隨身wifi的網絡危機
無線技術給我們帶來了便利的同時也伴隨著一定的風險,家庭多終端上網,企業無線網絡接入。像360隨身wifi、百度wifi、wifi萬能鑰匙之類的產品,dSploit、fing之類的安卓手機端安全審計工具,企業或者個人可能會面臨一些安全問題。
企業面臨的風險:
企業為了保證內網的安全,往往會劃分一定層次的安全邊界,限制非法接入,甚至內外網隔離。在過去一個攻擊者想要接入到企業內網,有很大的難度。但有了類似360隨身wifi這類隨插隨用的無線設備之類,我們可以設想以下情景:
1、一個潛進企業內部的惡意人員(或者內部員工)隨手把隨身wifi插到公司內網電腦
2、惡意人員(或者內部員工)趁著上下班或者吃飯時間到財務辦公室晃悠一下,把隨身wifi插到財務辦公vlan
3、第三方人員(或者內部員工)在進出機房的時候把隨身wifi插到機房機器上面
可能有人會說,隨身wifi信號發射距離短,攻擊者無法遠距離操作,但淘寶大把wifi信號增強器賣,而且效果真的挺好。
可能有人會說,企業做了準入控制,限制USB口的接入,但我接觸到有能力做準入控制的企業很少,做得好的更少(往往做了一些,漏了很多),而且機房機器肯定沒做準入控制。
之前也有內網員工私接無線路由的情況,無線路由接入需要簡單配置,個頭又大,還比較好控制。
之前也遇到員工私接3G網卡的情況,但我認為私接3G網卡的危害還是相對小的,需要通過3G網卡進行入侵難度很大吧,除非員工用3G網卡瀏覽惡意網站或者下載惡意軟件,或者員工電腦本來已成肉雞。
個人面臨的風險:
現在可以說每家每戶都會買一個無線路由器供智能手機、pad、筆記本電腦、電視盒子等設備用,前段時間接觸wifi萬能鑰匙這個軟件,驚呼太爽了,在廣州到處都能搜到共享出來的無線key,隨時都能接入餐廳、公交站、書店、鄰居等的無線網絡。以前想要蹭網得用專業工具破解個半天,而且對wpa加密的無線AP基本很雞肋,現在安裝個軟件一查就能撿到鑰匙。在覺得很贊的同時為其帶來的安全問題感到擔憂,你可能會面臨如下問題:
1、被蹭網,網絡變得很卡
2、被竊聽,傳輸的數據都被別人看到,明文傳輸的賬號密碼可被直接抓取
3、被釣魚,攻擊者可以很容易的劫持你訪問的網絡進行釣魚攻擊
其中安卓手機工具dSploit、fing之類的就可以完成上面的攻擊。
之前遇到wpa加密無線網絡破解的時候,由于無法忍受wpa認證跑包時間超長而放棄,但是最近發現淘寶有人幫別人跑wpa認證包,幾塊錢就可以跑一個認證包,由此可見你的無線網絡是多么的不安全。
