|
京華時(shí)報(bào)記者古曉宇 近日,,被稱為“網(wǎng)絡(luò)核彈”的OpenSSL安全漏洞讓網(wǎng)民憂心忡忡,。人們發(fā)現(xiàn),原來(lái)自己的個(gè)人網(wǎng)上信息安全如此弱不禁風(fēng),。而不久之前,,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心公布出的路由器后門(mén)事件,也是個(gè)人網(wǎng)絡(luò)安全的一大威脅,。不過(guò),,與OpenSSL危機(jī)個(gè)人用戶只能束手無(wú)策相比,在路由器安全上,,用戶可以更多地主動(dòng)防范,。 □事件 路由器后門(mén)引網(wǎng)友擔(dān)憂 不久前,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的“2013年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述”中,,一段關(guān)于路由器安全的表述,,引爆了關(guān)于路由器這個(gè)如今家庭中幾乎不可或缺的產(chǎn)品的安全性話題,。 該報(bào)告稱,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)分析驗(yàn)證,,D-LINK,、 Cisco、Linksys,、Netgear,、Tenda等多家廠商的路由器產(chǎn)品存在后門(mén),黑客可由此直接控制路由器,,進(jìn)一步發(fā)起域名系統(tǒng)(DNS)劫持,、竊取信息、網(wǎng)絡(luò)釣魚(yú)等攻擊,,直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲(chǔ)安全,,使得相關(guān)產(chǎn)品變成隨時(shí)可被引爆的安全“地雷”。以D-LINK部分路由器產(chǎn)品為例,,攻擊者利用后門(mén),,可取得路由器的完全控制權(quán),CNVD分析發(fā)現(xiàn),,受該后門(mén)影響的D-LINK路由器在互聯(lián)網(wǎng)上對(duì)應(yīng)的IP地址至少有1.2萬(wàn)個(gè),,影響大量用戶。 廠商留后門(mén)為方便調(diào)試 軟件中所說(shuō)的“后門(mén)”,,一般指開(kāi)發(fā)軟件的程序員為了某種目的,,在軟件中保留的不為外人知的程序。通過(guò)后門(mén),,可以繞過(guò)軟件的安全機(jī)制直接獲得控制權(quán)限,。一位軟件行業(yè)人士如此通俗地解釋“后門(mén)”:就像酒店中每位客人的鑰匙打不開(kāi)其他人的房間,,但酒店服務(wù)員會(huì)有一把萬(wàn)能鑰匙,,能打開(kāi)每一個(gè)房間以便進(jìn)行打掃。平時(shí)萬(wàn)能鑰匙掌握在酒店手中,,住店客人的財(cái)物是安全的,,可一旦萬(wàn)能鑰匙被竊賊掌握,那每個(gè)住店客人的財(cái)物都可能被席卷一空,。 “極路由”創(chuàng)始人王楚云表示,,一些路由器廠商確實(shí)會(huì)在產(chǎn)品上留下后門(mén),主要目的是為了更方便地對(duì)產(chǎn)品進(jìn)行調(diào)試,,并沒(méi)有什么不良的用意,。但他同時(shí)承認(rèn),“后門(mén)”的存在確實(shí)讓路由器變得更不安全,,一旦黑客發(fā)現(xiàn)路由器的“后門(mén)”所在,,就可以實(shí)現(xiàn)對(duì)路由器的遠(yuǎn)程控制,用戶的隱私也就難保了。 □內(nèi)幕 家用路由器有多重風(fēng)險(xiǎn) 有“后門(mén)”的路由器有隱患,,沒(méi)“后門(mén)”的路由器同樣不安全,。 王楚云介紹,除了廠家有意識(shí)留下的“后門(mén)”,,還有一類是開(kāi)發(fā)者在寫(xiě)代碼時(shí)留下的bug,,這和“后門(mén)”一樣都屬于系統(tǒng)漏洞,同樣可能被黑客發(fā)現(xiàn)并利用,。事實(shí)上,,除了路由器之外,任何網(wǎng)絡(luò)設(shè)備,,都不可避免地存在或多或少的漏洞,。用一句設(shè)備商人士的話說(shuō),“只有沒(méi)被生產(chǎn)出來(lái)的設(shè)備不存在漏洞”,。 對(duì)于這一類的系統(tǒng)漏洞,,解決的方式就是定期進(jìn)行系統(tǒng)升級(jí),為已經(jīng)發(fā)現(xiàn)的漏洞打上補(bǔ)丁,。當(dāng)然這不是一個(gè)一勞永逸的過(guò)程,,“網(wǎng)絡(luò)安全就是一個(gè)發(fā)現(xiàn)漏洞與打補(bǔ)丁交替進(jìn)行的過(guò)程”,360公司副總裁曲曉東說(shuō),。 沒(méi)有“后門(mén)”,,定期升級(jí)彌補(bǔ)漏洞的路由器是否就是安全的呢?答案同樣遺憾,?!昂诳蛡兛梢酝ㄟ^(guò)誘騙用戶登錄掛木馬網(wǎng)站,以及直接破解密碼等方式來(lái)實(shí)現(xiàn)對(duì)路由器的入侵,?!蓖醭普f(shuō)。 網(wǎng)絡(luò)名人,、邪紅色信息安全組織創(chuàng)始人Evi1m0曾經(jīng)在網(wǎng)上以講故事的方式介紹了自己如何一步步破解了隔壁“女神”家的路由器,,從而掌握了“女神”大量個(gè)人信息的過(guò)程。盡管這個(gè)過(guò)程聽(tīng)起來(lái)很有神秘感,,但據(jù)王楚云介紹,,破解路由器并不是一種非常高深的技術(shù),甚至可以說(shuō)得上是簡(jiǎn)單,,國(guó)內(nèi)能做到這一點(diǎn)的大有人在,。Evi1m0本人也表示,他的做法主要是為了引起人們對(duì)路由器安全的重視,,“真正的高手是不屑于攻擊普通家用路由器的”,。 □探因 弱密碼容易成攻擊對(duì)象 盡管攻擊路由器的技術(shù)難度并不大,,但現(xiàn)實(shí)生活中,我們似乎不常遇到路由器被他人控制的情況,。 “一來(lái)這個(gè)過(guò)程很多用戶自己根本不會(huì)察覺(jué),,二來(lái)這種對(duì)路由器的攻擊需要和對(duì)方處在同一局域網(wǎng)下,很多人的鄰居并不是懂這種技術(shù)的黑客,?!盓vi1m0解釋道。 360安全專家石曉虹表示,,與黑客通過(guò)路由器后門(mén)或漏洞攻擊相比,,通過(guò)對(duì)“弱密碼”的攻擊,才是路由器面臨的最主要威脅,。據(jù)他介紹,,路由器有兩個(gè)重要的密碼,一個(gè)是WiFi密碼,,主要是為了防止他人蹭網(wǎng),,這個(gè)密碼的重要性很多人都知道;另一個(gè)是路由器管理密碼,,主要是對(duì)路由器上網(wǎng)賬號(hào),、WiFi密碼、DNS,、聯(lián)網(wǎng)設(shè)備進(jìn)行管理設(shè)置,,很多廠商都選擇“admin”這樣簡(jiǎn)單的單詞作為路由器管理的初始密碼,而很多用戶并不了解這個(gè)密碼的重要性,,往往對(duì)初始密碼不做任何改動(dòng),。 這種“弱密碼”路由器連接的電腦,只要訪問(wèn)一個(gè)帶有攻擊代碼的惡意網(wǎng)頁(yè),,路由器DNS就會(huì)自動(dòng)被篡改為黑客指定的DNS,,(DNS相當(dāng)于用戶訪問(wèn)網(wǎng)址的“導(dǎo)航儀”),這種情況下,,用戶電腦會(huì)出現(xiàn)上網(wǎng)變慢,、正常網(wǎng)站卻彈出色情廣告等情況,甚至訪問(wèn)網(wǎng)銀官方地址也可能實(shí)際打開(kāi)的卻是釣魚(yú)網(wǎng)站,。 對(duì)于這一威脅,路由器大廠騰達(dá)就在其官網(wǎng)上發(fā)布公告提醒用戶“我們強(qiáng)烈建議用戶:不使用廠商出廠默認(rèn)的管理員用戶名和密碼,,一定要對(duì)原始用戶名和密碼進(jìn)行修改”,。 □危害 隱私與個(gè)人信息被竊 再回到之前Evi1m0所講述的案例中,他總結(jié)了自己在破解隔壁“女神”路由器之后的收獲:獲得了女神的照片,,劫持了她的微博,、微信,、人人、QQ,、淘寶等所有登錄過(guò)的賬號(hào),,通過(guò)淘寶又獲取了她的手機(jī)號(hào)…… 試想一下,如果用戶的這些信息都被人一覽無(wú)余,,那就意味著他的主要個(gè)人信息,、與人交往的情況都被他人所掌握了,更有可能他的微博,、微信上會(huì)突然出現(xiàn)了完全不是自己發(fā)送的內(nèi)容,。 這還不是最嚴(yán)重的。王楚云表示,,路由器被非法掌握,,最大的危害是訪問(wèn)網(wǎng)頁(yè)可能被劫持到釣魚(yú)網(wǎng)站上?!爱?dāng)你登錄淘寶或者網(wǎng)銀時(shí),,卻被轉(zhuǎn)到了一個(gè)虛假網(wǎng)頁(yè)上,你所填寫(xiě)的個(gè)人信息,、密碼都會(huì)被人記錄下來(lái),,這時(shí)可能帶來(lái)的損失可就大了?!?/p> 360曾經(jīng)發(fā)布過(guò)的一份報(bào)告顯示,,從黑客攻擊者篡改DNS設(shè)置的目的上看,49.5%的篡改是為了向用戶推送色情網(wǎng)頁(yè)和游戲廣告,;28%的篡改是為了將淘寶等電商網(wǎng)站劫持到付費(fèi)推廣頁(yè)面,,從而騙取推廣傭金;還有22.5%的其他各類劫持,,如將正規(guī)網(wǎng)站的訪問(wèn)請(qǐng)求劫持到釣魚(yú)網(wǎng)站或木馬網(wǎng)站,。 從這一報(bào)告可以看出,黑客攻擊的主要商業(yè)目的,,還是推送廣告,,這一做法雖然令人厭煩,但好在并不會(huì)有太大的安全威脅,。但必須警惕的是,,雖然有人撬開(kāi)你家門(mén)鎖只為進(jìn)屋放幾張傳單,但你能確定自己家中的財(cái)物能一直安全嗎,? □分析 安全需求或帶來(lái)行業(yè)洗牌 據(jù)了解,,造成家用路由器安全性比較低的原因,除了技術(shù)上的,,很重要的一個(gè)原因還在于成本,。企業(yè)和國(guó)家機(jī)關(guān)所使用的路由設(shè)備,,對(duì)于安全性有著較高的要求,這樣的設(shè)備技術(shù)難度大,,成本高,,價(jià)格很昂貴,也更難被攻破,;但家庭使用的路由器,,一般家庭的主要需求是信號(hào)強(qiáng),價(jià)格低,,這也使得家用路由器廠商更關(guān)注成本控制,,安全性則不是主要考慮的因素。有業(yè)內(nèi)人士指出,,之前的路由器廠商,,如果家用產(chǎn)品在安全性上投入過(guò)多造成價(jià)格過(guò)高,反而在市場(chǎng)上缺乏競(jìng)爭(zhēng)力,。 這種情況很可能會(huì)發(fā)生變化,。“現(xiàn)在學(xué)習(xí)和掌握計(jì)算機(jī),、編程技術(shù)的門(mén)檻越來(lái)越低,,網(wǎng)絡(luò)高手越來(lái)越多,網(wǎng)絡(luò)面臨的安全威脅也越來(lái)越大,;同時(shí)人們使用社交網(wǎng)絡(luò),、網(wǎng)銀的習(xí)慣,也使得個(gè)人信息安全變得越來(lái)越重要,?!蓖醭普J(rèn)為,與前幾年不同,,網(wǎng)民們對(duì)于網(wǎng)絡(luò)安全的關(guān)注程度越來(lái)越高,,勢(shì)必對(duì)于路由器產(chǎn)品的安全性能要求也越來(lái)越高。 可以想見(jiàn),,隨著網(wǎng)絡(luò)安全事件不斷出現(xiàn)以及網(wǎng)民隱私保護(hù)意識(shí)的提升,,“安全”必將成為人們對(duì)于路由器的一個(gè)重要需求?;蛘咭粓?chǎng)新的行業(yè)洗牌即將到來(lái),。 □應(yīng)對(duì)措施 雖然說(shuō)再安全的路由器也難以擋住真正的黑客,但對(duì)于用戶來(lái)說(shuō),,采取一些必要的安全措施,,還是可以大大提高家里路由器的使用安全性,從而將自己面臨的風(fēng)險(xiǎn)降至最低,。綜合安全專家們的建議,,用戶在使用路由器時(shí)應(yīng)該注意以下幾點(diǎn): 1.家中WiFi的連接密碼要盡可能復(fù)雜一些,盡量使用10位以上的密碼,,最好是大小寫(xiě)字母,、數(shù)字、特殊符號(hào)的組合,,這樣可以讓純暴力破解變得很困難,。 2.修改路由器默認(rèn)的管理密碼,不要再使用“admin”這樣的弱密碼,,同時(shí)盡量設(shè)置得越復(fù)雜越好,。 3.WiFi以WPA/WPA2加密認(rèn)證方式設(shè)置密碼,并關(guān)閉路由器的WPS/QSS功能,,以免WiFi被他人蹭網(wǎng)后威脅整個(gè)家庭網(wǎng)絡(luò)的安全,。 4.常登錄路由后臺(tái)看看有沒(méi)有接入不認(rèn)識(shí)的設(shè)備,有的話過(guò)濾掉,。 5.及時(shí)對(duì)路由器的固件進(jìn)行升級(jí),,修復(fù)“后門(mén)”和漏洞。 6.移動(dòng)設(shè)備最好不要越獄不要ROOT,。 7.當(dāng)電腦安裝的殺毒軟件提示面臨攻擊劫持時(shí),,不要掉以輕心直接忽略。 |
|
|
