Menu
Woocommerce Menu

澳门新萄京官方网站67677FBI警告所有用户出门时不要连接公共场所提供的WiFi

0 Comment


原标题:FBI警告所有用户出门时不要连接公共场所提供的WiFi
来源:蓝点网在西方圣诞节假期到来的时候美国联邦调查局 (FBI)
也在其官方网站上发布建议称用户出门时不要连接公共WiFi。不要连接公共WiFi这个建议并不是FBI首先提出的
,
 但时至今日这个建议也依然是有效的并且所有人都应该听从。FBI表示当您出门时请勿让您的计算机、手机、平板电脑或者其他设备自动连接到那些免费的公共WiFi无线网络。图片来自于
PxHere这有可能会给您带来潜在的安全风险,因为黑客可以通过这些公共 WiFi
嗅探连接的设备并拦截往来的各种流量。为什么不该使用公共WiFi:在提示中FBI称连接公共
WiFi 相当于是用户向黑客发送公开邀请 ,
邀请这些具有不良目的访客者访问自己的设备。在用户连接免费的公共 WiFi
的时候黑客自然也可以连接
,在处于同一个局域网中的时候黑客便可借机发动攻击。FBI
表示黑客可通过局域网向用户设备发送恶意软件、可以窃取用户的账号密码、甚至远程开启摄像头和麦克风。当然对于专业人士来说
FBI
的这种说法可能有些危言耸听,但不可不提的是有黑客确实有方法能够达成这种攻击。实际上这种攻击主要依赖局域网中间人劫持以及利用设备的潜在漏洞,没有人可以保证自己的设备完全没有漏洞。HTTPS是个不错的方式但还不够:中间人劫持这类攻击并不能直接影响到通过HTTPS加密的连接
,遗憾的是现在仍然还有少数服务通过HTTP连接。通过明文 HTTP
协议进行连接那么黑客就可以进行劫持 ,
甚至在用户下载某些文件时将其替换为特制的恶意文件。同时FBI还表示HTTPS
协议也不能完全保证安全 ,
因为如果你连接的是黑客拥有的钓鱼WiFi则黑客可以解密流量。当然还有种情况是黑客如果入侵并控制某些公共WiFi路由器
,
那也同样可以达到解密HTTPS流量窃取内容的目的。完全使用流量上网?做不到啊!FBI给出的建议就是不要连接任何公共
WiFi 包括公共场合例如商场甚至是酒店无线网络 ,
转而使用蜂窝网络流量。尽管从安全角度来说这是个非常中肯的建议但完全使用蜂窝流量上网,可能绝大多数的用户都无法长时间做到吧。尤其是在酒店内如果想看看流媒体视频或者直播或打开计算机处理办公事务的话,单纯靠流量上网估计会有压力。不过如果可以的话请出门在外时将智能手机或平板电脑的
WiFi 关闭 , 防止自动扫描WiFi连接或者泄露MAC地址。


Web安全存有协议漏洞导致https漏洞的出现,毕竟web安全就是https安全的核心;近期在黑帽大会上,业内记者了解到有黑客爆出web浏览器的基础架构中存有二十四个危险程度不同的安全漏洞,这些漏洞让https的安全保护荡然无存。

所有的无线设备都不安全了?

如果你朋友圈里有一两个略懂一些技术的好友,那么他一定在昨天已经转发过了相关的新闻。

昨天10月16日,多年来保护我们无线连接安全的WPA2加密协议日前被成功破解。比利时鲁汶大学的Mathy
Vanhoef发现了WPA2加密协议的漏洞,并披露了实施攻击的详细细节。Mathy
Vanhoef计划将在11月1日举办的计算机和通信安全(CCS)2017会议和Black
Hat欧洲会议上发表这一研究成果

WHEN YOU SET up a new Wi-Fi network, you’re probably conditioned by
now to check the “WPA2” box. You may not specifically know when or why
someone advised you to do this, but it was solid advice. Wi-Fi
Protected Access 2 is the current industry standard that encrypts
traffic on Wi-Fi networks to thwart eavesdroppers. And since it’s been
the secure option since 2004, WPA2 networks are absolutely everywhere.
They’re also, it turns out, vulnerable to cryptographic attack.

澳门新萄京官方网站67677 1

image.png

用于保护无线路由器和联网设备不被入侵的 WPA2
安全加密协议,应该已经被破解了,利用这些漏洞的影响包括解密、数据包重播、TCP
连接劫持、HTTP内容注入等。意思就是,只要你的设备连上了WiFi,都有可能被攻击。有人称,吃瓜群众修改
WiFi 密码也没用,只能联系厂商坐等解决方案。事实果真如此吗?


大家知道HTTPS能对HTTP进行加密,以能有效保护用户的页面请求和web服务器返回的页面不会被窃取,而SSL和后来的TLS协议是允许HTTPS利用公钥进行加密验证web客户端和服务器的;当https
漏洞出现攻击者就能利用该漏洞发起中间人攻击,攻击者一旦进行劫持浏览器后就能利用这些漏洞中的大多数对话进行重新定向,从而也就有效窃取用户凭据或者从远程秘密进行执行代码;不过针对这些业内相关专家也表示,中间人攻击也并不是攻击者的终极目的,很多时候利用中间人攻击,攻击者们还可以进行实现许多更加容易的攻击,并也能被迫成为一个十分坚定的攻击者,不过这也并非是最坏的情况,这种攻击对于电子商务应用来说就是一种毁灭性的灾难。

WPA2被破解 全世界的WiFi设备都不安全了?

在这一消息被披露之后,有些媒体认为,由于目前几乎所有的WiFi加密都使用了WPA/WPA2加密协议,这一协议被黑客破解之后,全世界的WiFi上网设备都不安全了。

澳门新萄京官方网站67677 2

image.png

这一漏洞名为“KRACK”,是“Key Reinstallation
Attack”(密钥重安装攻击)的缩写。Mathy
Vanhoef表示,通过研发,其发现WPA2在四路握手(four-way
handshake)时,允许拥有预共享密码的新设备加入网络。

KRACK”的发现者——比利时天主教鲁汶大学的一位安全专家Mathy Vanhoef
在他的报告中这样强调:

要发起一次成功的攻击行为,黑客要诱使用户重置在用的安全秘钥,这个过程需要不停地重复截获加密的4次握手信息。当用户重置秘钥时,相关的参数例如增量传输数据包的数量(Nonce),还有接收数据包数量(重放计数器)都会被重置为初始值。出于安全考虑,秘钥通常都是一次性的,但在WPA2协议中却并不是如此定义的。因此只要利用好WPA2网络连接过程中的
4 次加密握手过程,就可以完全绕过用户设置的无线密码。

在最糟糕的情况下,攻击者可以利用漏洞从WPA2设备破译网络流量、劫持链接、将内容注入流量中。换言之,攻击者通过漏洞可以获得一个万能密钥,不需要密码就可以访问任何WAP2网络。一旦拿到密钥,他们就可以窃听你的网络信息。
这次漏洞的影响的范围很大,包括:Android、Linux、Apple、Windows、OpenBSD、
MediaTek、 Linksys等。

澳门新萄京官方网站67677 3

微软:我们早就补了

微软于10月10日发布安全补丁,使用Windows
Update的客户可以使用补丁,自动防卫。我们及时更新,保护客户,作为一个负责任的合作伙伴,我们没有披露信息,直到厂商开发并发布补丁。

还有针对https
漏洞业内专家还怀疑在https和ssl/tls中可能还有数百个安全问题,只是很多黑客在准备黑帽大会的演讲都没有及时进行深入研究罢了;对于中间人攻击根本不是什么新技术,由于各种原因攻击者可以设法在一个浏览器会话过程中多个时刻进行加入回话,甚至一些攻击者还能使用包括MD5冲突在内的各种方法进行伪造或者窃取SSL证书,毕竟在会话达到认证协商的加密端之前,ssl协议就是采用一种明文传输进行dns和http请求的,所以攻击者还可以在这些步骤中的任一时刻进行劫持会话;当然了在攻击者使用中间人攻击的时候,也会通过https
漏洞进行修改https链接将用户重定向到恶意http网站中;当在中间人攻击得逞之后,攻击者完全可以再来发动2种高度的危险攻击,即:

苹果iOS和Mac:我们也补了

在这方面苹果做的就十分的迅速,苹果已为iOS/macOS/watchOS/tvOS制作“KRACK”WPA2漏洞补丁,苹果于
16 号上午向外媒 iMore 的 Rene Ritchie 表示 —— 该公司早已在
iOS、TVOS、watchOS、以及 macOS 的 beta
版本中进行了修复。当前新版软件已向开发人员放出,消费者们也将很快用上。
研究人员 Mathy Vanhoef 在当天上午披露,该 WPA2
漏洞影响千万级路由器、智能机、PC、以及其它设备,苹果公司的
Mac、iPhone、iPad
产品线也都未能幸免。
通过“重装密钥攻击”(KRACK),攻击者们可以从脆弱的 WPA2
无线网络加密协议入手,解密网络流量、嗅探信用卡好卡、用户名 /
密码、照片、以及其它敏感信息。
在某些配置中,攻击者甚至可以在网络中注入数据、远程安装恶意软件等。由于漏洞影响所有使用
WPA2 加密协议的设备,设备制造商们必须立即解决这个严重的问题。
万幸的是,苹果通常会迅速修复严重的安全漏洞。所以对于该公司的最新声明,我们并不感到意外。

1、使用cookie篡改攻击。这种攻击就是攻击者会利用浏览器在用户会话期间不断进行更改cookie的情况,并将同一个cookie反复标记为有效的状态,如果攻击者能够提前进行劫持来自网站的cookie然后再将其植入用户的浏览器中,则用户的认证信息到达https站点的时候,攻击者就能获得用户凭证并以用户身份进行登录了;

谷歌移动/谷歌Chromecast/ Home/ WiFi:我们知道了

我们已经知道问题的存在,未来几周会给任何受影响的设备打上补丁。安卓用户难道就做i代笔?现在安卓用户也没太好的办法补救,都是些缓解措施,比如使用
VPN。因为这个攻击方法相当于强制重置你的信任热点连接,不太好防御。用
wep又容易被破解。

2、重定向攻击。攻击者可以在URL中注入Javacript脚本并修改新选项卡让受攻击者定向到一个恶意登录页面。

我们:难道就应该恐慌吗?

黑客搞你普普通通的家用路由器干嘛!搞不搞你心里还么有点数?


KRACK攻击原理致其影响程度有限

这个概念验证攻击被称作“KRACK”(密钥重装攻击),详细破解方法和视频演示已在
krackattacks.com
网站上公布。
尽管这一漏洞几乎影响了所有的WiFi上网设备,利用KRACK漏洞,对于近端攻击或者劫持信息的人来说,这个手法很好用。但这一攻击手法并无法批量对无线客户端进行攻击,只能一个一个地攻击客户端,使用户在不知情的情况下连接到伪造的AP。因此,其攻击效率很低下。对动辄数以亿计的无线设备来讲,个人中招的机率非常低。

WPA2

WPA全称为Wi-Fi
Protected
Access,有WPA和WPA2两个标准,是一种保护无线网络安全的加密协议。(摘自wiki)
WPA2是经由Wi-Fi联盟验证过的IEEE
802.11i标准的认证形式。WPA2实现了802.11i的强制性元素[1],特别是Michael算法由公认彻底安全的CCMP消息认证码所取代、而RC4也被AES取代。
我们都知道连接到大多数WIFI是要输入密码的,这一过程不止用于防止蹭网,其实更重要的事验证你的手机和路由器之间的通信没有被别人窃取。
在WPA这种加密方式被大规模应用之前,加密方式主要是WEP(Wired Equivalent
Privacy),由于每个数据包都使用相同的加密密钥,如果窃听者分析了足够的数据,则可以使用自动化软件找到密钥。
WEP的加密方式在这三种加密中是安全性最弱的, 2001年8月,Fluhrer et
al.发表了针对 WEP
的密码分析,利用RC4加解密和IV的使用方式的特性,偷听几个小时之后,就可以把
RC4的钥匙破解出来。


提高WIFI设备的安全

1.WEP
早就被证明不安全了,即使这次公布的漏洞是针对WPA/WPA2的,也不应该把你的路由器设置为使用WEP。
2.及时更新无线路由器、手机,智能硬件等所有使用WPA2无线认证客户端的软件版本(在有补丁的前提下)。
3.有条件的企业及个人请合理部署WIPS,及时监测合法WiFi区域内的恶意钓鱼WiFi,并加以阻断干扰,使其恶意WiFi无法正常工作。(WIPS的重要性)
4.无线通信连接使用VPN加密隧道及强制SSL规避流量劫持与中间人攻击造成的信息泄漏。
5.国标WAPI无线认证暂不受该漏洞影响。
6.不用修改你现在的 Wi-Fi
密码,因为修改了也没用。WIFI的加密的协议都已经给破解了,知道你的密码也不是什么难事。
7.如果你的邻居是做安全方面的人员,尽量远离他(搬家),因为攻击你家的WIF需要从物理上靠近
8.少连接公众的wifi,如火车站,商场,机场。最好的办法就是使用4G,外出的时候办一张流量卡。在外出支付、财产等应用网站,请使用手机切换4G模式,避免个人的信息,帐号,密码泄露,增强自身网络安全防范的意识。
9.想要获得更安全的体验,最好的办法还是关注自己路由器厂商的固件更新在第一时间升级。如果路由器厂商明确不对你的路由器型号进行维护了,那……趁这个机会赶紧买个新路由器吧,也正好凑凑这两年智能路由器的热气儿。
10.krackattacks网站还给出了一些更专业的建议:比如禁用路由器的客户端模式(例如中继模式)和802.11r(快速漫游)。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图