的時間並提高客戶的服務滿意度。Wi-Fi也給市政公共事業注入了新的活力,從咖啡館到公園都有它的身影。遺憾的是,人們對一些針對Wi-Fi的攻擊場景仍然不是十分清楚,這種攻擊將會引發企業和個人資訊被盜的風潮。

本章首先介紹我作為一個專業的安全研究人員是如何探索無線安全缺陷的,並簡單地描述它們所造成的威脅。接著,我繼續討論Wi-Fi的現狀以及它是如何破壞安全的。

2.1   輕鬆賺錢

這是一個日常攻擊場景。假設你在美國的一個主要機場稍作停留之後準備啟程時,把目光轉向登機監視器尋找自己的入口時,發現每位旅客都在哀嘆:“飛機又延誤了。”這時,你已經成為眾多“難民”的一員,將在機場的舒適安靜環境中度過接下來的6個小時。

這時你的視線離開監視器,四處搜尋可用的電源插座,以挽救快要沒電的筆記本電池。我經歷過很多次這樣的搜尋,每次都是慢慢地在整個區域到處查詢,比如每排座位的後面或者是某根杆子的背面。你可能會注意到,尋找這種隱祕插座的人在路過時,似乎是在盯著你的腳下,卻又做的不是太明顯。我覺得這類似於穴居人在尋找火種。每個人都想擁有它,但只有少數人能夠找到,而一旦你找到了,那麼你會極具佔有意識。事實上,在不止一個場合,當有人走近時,我都會哼一聲,然後錘打胸口以示強勢。

現在,假設你是找到插座的成功人士,然後開啟筆記本,將電源插到插座上,並立即開始搜尋無線接入點。現在,大多數機場、賓館、咖啡館甚至是公園都提供了無線接入裝置。你只需開啟膝上型電腦,點選無線接入圖示,就會彈出一個或多個可供選擇的接入點。當你瀏覽接入點列表時,看到了一個標題為“T-Mobile”的接入點。原來,這個機場使用的是這個接入裝置,因此你毫不猶豫地選擇了它。幾秒鐘之後,你開啟了一個網頁瀏覽器。此時顯示的不是你的主頁,而是T-Mobile的頁面,它讓你選擇是使用已有的T-Mobile賬號登入還是建立一個新的賬號。

由於你並沒有賬號,所以點選建立了一個新的賬號,這時會發現所需價格是9.99美元一天。雖然這個價格不是太恐怖,但你剛才注意到還有其他的無線接入點,所以你決定看看其中是否碰巧有免費的。你再次點選無線圖示,然後看到列表中還有其他三個接入點。其中有兩個是加了鎖並且需要正確的金鑰才能連線,但有一個標題為WiFly的是開放的。然後你選擇了WiFly,這一次重定向到的是WiFly的登入頁面,上面給出的價格僅為1.99美元。讓你感到高興的是,你剛剛節省了8美元,這時你拿出信用卡,填寫線上表單,然後點選提交,瞧,你現在正在瀏覽網際網路。

別的也沒有什麼事可做,所以你決定通過線上網頁介面來檢查你的電子郵件。輸入網站的網址後敲回車。突然一個錯誤訊息彈出,告訴你網站的安全證書有問題。只有在瀏覽需要加密訪問的網站時才會用到安全證書。這時你才會意識到這個網站是使用加密會話的,因為網站連結是以https://開頭的,而不是http://。

此外,你還會注意到瀏覽器的狀態列上有一個閉合的鎖,這表示該頁面也是加密的。但是,錯誤訊息表明這個網站的安全證書不是由可信任的認證機構頒發的,另外你所訪問的網站和證書不符。

現在你可以選擇關閉這個頁面或者繼續瀏覽下去。稍做考慮,你想可能是自己訪問錯了,所以選擇關閉該頁面。然後你開啟了一個新的瀏覽器視窗又試了一次,結果彈出了同樣的錯誤。此時你可能意識到頁面是正確無誤的,但確實又有什麼地方出了問題。你可能會想這也許和你在機場所用的服務提供商有關,所以選擇繼續瀏覽下去。頁面出來了,而且看起來很正常,沒有什麼問題,所以你就登入進去並檢視電子郵件。接著你又瀏覽了幾個小時,中間除了又跳出來幾次同樣的錯誤訊息之外,其他一切看起來都正常。

最後你的飛機來了,收拾好筆記本,把電源插座留給附近其他正在耐心等待的“穴居人”,然後到達了最終目的地。

幾周過去,你回到了家裡,然後去支付賬單。當你開啟信用卡賬單時,大吃一驚,先前信用卡里面還有好幾百美元,現在已經被刷爆了。想了一下,然後你去問你的妻子是否去瘋狂購物了。讓你感到放心的是,她確實沒有去,但這些消費賬單依舊還在。當然,你已經完全忘記了,在從機場返回的那一天,你選擇了一個廉價的無線接入公司,並向其提供了信用卡資訊。遺憾的是,原來這個便宜的無線接入公司的確是一個身份竊賊(identity thief)。

2.1.1   設定攻擊

在工作之餘,有人僱我去佈置安全陷阱以用於測試。我已經在整個美國多次實施了這種特別的攻擊。每一次我都能收集到信用卡資訊。雖然騙局看似複雜,但讓人如此擔憂的情況卻可以很容易的實施。

在我去佈置攻擊的場地之前,我會先製作像WiFly這樣的一個虛構的公司登入頁面,這個頁面看上去很可信,而且外觀絕對專業。它還提供了一個用於填寫信用卡資訊的表單。

到了場地之後,我開啟一個普通的膝上型電腦併購買了該地提供的真正的網際網路接入服務。如果是在沒有網際網路提供商的地方,我就會用我的手機來進行連線。即使網路速度會很慢,但這沒有關係,因為當受害者在使用接入服務時,就已經被騙了。

接著,我給筆記本安裝上一個無線路由裝置。根據地方的大小,我會設定比較大的天線來覆蓋儘可能廣的範圍。

最後,我執行我寫的一個程式,截獲從不知情的受害者電腦上傳送到無線路由裝置、再傳送到我的電腦上的資料包,然後再把這些資料傳送到真正的我所購買的網際網路上。萬事俱備,此時,我就像是一隻等待蒼蠅的蜘蛛。

最終,受害者出現。他們選擇了低價的無線接入點,點選了之前設計的網頁,並提交了他們的信用卡資訊,至此,他們就成了另一個身份竊賊的囊中之物了。

2.1.2   隱私的聚寶盆

很明顯,獲取信用卡資訊對身份竊賊來說是有用的,但是這類攻擊還有更多的用途。

還記得瀏覽器彈出的關於證書的安全警告嗎?之所以出現警告是因為那些加密的網路資料並不是在使用者認為的最終目的地進行解密的,而是在我的筆記本上進行解密的。換句話說,使用安全的、加密的連線是因為這種操作確實需要,只是用了我的證書來進行加密,當然我可以輕易地解密了。類似於中間人攻擊,我能夠對使用者的資料進行解密,記錄下任何資料,然後再重新加密並傳送給最終目的地。我可以記錄使用者名稱、密碼、電子郵件資訊以及其他的可能敏感資訊,而受害者卻認為這些資訊會安全地傳送給可信的最終接收方。

即使是一小部分個人網路資料都可能會導致一次危害巨大的身份攻擊。舉個例子,比如我只得到了你的電子郵件賬號,現在我就能夠瀏覽所有你接收到的電子郵件資訊。想想那些所有通過電子郵件來獲得的令人瘋狂的資訊吧。

如果你不用基於Web的電子郵件服務,那麼你可能會認為在你的電子郵件賬號和網頁賬號之間存在一個安全的屏障。但是,大多數網站都提供了“忘記密碼”的選項。只需要提供你的email地址,他們就會把密碼發給你。通過在一個人的足夠長的郵件資訊中查詢洩露祕密的字串,通常能夠得到任何東西的使用者名稱和密碼,包括網銀賬號。

一個高水平的身份竊賊明白通向王國之路有很多。有時需要從幾個不同的源來收集資料。像解決一個謎語一樣,你得到的每一份資料都能夠用來獲取另一份資料。在某些測試中,我也會佈置一個什麼頁面也沒有的無線接入點。此時,我暫時放棄了嗅探使用者的信用卡資訊的機會,但卻吸引了更多的使用者,他們認為這個接入點更加安全,因為他們不需要提供諸如信用卡資訊之類的敏感資訊。這種測試的唯一目的就是記錄下都有哪些資料流過。幾個小時裡我就記錄到了從使用者名稱和密碼到線上購物資訊,如姓名、地址和信用卡資訊等。

通常,住在公寓裡的人都希望不用自己購買網際網路接入服務就能訪問網路,這時他們就會連線到發現的開放的無線接入裝置,而且認為這可能是鄰居的接入點。他們認為這是免費的午餐,實際上他們每天都被身份竊賊所欺騙,身份竊賊佈設這些接入點的目的就是為了欺騙別人。

正因為無線接入點如此普遍並且已成為日常景觀的一部分,所以大多數人都沒有想這些無線接入點從哪來。在購物商場裡,你會相當肯定地認為從一家珠寶店裡買的一塊看起來不錯的手錶是沒有問題。但是,如果你正在街上開著車,看到一個在他的車外叫賣手錶的人,你可能就不會做出同樣的判斷了。這很容易看出兩者之間的區別,知道什麼看起來安全,哪些又看起來像一個陷阱。但是對於無線網路,你根本不知道是誰在提供。即使名稱叫做T-Mobile而且登入頁面也很像真的T- Mobile登入頁面,但你又怎樣知道這個特殊的頁面真的是由T-Mobile運營的呢?任何能夠部署無線接入點的人都可以隨意設定訪問頁面。

2.1.3   Web安全的基本缺陷:不要相信可信系統

我的攻擊之所以能成功的主要原因之一在於使用者和伺服器對安全證書的處理都存在問題。大多數人在瀏覽網際網路時都不太在意安全警告。這主要有兩個原因。

一方面,一些人根本不明白這些警告的意思。我想用我父母的例子來說明。他們和世界上其他到達退休年齡的老年人一樣,他們是聰明的人,非常樂於接受網際網路這一新鮮事物。但是,他們從沒有接受過關於網際網路及其風險的專業訓練,也沒有在有專門的工程師負責教會員工的公司裡工作。他們只是自己體驗整個網際網路,也只有一般的能夠應付線上支付和檢視股票證券資訊的知識。類似於數字證書這樣的東西對他們來講就像是質子加速器對他們的意義一樣。

另一方面,我發現也有一些精通技術的人不但懂得數字證書,還了解中間人攻擊。有人認為這類人從不會中這樣的陷阱,但恰恰相反,即使是這些人也很容易上當受騙而成為受害者。與我什麼都不懂的父母所不同的是,這些專家受騙的原因是他們太瞭解這些知識了,以至於能夠為自己失誤做出合理的解釋。

例如,當安全警告跳出來時,他們首先認為是這因為WiFly網站的管理員沒有更新已過期的證書而導致的。或者他們認為由於這個網站是由咖啡館或賓館提供的,而配置這個網站的人沒有經過良好的技術訓練,所以沒有正確地配置網站的證書。除此之外,在企業內網中你也會經常碰到證書過期的情況,而這時公司的資訊科技人員會告訴員工只要忽略安全警告,然後繼續使用網站就可以了。這類事件讓普通使用者認為證書是不重要的,而那些明白證書重要性的高階使用者則對他們沒有關注的地方一點都不敏感。

在完成攻擊之後,我和受害者交談時,受害者對他們的行為的普遍答案都是根本就沒有關注所有彈出來的安全警告。他們大多數似乎都是被作業系統搞煩了,因為有些作業系統每天都會給你提示許多的安全警告(最糟的是微軟的Vista作業系統),這使得安全警告變成了白色噪音。

2.1.4   建立無線信任

儘管使用無線接入存在風險,但它們顯然又是非常方便的,而且我也不建議所有人都停止使用它們。人們需要的是在不降低使用頻率的前提下,找出減少風險的方法。

使用者進行自我防範的最有效的辦法是多注意安全警告。如果你在使用無線接入服務的時候,收到了關於安全證書存在問題的警告,那麼你需要立即停止操作。雖然這也有可能是因為某些網站管理員的操作錯誤或者是沒有更新證書所導致的,但繼續操作下去的風險仍然非常大。

當然,這也是要求企業對證書進行良好管理的理由之一。數字證書是企業能夠讓終端使用者對網站的安全持有信心的少數保障之一。如果連證書都沒有維護好,那麼很容易導致別人對其他方面的安全產生懷疑。

如果某個要求輸入信用卡賬號,此時你可以採用一種比較簡單的方法來驗證這個網站合法性,即提交一個假的信用卡賬號。如果這個網站是合法的,那麼它會檢查信用卡賬號並且告訴你交易失敗。如果是一個惡意的網站,那麼它不會作檢查,無論你輸入什麼它都接受。這種方法並不保證一定有效,但有總比沒有好。

最後一個建議是儘量不要使用公用的接入點來進行個人交易。咖啡館也許並不是最好的登入並檢查你的銀行賬號收支的場所。在機場登入並進行股票交易可能會受到一些不好的影響。作為一個經常出差的旅行者,我自己也知道有些時候你別無選擇,並且可能也擺脫不了使用你所找到的無線接入服務來傳輸個人資訊的情形。如果發生這種情況,而且也稍微注意到你輸入了敏感的資訊,那麼一旦你回到了一個可信的地方,就要立即修改剛才使用無線接入服務時的登入賬號。當然,這也不是說你已經是一名受害者了,但這麼做沒有什麼壞處。

2.1.5   採用可靠的解決方案

雖然時刻注意你的個人資訊保安確實可以起到一定的作用,但卻不能真正消除這類攻擊所帶來的危險。為實現這一目標,業界需要解決信任關係。當我開啟無線接入軟體並搜尋可用的無線接入點時,我需要確信一個叫做“T-Mobile”的無線路由確實是屬於T-Mobile公司的。

要做到這一點,接入點和客戶端之間必須能夠交換可以對兩者進行鑑別的核查資訊。雖然在不同的系統中協調實現這種相互信任比較困難,但這種技術本身確實非常容易,而且已經出現很多年了。用於網站的證書技術同樣也可以用於無線接入裝置。

這種解決方案的工作流程大致是這樣的。使用者首先開啟無線客戶端並收到了一份可用的無線接入點列表。然後客戶端會檢查對應於每臺裝置的數字證書。每個證書都包含顯示出來的名字、公司名稱、硬體識別符號以及簽發證書的認證機構。由於是無線客戶端列出這些裝置的,所以能夠指明他們是否合法(見圖2-1)。

有許多建立認證中心(Certificate Authority)的方法,我所想象的最容易的辦法是採用和Web認證相同的認證機制。使用一套已經建立起來的機制會讓這個特殊領域的開發變得更加容易,而且利用已經部署的基礎設施可減少大量的重複開發。

圖2-1   假設經過認證的無線路由

我也意識到有些惡意的無線路由可能會使用偽造的證書,而且一些使用者可能從未注意到合法的和非法的接入點之間的區別。但是當對人們進行這種解決方案的培訓越來越多以及客戶端軟體會盡可能正確地指引人們時,這類攻擊的風險性將大為降低。

2.2   無線也瘋狂

在描繪了前沿的無線攻擊技術以及如何進行相應的防範之後,我們再回過頭來討論眾所周知的Wi-Fi安全問題以及使其成為日常威脅的社會條件。

習慣於以乙太網技術為基礎的區域網網路使用者和管理員很難理解無線的相對不可控性。區域網使用的是非常不安全的協議(嗅探和篡改、系統偽裝和實施拒絕服務攻擊都是很常見的),但是有線電纜的物理限制效能夠緩解一些安全問題,你不可能在網線內部部署一個惡意的系統。而無線技術故意去掉了我們習以為常的物理安全層,使得網路流量會洩露出去,甚至能夠跨域有形的圍牆和圍欄之類的物理界限。

如果我在本章開始提到的,管理員(假設他們使用部署任何安全措施時都足夠細緻)一開始是採用WEP來保證接入點的安全。WEP的主要問題是黑客能夠很容易地嗅探到在空氣中傳輸的資料包,並且能夠提取金鑰進行解密。甚至初級黑客都能夠藉助於一些工具來實施這種攻擊。

後來又引進了WPA技術來解決WEP問題,即解決從嗅探到的資料包中快速提取金鑰的漏洞。這時,無線工程師們都很高興。

當然,喜悅是短暫的,又有人發現仍然能夠提取用於WPA預共享金鑰(Pre-Shared Key,PSK)的密碼短語。WPA協議首先傳輸的是交換包,即所謂的握手機制,它能夠驗證客戶端和接入點。由於資料是加密的,所以即便是在無線路由附近對傳輸的資料包進行監控並記錄整個握手過程,也沒有人能夠推匯出金鑰進而破壞整個系統。但是,黑客可以記錄下這些資料,然後採用暴力破譯密碼的方法來進行攻擊,即從一張單詞列表中對每個單詞進行窮舉,以找到和記錄資料相匹配的。

黑客要成功地實施這種攻擊,需要滿足幾個條件。首先,黑客要必須能夠從接入點接收到無線訊號。我見過很多公司把這作為主要的防禦點。有些時候,考慮到在牆外接收到的無線訊號會很弱,管理員會把接入點安裝到非常隱蔽的地方。確實,這樣做的話,普通膝上型電腦中的無線裝置很難再捕捉到無線訊號了,但是對於那些堅定的黑客來說,他們往往都擁有非常強大的天線以接收任何弱小的訊號源。

其次,黑客需要從客戶端和無線接入點開始會話時就進行監控。監控會話建立後的資料包沒有什麼用處。雖然聽起來這個要求大大減少了黑客獲取初始握手資訊的機會,但實際情況是這根本算不上什麼。事實證明,已經出現了大量的能夠終止無線會話的工具,它們能夠迷惑客戶端,併傳送一條終止會話的命令。一旦連線斷開,客戶端一般會嘗試重新連線。這時黑客就能夠對資料包進行監控並獲取初始握手資訊了。

最後一條是密碼短語本身的強度。在我的測試中已經出現了像tootired和bicycles這樣簡單的密碼。密碼破譯軟體在幾分鐘之內就能夠找到這些密碼。一個WPA密碼短語可以由8到63個字元組成,但是我發現大多數人一般都只用8個或者9個字元。當然,最好的密碼短語是63個字元,它可以混合字母、數字和標點符號。那麼為什麼沒有一個管理員這麼做呢?

最主要的原因是不管你為接入點設定了什麼樣的密碼短語,每臺電腦在連線的時候都需要輸入這一密碼。對於一個真正瘋狂的密碼的支援成本將成為一個噩夢,因為人們會輸錯字元或完全忘記了密碼。所以,取而代之的是,管理員走向了另一個極端,即使用盡可能簡單的密碼。雖然沒有完美的解決方法,但我建議可以採取皆大歡喜的折中方法。比如“This1was900yearsold!!!”這樣的密碼既便於記憶,又比標準字典中的單詞更難破譯。

2.2.1   無線側通道

擔心無線接入點被偽造是一回事,但是負責保證網路安全的系統管理員還有更多方面需要考慮。

一些企業很久之前就認為瀏覽網際網路網站對他們的網路造成了很大的風險,因此完全遮蔽了網路瀏覽。過去這種辦法看起來很有效,但是最近隨著開放的無線接入點遍地開花,威脅再次顯露出來。許多使用者發現他們可以在工作的時候帶著一個USB無線裝置或者使用膝上型電腦中的無線裝置來登入到臨近公司的無線網路。

隨著大約五年前“戰爭粉跡”(warchalking)(譯註1)的出現,開始流行黑客們使用別人的無線接入服務。這個術語是指黑客在有開放的無線網路的場所留下來的標記。在有黑客看到這種標記時,就知道能夠使用筆記本來連線這裡的無線網路了。

隨著無線技術越來越流行,即使是一些沒有什麼技術的使用者也開始使用這種方法了。這時管理員所面臨的問題就變成了這些使用者根本就不清楚他們使用新發現的接入點會給自己公司的網路所帶來的潛在的危險。

任何繞過自己所在公司的安全基礎設施,利用其他裝置來訪問網際網路的使用者,都把自己的安全交給其他公司所實現的安全機制來保證。然而,從無線網路是任何人都可以連線的這一點就可以看出這家公司的安全措施並不好。可能已經被本公司的入口所遮蔽的病毒和蠕蟲此時就有了新的傳播途徑,它們會從這個無線接入點進入企業網路。

一些使用者把他們的膝上型電腦或臺式電腦通過有線網路連線到他們公司的本地區域網路,同時又通過無線連線到其他公司的網路。這種設計會在兩個網路之間建立一個潛在的通道,它能夠直接破壞更為安全的企業的整個內部網路,使大部分安全預防措施都形同虛設。

黑客們也同樣知道企業員工是如何利用開放的無線連線來訪問網際網路的。出於這個原因,黑客就會在一些敏感的場所附近部署偽造的無線接入點來試圖獲得企業資訊。

他們的攻擊相當簡單。首先,在某個建築物中設定一個能夠訪問網際網路的無線接入點。大多數情況下,這相當容易實施。因為許多小公司沒有對網路進行真正的控制,而且也不知道員工什麼時候安裝了這種裝置。接著,使用修改的天線來增強無線訊號的強度使之覆蓋儘可能廣的範圍。然後,寫一個小程式用來監控無線裝置上的所有活動。一旦有活動發生,就會通知黑客。此時,黑客就會著手攻擊那些連線到無線網路上的電腦。如果某臺電腦有漏洞,黑客仍會讓它繼續使用網際網路,同時卻靜悄悄地獲取這臺機器的訪問許可權。通常情況下,間諜軟體和木馬就會登入到這些使用者的電腦上了。

一旦系統被攻陷,那麼黑客就能夠獲取任何型別的資訊。既連線到公司的內部網路,又連線到黑客的接入點的系統簡直就是一塊金子。雖然在初次訪問使用者網路的時候會出現一些路由問題,但即便是最低層次的黑客都能夠在幾分鐘內解決這一問題。

那麼企業的內部網路監控此時又會如何呢?取決於所採取的安全機制,他們可能從不知道網路中正在發生些什麼,也許直到破壞已經存在許久之後才會發現。

2.2.2   無線接入點自身如何

如果我提到TJX,你會想到什麼?如果你經常關注過去兩年的主流新聞,你可能首先想到的是這家公司曾被盜過許多信用卡賬號。這件事在2006年12月才被人們發現,黑客攻入了他們的網路並不斷地下載了至少四千五百七十萬個信用卡賬號,而且據推測這個資料更接近於兩億(TJX事件在第3章中有詳細介紹,作者是 Elizabeth A. Nichols)。專家預測TJX公司需要花費1億美元左右才能彌補此事帶來的後遺症,在這個時候,越來越多的證據表明,更多的公司每天都面臨著同樣的安全缺陷:未加保護的無線接入點。

在2007年11月,Motorola公司提供安全和無線網路監控服務的AirDefense部門釋出了一項關於全國範圍內的3000個商場的無線裝置安全研究報告。據該報告指出,25%的無線裝置根本沒有使用任何加密措施,剩下的1/4仍然還在使用老的、具有安全漏洞的WEP連線協議。

在TJX案例被廣泛宣傳一年之後仍然還有如此之多的安全隱患,這是非常可怕的。1/4的商場比TJX的安全措施更薄弱,剩下的1/4的安全措施和TJX公司的一樣容易繞過。

決定使用無線技術所帶來的方便的企業除了清楚地知道它所具有的風險,還要不懈地做好無線裝置的安全防護措施。TJX在初次部署無線路由的時候,也實施了當時存在的安全機制。但遺憾的是,這種安全機制很快就過時了。假如這家公司稍微花此時間來更新部署更為安全的WPA機制,很可能我們大多數人都不會聽說過 TJX。

2.3   無線仍然是未來

從酒店和機場到企業辦公大樓和超市,無線接入的需求仍然在持續增長。和網際網路一樣,更多的安全風險將會暴露出來。企業、管理員,甚至是普通使用者對這些安全威脅的重視仍然是個問題。使用開放的無線接入點是有風險的,使用者需要明白這一點並做出相應的舉措。除此之外,如果沒有做好無線接入點的安全保護將會導致更加嚴重的危害,這正如TJX公司的案例。如果你打算採用新技術,那麼必須考慮到所有的後果。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/16502878/viewspace-696818/,如需轉載,請註明出處,否則將追究法律責任。

相關文章