这是最近网络上,一知半解的X点WiFi公司,开发不成功WiFi广告软件,所以一直在抹黑无线天,误导用户。我们有义务从黑客攻防角度,告诉大家正确认识WiFi安全真相。
一、ARP攻防
在局域网中,经过伪造的ARP广播包,黑客B伪装告诉A、C (受害者) 一个假地址,使得C在发送给A 的数据包都被黑客截取偷听,而A, C 浑然不知。
ARP攻击非常古老,现在各路由器都很好的防护办法。最有效的方法是在无线路由器里面开启AP隔离,这样ARP攻击就没办法了,建议公共场合都如此。
但是路由器、手机都开启了ARP防火墙,电脑ARP绑定了,就能防御黑客了吗?就安全了吗?那就大错特错了。先普及一下wifi嗅探知识:
二、空气中WiFi嗅探
Wifi无线数据包都在空气里面传播,用的是802.11b/g/n/ac协议,在覆盖范围内任何无线网卡都可以收到。换句话:任何黑客拿一个特殊网卡,就可以通过空气截获全部数据包,根本不需要ARP欺骗。如下图:
再来一张图。
看看上面的WPA密钥和无线管控是干什么的?大伙自己猜测吧。一定没见过上图吧。
三、黑客抓包后,能干什么?
黑客主要是攻击破坏、无线注入(窃听密码、钓鱼网站)、进一步控制网络设备拿到想要的信息。Linux下用普通网卡就可以,Windows下也可以用高级的AirPcap网卡(比iPhone 6还贵,大坑!无线天团队也仅仅只有1个用于技术研究)。
1、攻击破坏
简单说来,就是黑客想踢你下WiFi下线,手机就下线了,无法防御。但特殊无线信号分析仪,可以锁定2米内,谁在攻击。
换句话,如果您是黑客,如果你发现WiFi人数太多,你可以把别人都踢了,自己独享带宽。
无线天团队不会教你如何攻击,这是违法的,小朋友千万别模仿,喜欢技术研究的,具体自个儿百度搜索吧。
2、窃听密码
但大多黑客都是窃听密码为主,PJ密码很难,大多都是钓鱼:
一般说来,手机上大公司的APP软件(微信、QQ、支付宝等)都是严格加密的,不能窃听密码,但账号可能被窃听。但网页登录有很严重的密码泄露风险!
(1)比如公共WiFi如果系统管理员登录了路由器,一旦输入密码,管理密码就可能被窃听了,因为路由器登录基本是明文的,没加密。
(2)黑客最厉害的802.11无线注入攻击,直接在空气里面拦截数据,并伪造假数据发送,可以伪造钓鱼网站(如伪造QQ登录、甚至网上银行):
如果你在这里老实输入自己的QQ号和密码,就冒傻气了,谁也不能辨别是腾讯的网站,即使上面的域名为qq.com,也可能会被盗。
无线注入攻击是很恐怖的,不能防御,大伙有兴趣的去百度看Airodump-ng、aireplay-ng、AirPcap源码,小朋友如果学会了,千万不能做违法犯罪的事情。
结论:公共WiFi最好不要输入自己的密码,尤其用网页浏览器,绝对不能输入任何密码,切记。黑客不需要建立钓鱼WiFi,可以直接管控公共WiFi,做虚假页面,诱导用户输入帐户和密码。
四、黑客非常容易解开公共加密WiFi
有人认为,在公共场合使用WPA2加密WiFi,黑客就无法窃听密码和无线注入攻击了,那又大错特错了。
首先:WPA2加密是可以强加密通信,理论上很难PJ,但是由于公共场合的密码大家都知道,黑客有了密码,嗅探到了手机连接wifi时的四次握手包,就能拿到密钥解密了(因为99.99%公共WiFi没Radius等高级认证)。
WPA2网络上的开源解密部分截图为证:
开源解密代码
解密四次握手包拿密钥(公共场合很容易)
小朋友可以多读源码,练好内功,为国家信息安全做贡献。
结论:公共场合WiFi无论是否加密,安全效果是一样的。知道了密码,黑客轻易就解密了。
五、公共WiFi上微信、支付宝安全吗?
黑客钓鱼厉害,公共WiFi就不能用了吗?您又错了! 无论用流量、还是WiFi,仅仅是传输介质,使用流量一样会遭到伪基站钓鱼,安全和您手机上的APP软件有关。
大公司的微信、QQ、支付宝等用了椭圆曲线、双向数字证书等非对称强加密保护,安全措施甚至高于银行,是安全的。但用QQ有泄露账号的风险,任何人通过WiFi都拿不到微信账号(对微信团队赞)。
不安全因素在你手中:
(1)安卓手机容易因为乱装APP导致病毒,这才是最大的风险。苹果手机没越狱的,一般不会中毒。换句话:安卓手机有被同事、网络植入病毒的风险,有金融支付的安卓手机尽量不要安装不明软件,很多公共场合黑客钓鱼WiFi会诱导您去下APP才能上网,千万别上当。
公共场合,特别是网页浏览器,不要随意输入自己的手机号、密码等,容易被盗号。其实在公司也是公共场合,也一样的道理,能保证老板不窃听您的通信? 关闭路由器的WPS、upnp等不必要功能,减少安全风险,大多路由器阻挡不了黑客PJ密码。 所以:微信、QQ、支付宝等使用APP登录是安全的。
六、连接商家WiFi有隐私泄露吗?
首先什么是隐私有争议,不输入密码的情况下,以下信息确实会泄露:
手机MAC地址(wifi模块打开,不连接wifi也会被泄露) 手机型号、QQ等账号,微信不会。 访问过的网页,用过哪些APP软件。 实体店wifi已经被公认为打通线上线下,和客人互动体验,连接电商平台的入口。各大商场都在纷纷布局WiFi,目的就是采集商业数据,二次营销。在不转卖用户数据的情况下,全球WiFi都是合法的,如同电商也是趋势,不可逆转。 智能路由器和专门的网关设备也会采集这些数据。(建立国家公安部门明确立法,哪些可以采集,哪些不能采集)。
七、总结:WiFi是相对安全的
最后我们来总结一下:
公共WiFi没有所谓安全联盟或者认证的概念。因为顶级黑客不需要建立钓鱼WiFi,也可以用无线注入技术直接管控任何公共WiFi,没有任何技术可以防御AirPcap等拦截篡改空气里面的WiFi信号,AP隔离也无效。 但公共WiFi、有线网、3G流量一样仅仅是传输介质,通常是相对安全的,但确实存在账号和密码被钓鱼窃听的风险(可能是黑客、智能路由器、也可能是商家等任何人) 公共WiFi使用手机QQ会泄露QQ号码,微信不会泄露十分安全,支付宝也是十分安全的。 公共WiFi,手机型号等有被泄露风险,但是否是隐私有争议,没有明确的司法解释。 公共WiFi无论是否加密,安全都是一样的,因为黑客也知道密码。 公共WiFi在网页上,千万不要输入密码,被盗号可能性极大。 公共WiFi提示你下载安装软件,千万别上当,安卓手机尤其当心。 在不输入密码的情况下,请大胆用公共WiFi。 即使有黑客窃听,微信、支付宝等大公司产品是很安全的,使用大公司APP软件,登录密码不会被窃听。 真正的安全在您的手中,您的手机本身是否安全,才是最重要的。 结论:黑客虽然不可防御,但最主要的安全在你手中掌握,公共WiFi也是安全的,不乱下载,乱输入,就请放心上看新闻、聊天等,不要妖魔化。 更多技术性攻防请参看百度文库: http://wenku.baidu.com/link?url=m4MitEmFuyphOZKFNDG-NtEWr7mUXKLmEJC9Hfe01q2l1PPUju9rzN021eBK5RcIsTlnbB0zXHAzVgjnX2L6UJHhejUzo8xoI4iXnKpXjK3
http://pan.baidu.com/s/1eQkZZSu
另外请不要全面侮辱黑客二字,真正的黑客是那些执着于技术研究的人,为国家信息安全保驾护航的人,一个国家需要真正的顶级黑客,不然网络时代怎么和美国抗衡? 也请大家不要像X点无线一样,一知半解到处恶意传播WiFi方面的骇人听闻,唯恐天下不乱,建议去购买两个AirPcap先学学无线注入技术吧。
| 
[复制链接]
IP卡
狗仔卡
发表于 2014-12-23 13:45
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
