无线网络安全揭秘:开放WiFi真的比WPA2-PSK更危险吗?

本文深入分析开放WiFi与WPA2-PSK加密网络的实际安全风险,揭示常见安全迷思,探讨流量解密、中间人攻击等威胁,并提供实用的安全防护建议。

引言

每当安全专家向普通用户推荐最重要的5项IT安全实践时,其中一项通常是:“避免使用开放WiFi”、“使用开放WiFi时始终使用VPN"或"使用开放WiFi时避免访问敏感网站(如网上银行)“等。

我的看法?这些都是无稽之谈。但让我们不要急于下结论,先来分析所有的风险和因素。

在以下分析中,我做了两个假设。第一个是我们比较完全没有加密的公共WiFi热点(称为开放网络),并将其与使用WPA2-PSK的公共WiFi热点进行比较(希望WEP多年前就已消亡)。另一个假设是存在安全意识的人,以及那些不在乎安全的人。他们只是想浏览网页、访问Facebook、写电子邮件等。

风险

让我们讨论人们使用公共热点时面临的不同威胁,与家庭/工作网络使用相比:

  1. 当网站会话数据未受SSL/TLS保护(且cookie未使用安全标志保护)时,同一热点上的攻击者可以获取会话数据并用于窃取会话/登录凭证。受影响的典型协议:
  • HTTP网站
  • HTTPS网站但cookie未加密
  • 未加密的FTP
  • 未使用SSL/TLS或STARTTLS的IMAP/SMTP/POP3

  1. 攻击者可以向HTTP流量中注入额外数据,用于漏洞利用或社会工程攻击(例如用恶意软件更新Flash播放器)- 参见Dark Hotel活动

  2. 攻击者可以使用SSLStrip等工具将用户流量保持在明文HTTP上,窃取密码/会话数据/个人信息

  3. 攻击者可以监控和跟踪用户活动

  4. 攻击者可以直接攻击用户机器(例如SMB服务)

WPA2-PSK安全性

那么,为什么公共WPA2-PSK WiFi比开放WiFi更安全?剧透警告:并不是!

在一般的公共WPA2-PSK场景中,所有用户共享相同的密码。猜猜看,整个流量可以通过以下信息解密:SSID + 共享密码 + 四次握手的信息。https://wiki.wireshark.org/HowToDecrypt802.11

如果你想看实际操作,这里有一个很好的教程: http://www.lovemytool.com/blog/2010/05/wireshark-and-tshark-decrypt-sample-capture-file-by-joke-snelders.html

解密的WPA2-PSK流量

任何访问相同WPA2-PSK网络的用户都知道这些信息。所以他们可以立即解密你的流量。或者攻击者可以设置一个具有相同SSID、相同密码和更强信号的接入点。现在,攻击者可以立即发起主动的中间人攻击。人们普遍认为(即使在ITSEC专家中)WPA2-PSK不容易受到这种攻击。我不确定为什么这个漏洞被留在协议中,如果你有答案,请告诉我。编辑(2015-08-03):我认为这里的关键信息是,没有服务器身份验证(例如通过PKI),不可能解决这个问题。

让我在这里链接我之前的一篇文章,其中有一个很棒的脚本小子工具: http://jumpespjump.blogspot.nl/2014/04/dsploit.html

总结一下,WPA2-PSK网络上的攻击者可以:

  • 解密所有HTTP/FTP/IMAP/SMTP/POP3密码或其他敏感信息
  • 可以发起主动攻击,如SSLStrip,或修改HTTP流量以包含漏洞利用/社会工程攻击
  • 可以监控/跟踪用户活动

开放网络和WPA2-PSK网络之间的唯一区别是,开放网络可以被技能水平为1/10的攻击者入侵,而WPA2-PSK网络需要技能水平为1.5的攻击者。这就是区别。

真正的解决方案

  1. 网站所有者、服务提供商应部署适当的(可信)SSL/TLS基础设施,保护会话cookie等。每当用户(或安全专业人员)注意到服务质量问题(例如缺少SSL/TLS)时,必须通知服务提供商。如果不做任何改变,建议放弃该服务提供商并选择更安全的。用户必须使用HTTPS Everywhere插件。

  2. 通过修补软件上的软件来保护设备免受漏洞利用,使用安全浏览器(Chrome、IE11 + 增强保护),禁用不必要的插件(Java、Flash、Silverlight),或至少通过点击播放使用它。此外,使用漏洞利用缓解工具(EMET、HitmanPro Alert、Malwarebytes AntiExploit)和良好的互联网安全套件是个好主意。

  3. 网站所有者必须部署HSTS,并可选地将其站点包含在HSTS预加载列表中

  4. 不要盲目点击虚假下载(如虚假Flash播放器更新)

  5. VPN的好处通常被高估了。VPN提供商只是另一个提供商,就像热点提供商或ISP一样。他们可以做同样的恶意行为(流量注入、流量监控、用户跟踪)。特别是当人们使用免费VPN时。“普通用户"会选择免费VPN。此外,VPN连接往往会断开,几乎没有任何VPN提供商提供故障安全VPN。另外,用一个好的VPN服务的价格,你可以购买一个好的数据计划并使用4G/3G而不是低质量的公共热点。但除此之外,在移动操作系统(Android、iOS等)上,我强烈建议使用VPN,因为用户实际上不可行知道哪个应用程序使用SSL/TLS,哪个不使用。

  6. 使用位置感知防火墙,当网络不可信时,将其设置为公共。

  7. 在小型企业/家庭环境中,购买具有访客WiFi接入功能的WiFi路由器,可以为访客网络设置与其他网络不同的密码。

问"你使用开放WiFi吗?“或"你在开放WiFi上进行网上银行吗?“是错误的问题。好的问题是:

  • 你信任你使用的网络运营商吗?
  • 客户端是否分离?
  • 如果客户端没有分离,网络上是否可能有恶意意图的人?
  • 你有安全意识吗?你遵循前面提到的规则吗?如果你确实遵循这些规则,它们将在任何网络上保护你。

尽管叫我白痴,但我在使用开放WiFi时确实进行网上银行、电子购物和所有其他敏感操作。每当我从HTTP网站订购披萨时,攻击者可以知道我的地址。这已经在电话簿中,在Facebook上,以及在我用智能手机拍摄的关于我的猫并上传到互联网的每张照片元数据中(http://iknowwhereyourcatlives.com/)。

大多数文章和研究出版物都充满了关于人们可以从他人那里学到什么的FUD(恐惧、不确定性和怀疑)。也许它们已经过时了,也许没有。但在开放WiFi上使用Gmail是完全安全的,没有人能够阅读我的电子邮件。

PS:我知道"普通用户"不会找到我的博客文章,不会开始阅读它,不会理解我写的一半内容。但即使他们这样做了,他们也不会修补他们的浏览器插件,支付VPN费用,或检查会话cookie。所以他们注定要失败。这就是生活。接受它吧。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次