 动图:日晷原理(97KB) 没了手机,生活了无生趣,有手机没有网络,生不如死……当网络已经成为人们生活必不可分的一部分时,任何网络问题都可能对人们生活造成影响,尤其是漏洞足以让你无线生活完全暴露在他人眼前时:个人信息、账户密码、网络行为……你拿什么守住你的个人隐私? 服役13年的WiFi加密协议已被攻破 无线网络加密已经是普通得不能再普通的应用了,而为了密码的安全,人们除使用类似数字+字母+符号的组合来完成“密钥”外,更会在加密设定的时候选择相应的加密协议。 WPA2(WPA第二版)是Wi-Fi联盟对采用 IEEE 802.11i安全增强功能的产品的认证计划,它用CCMP取代了WPA的MIC、AES取代了WPA的TKIP。同样的因为算法本身几乎无懈可击,所以也只能采用暴力破解和字典法来破解,一度被认为是100%安全的加密模式。  但是现在,它已经沦陷了。 据称,WPA2安全加密协议已经被一种成为“密钥重装攻击”的技术攻陷,并将公布具体的验证攻击流程和原理。利用这些漏洞的影响包括解密、数据包重播、TCP连接劫持、HTTP内容注入等。换句话来说,只要你的设备连上了WiFi,那都有可能被攻击! 被攻击有怎样的后果? 被攻击就被攻击,要是不痛不痒的和我有什么关系呢?要是一般的WiFi漏洞,恐怕还真没啥关系,可WPA2这药痴的问题的确大发了。 利用WPA2已经曝光的漏洞,只要在家或办公室的WiFi物理覆盖范围内,黑客可以监听你的网络活动、拦截不安全或未加密的数据流 --比如未启用安全超文本传输协议网站的密码、或者家用安防摄像头与云端之间的视频流。  黑客辛苦一点,完全可以在大把的数据中找到你的银行账号和密码,而简单一些,也可以通过家庭摄像头遥控你的一举一动,这样的威胁,对于任何一个小伙伴而言,都不是件开心的事儿吧! 哪些设备可能被攻击? 既然是加密出的问题,那更换无线路由器或者上网方式是否就可以摆脱被攻击的风险呢?早上,已经有小伙伴在QQ群里提出使用4G上网来避开攻击了,可这真的可行吗?  好吧,小狮子觉得或许有一定作用,但面对WPA2如此大规模的漏洞,你确定这样就能安全呢?理论上说,任何连接到Wi-Fi网络的设备都可能受到影响。尤其是有研究人员指出,这个安全漏洞对一个特定版本的Linux而言是“灾难性的”,对于运行Android 6.0及更高版本的设备来说,也是“极具破坏性”的。根据谷歌的数据,有一半的安卓设备正在运行此版本。 而可以想象到的是,大型企业、机场铁路等公共WiFi使用较为频繁的环境,绝对会成为重灾区,而家庭WiFi在黑客技术逐渐泄露后,恐怕也会被不少好奇心太盛的人盯上。 如何防护?最直接有效的是升级固件 黑客都公布WPA2软肋了,这安全厂商和终端设备厂商自然不会坐视不理,而最简单有效的办法当然是升级固件,从而一劳永逸地解决问题。而且需要注意的是,WPA2是一种加密协议,所以路由器和终端设备都有可能受到影响,于是乎,这样的更新应该是双向的,全面的,而我们要给大家参数的解决方案,自然也是需要全面覆盖的-- Windows系统PC:Windows依旧是个人PC用户数量最多的操作系统,面对WPA2如此大的漏洞,微软这样的巨头同样小心对待,而在WPA2破解事件开始发酵的这段时间内,微软发布了WPA2无线网络加密协议漏洞的详情(CVE-2017-13080)并表示会很快推出一个修复补丁,启用了自动更新的 Windows用户应该已处于受保护的状态。  一名微软新闻发言人向外媒 Neowin递去如下声明:我司已于 10月 10日发布安全更新,启用了 Windows Update并安装了补丁的客户会自动受到保护。 可有一个问题是,要是用户使用的是Windows 7或者其它非Windows10系统,那恐怕得裸奔一段时间了…… iOS 11.1最新测试版抢先修复:WPA2保密协议被攻破,导致路由器、智能手机、PC等设备统统遭殃,目前唯一能解决的就是通过更新安全补丁,而苹果已经在今天早上的更新中做了这件事。让人比较意外的是,苹果得知这个漏洞后,就在今天发布的iOS 11.1、watchOS 4.1和tvOS 11.1的新测试版中,修复了WPA2 WiFi安全漏洞。  如此快速的更新系统,这让不少阴谋论者猜测,这苹果是不是早就准备好了,才能在如此短的时间内完成系统补丁并更新。 大部分WiFi产品供应商提供更新的信息: ■ArchLinux:Arch推出了wpa_supplicant和hostapd的更新。 ■Amazon:马逊对此回应道:“我们正在找寻涉及此漏洞的设备,并在必要的时候发布补丁”。 ■ArubaNetworks:已经发布补丁信息,可在官网查阅并下载。 ■Belkin,Linksys,and Wemo:BelkinLinksys和 Wemo都已经知晓了 WPA漏洞,我们的安全团队正在调查更多的细节,我们将会不久提出相应建议。我们一向将用户放在第一位,并且会在我们的安全建议页面上更新相应教程来告知用户如何更新产品。 ■Cisco:思科已经发布了一份报告,讨论产品漏洞和易受攻击的产品列表。思科表示,正在开发 IOS和驱动的更新,马上就可以发布,建议思科的产品用户经常检查报告页面,可以第一时间安装更新。 ■Debian:Debian发布了一份报告,包含了对于 Krack漏洞的更新情况。 Dell:戴尔发言人表示,他们正在积极研究该漏洞,并在接下来的几天时间里给出建议。 ■Google:我们已经意识到这个问题,并会在接下来的几周内推出安全补丁。 ■Intel:Intel也已经发布了相应报告,里面包含驱动更新的相关信息。 ■TP-Link:我们的工程师正在全力解决这个问题,目前我们还没有收到关于 TP-Link产品受到影响的信息,我们会持续在官网上更新最新进展。  总体而言,不乏有微软、苹果这样积极解决问题封堵漏洞的,但大部分发声也仅仅是表示会在未来几周时间里完成更新或推出补丁。公司网络自然有网管帮忙,而个人家庭网络,恐怕更多需要用户自己多注意路由器固件的升级提示。 至于如何进入,现在的路由器已经做得相当“傻瓜化”,进入路由器后台界面后,点击“固件升级”按钮,人家通常就会自动寻找新的固件并提示用于更新了,而除了点击“确定”按钮,用户也不需要太多其他的操作。 其它守护网络安全的措施 除了被动等待系统、固件的更新,用户还可以自己想办法,努力守护自己家庭网络的安全吗?答案是肯定的,只要稍微努力点、用点心,其实家庭无线安全很好守护的!  既然是家庭网络,那必然已经具备较高的私密性了,那“隐藏SSID”就有必要了,反正自己的WiFi名称自己肯定记得,隐藏了,不让别有用心者找到,绝对是靠谱的办法! 而且已经想明白了家庭WiFi网络的私密性,那直接绑定设备的MAC地址吧,反正家里上网的也就PC、智能手机、平板电脑、电视等设备,通常路由器也能满足数十台设备的MAC地址绑定,基本上不会有啥问题的。 是不是接下来想问MAC地址在哪儿去找?小狮子就好人做到底了,直接在“命令提示符”界面输入“ipconfig/all”,就可以查看PC的MAC地址了,而智能手机在网络管理/高级项界面中,也可以查看MAC地址的。  相对麻烦的其实是智能电视和电视盒子,他们的MAC地址通常在系统信息或者网络信息界面,需要用户仔细查阅。当然,锁定MAC地址过滤的确有些“大动作了”,通常计算好家庭访问无线网络的设备数量,然后锁定连接路由器的设备数量即可。 网络安全企业的四点建议 面对影响如此大、波及如此广的漏洞,网络安全公司也给出了自己的建议-- 1.及时更新无线路由器、手机,智能硬件等所有使用WPA2无线认证客户端的软件版本。(有补丁的前提下) 2.有条件的企业及个人请合理部署WIPS,及时监测合法WiFi区域内的恶意钓鱼WiFi,并加以阻断干扰,使其恶意WiFi无法正常工作。(WIPS的重要性) 3.无线通信连接使用VPN加密隧道及强制SSL规避流量劫持与中间人攻击造成的信息泄漏。 4.国标WAPI无线认证暂不受该漏洞影响。 ????????小狮子最喜欢的鸡腿分割线???????? |
|
|
