使用社交网络账号密码登陆”免费wifi”将带来严重的后果

从理论上讲,人们都普遍认同”天下没有免费的午餐”,但在实际生活中,有些人则选择性地遗忘这句至理名言,更倾向于另一句谚语”搭顺风车”。就目前的情况来看,人们在不遗余力搜寻服务提供商所提供的”搭顺风车”机会的同时,无意中也将自己的私人数据(例如:社交网络登录凭证)与第三方共享。 有大量的现实案例可以证明你不应该受到”免费午餐”的诱惑。在这里我们不得不提到最近在俄罗斯发生的一起事件,有一家总部位于圣彼得堡的俄罗斯公司通过智能Wi-Fi为咖啡馆提供免费WiFi热点。一些有识之士设法录制了客户登入智能Wi-Fi网络方法的视频,并将这些视频放到了YouTube上。 读者们可以从刊登在Siliconrus.com网站上的这篇文章中了解详细内容(用俄语写的,能用在线翻译器翻译),在这里我们将解释一下这一技术:当客户连接到智能Wi-Fi网络时,提示需要通过其社交网络账户配置文件获得授权。在这个案例中,使用的账号来自于俄罗斯最流行的社交网络VKontakte。 然而,用户并非是在vk.com网页上输入账号和密码,而是通过非加密通讯直接在智能Wi-Fi网站上输入,而这却是最不安全的登入网站的方式。 因此用户一旦用自己的VK配置文件登入,vk.com网站的登录密码也将一并提供给智能Wi-Fi提供商,同时隐藏在附近的网络犯罪分子都能通过笔记本电脑窥探到。 就智能Wi-Fi本身而言,有一篇文章 –以及上述所提到的视频–可以证明该服务提供商保存了用户登录凭证,并将其用于两个目的:其一,在VK.com网站的客户网页上发布广告;其二,凭借大量的权限在vk.com网站上的用户配置文件安装应用程序,包括:访问各种个人数据以及代用户发布更新内容。 就第一种情况而言,用户会被警告有广告发布到他们的’墙’上,而第二种情况下就算安装了应用程序也不会有任何提示或警告。要想找到这些被偷偷安装的应用程序,用户不得不查看他们的Vkontakte应用程序列表。不言而喻,几乎很少有用户会定期检查这些内容。 假冒网页模仿社交网络登陆页面或网银工具的情况也时有发生。事实上,这正是广泛存在的网络骗局’网络钓鱼’的基础。该技术将虚假网页乔装打扮成官网,诱使用户输入登录凭证。一旦得手后,即将其运用于各种网络犯罪活动–例如,未经用户允许访问私人数据。 其中真正让人感兴趣的是服务提供商这种极度存在争议的做法。服务提供商在设计这一行动计划时是否故意为之,这一点我们依然无法确定,但即便不是用户仍将处于数据被盗的威胁之下。 与所有传统意义上的网络钓鱼案例类似的是,我们有一个行之有效的解决方案:预防与警惕。我们一如既往地建议用户要注意官网的URL网址,一旦发现URL网址与你原本认为的网址有出入的话,千万不要输入用户登录凭证。还需要注意的是,所有社交网络网站和网银服务都已采用了更加安全的且对通讯进行加密的HTTPS协议,因此我们强烈建议不要在任何网页头上没有”锁”图标的网页上输入密码。 我们应该注意到最新的卡巴斯基安全软件能够检测到此类不安全的WiFi网络,并警告用户不要连接这样的热点。

从理论上讲,人们都普遍认同”天下没有免费的午餐”,但在实际生活中,有些人则选择性地遗忘这句至理名言,更倾向于另一句谚语”搭顺风车”。就目前的情况来看,人们在不遗余力搜寻服务提供商所提供的”搭顺风车”机会的同时,无意中也将自己的私人数据(例如:社交网络登录凭证)与第三方共享。


有大量的现实案例可以证明你不应该受到”免费午餐”的诱惑。在这里我们不得不提到最近在俄罗斯发生的一起事件,有一家总部位于圣彼得堡的俄罗斯公司通过智能Wi-Fi为咖啡馆提供免费WiFi热点。一些有识之士设法录制了客户登入智能Wi-Fi网络方法的视频,并将这些视频放到了YouTube上。

读者们可以从刊登在Siliconrus.com网站上的这篇文章中了解详细内容(用俄语写的,能用在线翻译器翻译),在这里我们将解释一下这一技术:当客户连接到智能Wi-Fi网络时,提示需要通过其社交网络账户配置文件获得授权。在这个案例中,使用的账号来自于俄罗斯最流行的社交网络VKontakte。

然而,用户并非是在vk.com网页上输入账号和密码,而是通过非加密通讯直接在智能Wi-Fi网站上输入,而这却是最不安全的登入网站的方式。

因此用户一旦用自己的VK配置文件登入,vk.com网站的登录密码也将一并提供给智能Wi-Fi提供商,同时隐藏在附近的网络犯罪分子都能通过笔记本电脑窥探到。

就智能Wi-Fi本身而言,有一篇文章 –以及上述所提到的视频–可以证明该服务提供商保存了用户登录凭证,并将其用于两个目的:其一,在VK.com网站的客户网页上发布广告;其二,凭借大量的权限在vk.com网站上的用户配置文件安装应用程序,包括:访问各种个人数据以及代用户发布更新内容。

就第一种情况而言,用户会被警告有广告发布到他们的’墙’上,而第二种情况下就算安装了应用程序也不会有任何提示或警告。要想找到这些被偷偷安装的应用程序,用户不得不查看他们的Vkontakte应用程序列表。不言而喻,几乎很少有用户会定期检查这些内容。

假冒网页模仿社交网络登陆页面或网银工具的情况也时有发生。事实上,这正是广泛存在的网络骗局’网络钓鱼’的基础。该技术将虚假网页乔装打扮成官网,诱使用户输入登录凭证。一旦得手后,即将其运用于各种网络犯罪活动–例如,未经用户允许访问私人数据。

其中真正让人感兴趣的是服务提供商这种极度存在争议的做法。服务提供商在设计这一行动计划时是否故意为之,这一点我们依然无法确定,但即便不是用户仍将处于数据被盗的威胁之下。

与所有传统意义上的网络钓鱼案例类似的是,我们有一个行之有效的解决方案:预防与警惕。我们一如既往地建议用户要注意官网的URL网址,一旦发现URL网址与你原本认为的网址有出入的话,千万不要输入用户登录凭证。还需要注意的是,所有社交网络网站和网银服务都已采用了更加安全的且对通讯进行加密的HTTPS协议,因此我们强烈建议不要在任何网页头上没有”锁”图标的网页上输入密码。

我们应该注意到最新的卡巴斯基安全软件能够检测到此类不安全的WiFi网络,并警告用户不要连接这样的热点。

网络与基础设施的网络安全

“物联网”一词作为行业专业术语已使用多年。”物联网”开创了一个崭新的时代:越来越多的家用电器和汽车进行了联网。而与此同时,许多企业也同样将目光瞄准了这一潜力巨大的商机。然而,正如你所知,人们不禁开始问道”这些联网的设备与汽车是否足够安全能免于网络威胁的侵扰”。 尤金•卡巴斯基在《美国今日》日报对其的专访中再一次阐述了对于”物联网”的看法。其表达的观点与美国联邦贸易委员会主席Edith Ramirez在美国拉斯维加斯举办的CES消费电子展上所发表的言论完全一致。毫无疑问,网络安全依然是无法回避的问题。专家们依然未能找到最佳方案以解决这一重大的安全问题,就如同我们目前所面临的其它类型网络安全问题一样。 现实中,由于物联网所拥有的巨大潜力,因此被公认为是一个”全新市场”。根据《福布斯杂志》这篇文章的报道,思科(Cisco)公司宣称到2020年,所谓的”万物网”的经济价值将增加到19万亿美元。而高德纳公司估计,到2020年物联网的产品/服务提供商的收入将达到3000亿美元。IDC公司则预测物联网解决方案的市场规模将从2013年的1.9万亿美元扩大到2020年的7.1万亿美元,相当于增加了3.7倍。 用于记录个人生物特征、健康和位置信息的电子设备—例如目前全球流行的可穿戴设备—也同样属于物联网的范畴。然而就风险程度而言,物联网并非遍布荆棘。 由于此类设备完全属于个人范畴,并非是我们日常生活和社会活动所必须用到的基础设施。换句话说,你完全可以不去使用可穿戴设备或云服务,如此便能有效降低数据泄露风险。这完全取决于你自己。 另一方面,真正的物联网主要由系统或服务构成,即传统上被称为”M2M”(机对机)的机制。这些设备借助环境/社会基础设施紧密集成(或预计将被集成),因此网络安全与我们所讨论的关键基础设施同样非常重要。 例如,你们中有些人可能已听说过智能电网或微电网。这些系统能通过对家庭用电量与风能/太阳能或燃气热电联产系统的发电量进行平衡,从而对区域用电量进行管理。而安装在每一户家庭的智能电表则用于对此进行监视。据报道,日本东京电力公司已安装了数千台此类智能电表。因此在不久的将来,我们完全可以说这些初期安装的智能电表为智能电网的最终部署奠定了具有重要意义的基础。 那网络犯罪分子是如何利用这一机制的漏洞实施网络犯罪活动的呢?例如,他们完全可以将错误的用电量数据发到智能电表从而减少或增加所付电费。 我们不难发现的是,还有许多其它针对重要基础设施的网络攻击存在。例如,网络犯罪分子可以通过黑客入侵掌控整个交通控制系统,从而制造交通恐慌、故意引发车祸甚至破坏整个公共交通系统。这些事件不仅会影响到我们的日常生活,甚至还会为整个社会造成经济损失。 诸如此类的服务中断事件在过去常有发生,包括软件/系统内产生的bug/混乱,或者发生自然灾害。就目前而言,网络攻击造成的事故也加入了这一行列。 我们需要从这些事故中吸取经验,随后将更加安全的机制运用到物联网系统中,从而将其作为社会/生活基础设施的一部分使用。更准确地说,物联网系统的运营商和开发商理应扣心自问: 1. 我是否将用户便利性置于安全性之上? 如何有效降低网络攻击者的可利用性十分重要,如此便能提高系统安全性。用户的使用便利性同样能为网络攻击者所利用。去年有关默认设置下使用的网络摄像头造成个人隐私遭侵犯的事件见诸于各大媒体。这一事件告诉我们设备制造商应将安全问题考虑在内。还有不要忘了对数据和通讯进行加密。 2. 我是否认为”只读”系统就是安全的? “只读”系统其实并不安全。应用程序只是在内存中暗暗运行,因此网络攻击者完全可以找到黑客入侵的方法。网络设备通常安装Linux操作系统,而众所周知Linux操作系统内存在大量可被利用的漏洞。一旦网络攻击者完全控制了设备,就能黑客入侵整个物联网系统。 3. 我是否认为我的设备就永远不会被劫持? 每一台设备都有可能被劫持。因此对包括连接节点在内的整个系统安全进行监控就显得十分重要。此外,拥有借助每一个节点检测异常现象的方法也同样重要。是否还记得Stuxnet病毒成功渗透那些保护严密的伊朗核设施? 4. 我是否削减了测试成本? 渗透测试十分重要。应该依照您的系统安全需求认真地组织测试。因此我们强烈建议在你的正常开发过程中进行这些测试。 5. 我是否认为安全其实并不需要? 安全是最重要的要求之一。从规划/部署系统或服务的一开始就应该将其考虑在内。缺少足够安全措施的部署,物联网就无法成为我们安全生活/社会基础设施的一部分。 如果无法给出正面的回答,这不仅对于开发人员或公司是一个非常严重的问题,同样还会危及到其他普通大众。

提示