太可怕了! 五一外出还敢连WiFi?
來源?| Hacker Noon
作者 |?Patrick F. Wilbur
編譯?| 王國璽
出品 | 區塊鏈大本營(blockchain_camp)
你是否會這樣:每到一個地方都會先問有沒有免費 Wi-Fi,密碼是啥,一會兒不玩手機就手癢,以至于經常有網友這樣說:我這條命是 Wi-Fi 和手機給的。相應的,商家為了吸引顧客,紛紛在店面內架設起免費 Wi-Fi ,這簡直就是我們這些「沒 Wi-Fi 會死星人」的福音。
但俗話說得好:免費的才是最貴的。在享受免費 Wi-Fi 便利的同時,你不知道這背后是商家的福利還是別有用心之人在釣魚,也許你已經在互聯網上裸奔了...
當下,網絡釣魚案件層出不窮,其背后的主因往往都是最容易被人忽視的免費 Wi-Fi 。
免費 Wi-Fi 背后都藏著怎樣的貓膩?我們又該如何防范免費 Wi-Fi 帶來的侵害?計算機安全研究人員、密碼朋克 Patrick F. Wilbur 為我們揭開了免費 Wi-Fi 背后的黑產。
我為你們感到擔憂
在一個網紅咖啡連鎖店的門口,一輛汽車停在停車場上不起眼的角落里。令人奇怪的是,這輛汽車的儀表盤上連著一根長長的天線,而車里一個穿著連帽衫的黑客正趴在電腦上,雙手飛快地敲擊著鍵盤。人來人往中,他連續竊聽了幾個小時的 Wi-Fi 流量,這期間,沒有人打電話報警,甚至沒有人注意到異常。
如果人們使用 HTTP(超文本傳輸協議,一種網絡傳輸協議,數據未經加密)這種不安全的方式訪問?Netflix?或谷歌網站,就可能會暴露自己所有的瀏覽活動;如果撥打網絡電話,那么號碼也可能會被泄露。
這些大量泄露出來的未經加密的信息,就給了黑客可乘之機,黑客可以隨意攔截并修改這些信息,從而對潛在受害者發動網絡釣魚攻擊。這就是大多數黑客執行 Wi-Fi 攻擊的劇本。
這篇文章中,我沒有攻擊任何人,也不是教你如何攻擊別人,只是構建了一個工具來展示人們在使用互聯網時可能被攻擊性的場景。
這個工具就像評估個人信譽的信用評分,只不過這里被評估的對象變成了安全漏洞。? ? ?
這是一張我和朋友青少年時期的照片,我不知道是如何被泄露到網上的。
我的主業是一名計算機安全研究人員,私下里,我還是一名密碼朋克。
在過去幾年中,我在 Magic 公司研究如何讓互聯網更安全、更高效,Magic 公司的使命是構建一個面向未來的去中心化互聯網骨干網。
在假期期間,我開展了一項收集公共 Wi-Fi 流量的實驗。由于當下互聯網上的所有內容都本該被加密,因此許多人錯誤地認為互聯網上所有流量都是經過加密的,以至于有人認為我的實驗并沒有什么意義。不幸的是,事實并非如此。
自從媒體曝出火狐瀏覽器插件 Firesheep 可能會被黑客用來入侵臉書賬戶以來,互聯網的不安全狀態已經有所改善,但是距離真正的安全還有很長的路要走。當下在你使用公共網絡時,攻擊者仍然可以篡改你的數據包,對你進行網絡釣魚。
實驗結果顯示,互聯網安全的評分非常糟糕,這意味著大量的在線流量仍然完全沒有被加密,因而公眾很容易受到網絡攻擊。
監控互聯網流量非常容易
監控一個網絡中發送的網絡流量
圖片來源:網絡封包分析軟件 Wireshark 團隊
監控你的互聯網流量真得很容易...
首先,找到一個簡單的目標
放假期間的一個優勢就是,許多潛在的受害者都聚集在購物中心周圍。這大大降低了攻擊者執行攻擊的難度,攻擊者只需在人們習慣于尋找未經加密的免費 Wi-Fi 的位置設置虛假的“店鋪免費 Wi-Fi ”,大量私人設備就會愿者上鉤。
而且,購物中心的一個好處就是,這些潛在的受害者都沉迷在買買買的愉悅中,他們通常都會花好多錢,而且會以很高的頻率花錢,并且為了省事,這些受害者大概率都已經關閉了自己銀行(和他們自己的)能夠全天候即時檢測欺詐的安全防范服務,這讓他們成為黑客攻擊的完美目標。
然后,非常“慷慨”地部署你的免費公共 Wi-Fi 網絡
部署免費公共 Wi-Fi 網絡的秘訣在于什么?
完全不使用加密手段,或
使用預共享的密鑰,并將密鑰告訴所有人(與#1沒有什么區別)
不安全是免費公共 Wi-Fi 的“胎病”,使用免費公共 Wi-Fi 的用戶很容易受到多種攻擊模式的網絡攻擊。
最后,使用一種簡單的公共 Wi-Fi 攻擊方法
想要在公共網絡上嗅探流量,你可以參照業界已有的各種攻擊方法:
攻擊者可以使用即買即用的無線網絡適配器(就比如說淘寶上賣的 USB 網絡適配器)或軟件定義無線電(一種無線電廣播通信技術,它基于軟件定義的無線通信協議而非通過硬連線實現)來自動地監聽流量,這些設備可以監聽很大范圍內的流量,同時無需連接或以其他方式指向攻擊者所在的網絡。
當然了,硬件并不是必須的,攻擊者還可以使用免費軟件(例如網絡封包分析軟件 Wireshark )。在這種情況下,攻擊者可以連接到一個網絡并從其他人那里混雜地檢索網絡數據包(這種方法僅在交換網絡上行不通)。
攻擊者可以部署專用的欺騙性的無線安全審計設備?Wi-Fi pineapple,通過廣播新的 Wi-Fi 網絡來主動攔截數據包,不過這種方法只可用于執行攻擊。
以上三種攻擊方法都非常簡單,即使那些初入安全領域的小白或只會網上找代碼的腳本小子都可以輕松地使用它們。
在民眾使用 Wi-Fi 上網時,法律是否能夠有效保護民眾的權益?并不會。
雖說害人之心不可有,但防人之心不可無,你不應該把自己的網絡安全防御措施建立在法律條文上,寄希望于法律會保護你免受網絡攻擊的侵害。
免責聲明:谷歌在拍攝街景數據時攔截并記錄了在其他人的網絡上發送的未經加密流量,而這些流量中包含密碼和各種私密的信息,這讓谷歌坐上了被告席,最后不得不以 700 萬美元賠償的代價才解決了這些訴訟。谷歌財大氣粗,可以請得起頂級的律師來作辯護。所以掂量一下自己,不要做頑皮的事!我拒絕對你行為的后果負責。
免費 Wi-Fi 如何曝光你的隱私?
執行攻擊用到的設備
上圖展示的是價格低廉的 Alfa 牌 USB 無線網絡適配器,它配有高增益的遠程天線,能夠進行自動監控。
pineapple(菠蘿)是熱情好客的象征,所以我也建立了一個 Wi-Fi pineapple?來“結交”新朋友
免費的訪客 Wi-Fi 設置
作為一個在遵守法律和保護人們隱私方面十分上心的人,我在遵守誠實、征得同意、匿名以及保護數據隱私的原則下設計了一個白帽(用自己的黑客技術來維護網絡關系公平正義的黑客,測試網絡和系統的性能來判定它們能夠承受入侵的強弱程度的黑客)實驗。
與谷歌街景不同,我不會偷偷摸摸地在內存或磁盤中記錄應用程序的有效數據負載、任何實驗對象的身份信息、甚至任何關于哪些主機連接到哪些服務器的元數據。
類似于所謂的 Wi-Fi 菠蘿,我建立了一個自制的強制門戶認證( Captive Portal ),但它的不同之處在于它沒有冒充任何附近的或常見無線網絡的名稱(因為我不希望用戶對誰運營著這個 Wi-Fi 網絡產生任何誤解)。
Wi-Fi 網絡的 SSID ( Service Set Identifier ,服務集標識。SSID 技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡,每一個子網絡都需要獨立的身份驗證,只有通過身份驗證的用戶才可以進入相應的子網絡,防止未被授權的用戶進入本網絡)“免費訪客 Wi-Fi ”似乎已足夠常見,同時 Wi-Fi 網絡向用戶提供了一個很好的強制門戶認證啟動頁面,其中包含一個并不是很長的用戶協議,該協議讓用戶知曉并同意自己的信息和通信被監聽。
總的來說,這是一種非常友好的進行實驗的方式。真正的攻擊者通常會使用更具攻擊性的方式。
那些將要被我攻擊的人,你是多么不堪一擊
為了進一步保護用戶的隱私,我編寫了一個小工具來收集有關應用程序流量使用的協議和端口類型的統計信息。
它只需要三行代碼:
2p.setfilter(‘’)
3p.loop(0,handler)
按照設計,我的這個工具并不會記錄任何IP地址, MAC 地址(物理地址),主機名或應用程序數據,也不能以任何方式做出更改來記錄這些數據。它僅用于一個目的:以監控盡可能少的方式記錄被攻擊者使用的數據包和端口類型。
實際上,我的工具與企業級訪問接入點和路由器(例如優比快 Ubiquiti Networks 的產品)提供的深度數據包檢查和情報搜集功能相比有著更少的監控,這確保了在監控方面我不會比系統管理員更為過分,更不用說那些在侵犯用戶隱私方面十分過分的互聯網服務提供商( ISP )。為了進一步幫助保護隱私,我確保將任何強制門戶認證的日志寫入臨時文件系統( tmpfs ),防止出現任何可能存在的使用日志泄漏。
再一次,我認為我的實驗在隱私保護方面做得非常好。
黑帽黑客(與白帽黑客相對,惡意的黑客)可以簡單地使用網絡封包分析軟件 Wireshark 來查看被攻擊者所有應用程序的數據以及他們訪問過的網站。
誰會使用這些“免費 Wi-Fi ”?
這是一個下午的時間里連接到我的 Wi-Fi 的人數:
已連接 49 臺設備。
100% 接受強制門戶認證中的 ToS 并發送數據。
0 個設備使用虛擬專用網絡( VPN )。
有著研究背景的讀者可能會注意到我的實驗中引入了選擇性偏差( Selection Bias ,指的是在研究過程中因樣本選擇的非隨機性而導致得到的結論存在偏差)。收集到的統計數據僅包括那些明顯掃描過開放式 Wi-Fi 網絡,從中選擇了我的網絡并接受強制門戶啟動頁面上的條款的人員。選擇公共 Wi-Fi 網絡的這些人更有可能進行一些其他的高風險上網行為。但是,實驗中需要人工交互認證的事實突出了執行這些類型的攻擊是多么容易。
盡管附近還存在其他免費的開放式網絡,而我又通過強制門戶認證主動給自己的實驗增加難度,但仍然有近 50 人連接了我的免費 Wi-Fi 。
此外,鑒于使用我的 Wi-Fi 網絡首先需要人工交互認證這一事實,實驗結果必然不包括任何物聯網( IoT,Internet of Things )設備,僅包括那些人為的直接與 Wi-Fi 網絡相連的設備(例如移動電話和筆記本電腦)。
互聯網數據都經過加密了?No!
不幸的是,加密升級后的 HTTPS 協議( 超文本傳輸安全協議,是以安全為目標的 HTTP 通道,簡單講是 HTTP 的安全版)也不足以保護你。事實上,即使那些你知曉并信任的主流網站也經常會錯誤地實施 HTTPS 。
通過我的 Wi-Fi 菠蘿的流量中超過 42% 的是未經加密的 HTTP 流量。
在統計數據方面,我的工具忽略了非 IP 協議的流量。在收集了 489330 個 IP 數據包之后,結果顯示:
42% 的流量經過未經加密的 HTTP 協議使用的計算機 80 端口,相比之下, 57% 的流量經過加密后的 HTTPS 協議使用的計算機 443 端口。
其中共有 2638 個未經加密的域名解析服務( DNS,Domain Name System,用于找到網絡真實的 IP 地址)數據包。
其中共有 18 個未經加密的網絡時間協議( NTP,Network Time Protocol,用于計算機時鐘的時間同步協議)數據包。
原始協議,計算機端口及其數量和百分比如下所示:
2udp?8992??4??????0.000817444260519
3udp?5090??482????0.0985020333926
4udp?67????49?????0.0100136921914
5udp?5353??64?????0.0130791081683
6udp?5355??37?????0.00756135940981
7udp?53????2638???0.539104489813
8udp?137???73?????0.0149183577545
9udp?3544??54?????0.011035497517
10udp?123???18?????0.00367849917234
11udp?443???203????0.0414852962214
12tcp?993???63?????0.0128747471032
13tcp?5223??79?????0.0161445241453
14tcp?9001??350????0.0715263727955
15tcp?5228??199????0.0406678519608
16tcp?80????207538?42.4126867349
17tcp?53????12?????0.00245233278156
18tcp?443???277467?56.7034516584
19489330
網絡中非常核心的域名解析服務數據包和網絡時間協議數據包可能并不安全, 42% 的流量是通過計算機 80 端口發送的未經加密的 HTTP 流量,這些情況非常令人擔憂。
是什么造成了這樣的結果呢?
那些萬維網瀏覽器本應強制實施的 HTTP 嚴格傳輸安全策略呢?因為這些流量是非萬維網流量還是因為某種其他誤報?
由于道德上不允許我在更深層次檢查網絡的數據包,因此我的研究受到了局限。
后來我在自己的實驗室里進行了第二個實驗來檢查一些熱門網站的行為,在這里總結一下我的發現:
即使有的話,熱門網站也并不總是能正確實施 HTTP 嚴格傳輸安全策略(即使是那些大的網站,如谷歌和?Netflix)。
公共 Wi-Fi 網絡的用戶仍然容易受到中間人攻擊( MITM,man-in-the-middle,通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間,這臺計算機就稱為“中間人”),隱私數據監聽和其他形式的攻擊。
該死!但是,不要相信我說的話......
在你嘗試查找數據以找到漏洞來反駁我的結論之前,讓我幫你谷歌搜索一下,我非常努力地證明自己是錯的,但后來我查到了谷歌發布的 HTTPS 協議網絡加密報告,該報告使用谷歌 Chrome 瀏覽器用戶的匿名使用情況報告和谷歌自己的內部數據作為數據來源,以確定萬維網上 HTTPS 協議的使用情況。
看過谷歌報告(截至 2018 年 12 月 29 日)后,我被震驚了:
11-31% 的網站都是在沒有加密的情況下被訪問的(通過未經加密的 HTTP 協議訪問)。
大約 7% 的谷歌產品的流量未經加密(在某些谷歌產品中這個比例高達 10% )。
發送給谷歌的未經加密流量中的 82.6% 來自于移動設備(這讓我覺得再次考慮使用谷歌開發的操作系統十分尷尬)。
谷歌的報告與我的工具記錄的統計數據并沒有太大差別,特別是考慮到選擇性偏差以及我不科學的統計方式,即更多的人喜歡一邊喝著咖啡一邊使用移動設備(請注意 82.6% 這個數字)而不是坐在筆記本電腦前。
我并不是說我們需要害怕這些攻擊,實際上,我們需要的不僅僅是害怕,而是認識到問題的嚴重性,并做好防范措施。
我建議你小心那些穿著連帽衫,車上布滿天線,在光天化日之下用技術手段監視著你的黑客,不過,這里有些跑題了。
攻擊者如何攻擊你?
下面我將討論那些能給使用公共 Wi-Fi 的人們以某些方式帶來損害的一些廉價的硬件和免費工具(例如無線適配器, Wireshark , Bettercap 等)。
網絡釣魚
首先,為了成功地執行網絡釣魚攻擊,攻擊者可以定位一些可通過 HTTP 協議訪問且沒有正確實施 HTTP 嚴格傳輸安全策略的熱門站點,也可能會利用域名解析服務解析請求,因為所有這些域名解析服務的數據包都是不安全的,從某種意義上來說,強制門戶認證網頁的工作原理就是在每次被攻擊者想要顯示啟動頁面時,給出偽造的域名解析服務數據包以執行中間人攻擊,這種攻擊方式很容易通過修改域名解析服務數據包來實現,因為時至今日域名解析服務從未得到有效的安全保護。
營造一種緊迫感
理想情況下,我們假想的攻擊者可以通過不斷催促來營造一種緊迫感,讓被攻擊者更容易犯錯誤(例如忽略地址欄中很長的一段經過略微修改的假冒網址)。
具體的做法有,強制門戶認證頁面提示被攻擊者輸入其電子郵件地址,并給被攻擊者提供非常短的時間來檢查電子郵件以獲得驗證鏈接,被攻擊者如果超出時間就會被強制下線,可以說,這種釣魚登陸頁面加電子郵件誘導的方式可謂是網絡釣魚的絕佳手段。
最好的情況是,一旦獲取了被攻擊者的密碼并確認這個密碼是正確的,使用偽造的錯誤信息讓他們離開網絡可能會減慢被攻擊者注意到入侵并重置電子郵件密碼的速度。
捏造一個熟悉的借口
使用數字證書認證機構 Let’s Encrypt 頒發的加密證書保護假想攻擊者自己的網絡釣魚頁面應該很容易,至少這會讓釣魚頁面看起來應該“很安全”,足以愚弄那些瘋狂的網癮患者,讓他們將自己的數字身份換成幾分鐘的 Snapchat(閱后即焚的圖片分享應用)。
如果有人想要為更高檔的網站定位憑證,也許是一個真正實施 HTTP 嚴格傳輸安全策略的網站,但這并不是天方夜譚,就像許多不在預加載列表中的熱門網站一樣,攻擊者可以一直等待直到潛在受害者的計算機發出網絡時間協議的請求。
通過使用未來的時間來偽造網絡時間協議響應,被攻擊者的電腦就會在瞬間“穿越”到未來,被攻擊者瀏覽器緩存所有 HTTP 嚴格傳輸安全策略的緩存條目在新的“當前”系統時間被改正之前可能會失效。
然后,攻擊者可以執行降級攻擊( Downgrade attack,一種對計算機系統或通訊協議的攻擊。在降級攻擊中,攻擊者故意使系統放棄新式、安全性高的工作方式(如加密連接),反而使用為向下兼容而準備的老式、安全性差的工作方式(如明文通訊)),HTTP 的 301 重定向到網絡釣魚頁面,被攻擊者就變成了砧板上的魚,只能任人宰割。
誘導潛在受害者
我們假想的攻擊者可能會欺騙潛在受害者安裝一些后門或僵尸網絡軟件。從那時起,攻擊者可以在方便的時候隨時攻擊受害者的設備,信息和聯系人網絡,除此之外,身份盜竊或錢財盜竊將變得輕而易舉。為了誘導潛在受害者,攻擊者可能會在計算機上彈出一些關于發現病毒或間諜軟件的“提醒”,并建議潛在受害者安裝一個實際的病毒來“修復”它。
這種攻擊方法要求潛在受害者實際允許安裝攻擊者的軟件。除此之外,我們假想的攻擊者可以在潛在受害者的萬維網瀏覽器中挖掘加密貨幣,這樣不需要誘導潛在受害者同意安裝軟件。
點擊未經加密的純文本“大獎”
此外,我的工具監測到的通過 5090 端口發送的流量十分有趣,因為它是普通商業 VOIP ( Voice over Internet Protocol,即網絡電話)移動應用程序用于通過會話發起協議( SIP , Session Initiation Protocol )發起電話呼叫的端口。一些移動網絡服務提供商同樣以這種方式卸載語音流量。我十分驚奇于能在統計數據中看到這個端口的流量!雖說會話發起協議的有效負載是加密的,但數據的頭部信息未經加密,并且通常會包含明確的電話號碼信息。
這種方法在我們假想的黑客對受害者及其聯系人網絡進行語音網絡釣魚攻擊時特別有用,因為網絡電話中的號碼很容易被篡改,這樣使攻擊者的來電電話看起來很熟悉。如果我們假想的黑客想要通過網絡電話入侵你或你的生活,他或她可以收集這些電話號碼并用這些號碼做出很多惡作劇。
公共 Wi-Fi 問題很嚴重
在本文中,我并不是試圖過度夸大公共 Wi-Fi 的問題,但我確實希望人們開始注意到這些問題,并將這些問題放在心上。
我們在提高互聯網基本的安全性方面取得了進步,但它并不是每一處都足夠安全。長期以來仍有很多未能解決的問題。即使在今天,在公共的 Wi-Fi 網絡上,攻擊者也可以:
查看你要訪問的網站(只需要攔截域名解析服務的請求);
通過初始 HTTP 頁面加載執行降級攻擊和中間人攻擊;
通過篡改網絡時間協議的數據包向計算機注入未來的時間來規避 HTTP 嚴格傳輸安全策略(要知道這些 HTTP 嚴格傳輸安全策略確實都有到期日);
對你的敏感信息進行網絡釣魚;
對你,你的朋友和你的家人進行語音網絡釣魚;
注入虛假內容/廣告甚至使用你的 CPU 挖掘加密貨幣;
誘騙你安裝和運行不安全的插件,就比如說版本過時的 Flash 軟件(存在容易被黑客利用的漏洞);
偽造來自當地醫療衛生機構的關于食源性疾病報道的頭條新聞,并觀察人們紛紛出走逃難;
偽造一個強制門戶認證頁面,將其偽裝成來自附近的網絡并獲取一些聯系人信息;
通過強制你點擊電子郵件中的鏈接以保持連接來驗證聯系人信息,從而營造一種緊迫感,接著可能會誘導你輸入電子郵件密碼。
那么,你該如何保護自己?
實際上,你可以做一些常識性的保護措施來使自己成為一個不太容易被攻擊的目標。
默認情況下,你至少應該使用虛擬專用網和自動使用 HTTPS 加密訪問鏈接的瀏覽器插件 HTTPS Everywhere。
如果這些你都沒有,那么你確實應該重新考慮下你的安全狀況了。
?
報名 | EOS智能合約與數據庫開發
16歲保送北大、麻省理工博士、
EOS黑客松全球總決賽前三名
5月8日晚,精彩技術公開課與您不見不散!
推薦閱讀:
精華篇 | 王嘉平:突破不可能三角「異步共識組Monoxide」(附PPT)
不改變比特幣, 如何擴容?
20k~80k,螞蟻金服等大廠招人啦!想趕上這波人才荒,你要掌握這些...
京東 60 天嘩變!CTO 成優化第一人 | 暢言
《互聯網人嘆氣圖鑒》
硬核粉絲 | 清華雙胞胎“YCY Dance Now”殺進超越杯編程大賽決賽
異構計算=未來?一文帶你秒懂3大主流異構
他說:當一個程序員決定告別996,什么都有可能發生!
老鐵在看了嗎??
總結
以上是生活随笔為你收集整理的太可怕了! 五一外出还敢连WiFi?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: HDU - 3966(树链剖分)
- 下一篇: SFTP上传下载文件工具类