本文为卡巴斯基实验室最新研究报告的翻译版本,略有修改、删除。英文原文链接请见“阅读原文”
作者:Denis Legezo
翻译:山神
无线Wi-Fi网络采用共享介质传输的本质意味着黑客或罪犯只需要位于无线接入点附近就可以窃听和拦截网络流量。配置不当的无线接入点加密方式或没有任何加密的情况下发送数据将对用户数据安全性构成严重威胁。
可以通过在无线接入点加密流量来保护数据的私密性。事实上,这种保护方法现在被认为对于所有Wi-Fi网络都是必不可少的。但在实际部署时又是什么情况呢?公共Wi-Fi网络上的流量是否始终加密?不同国家的情况有何不同?卡巴斯基安全网得到的统计数据可以回答所有这些问题,我们使用自己的安全威胁数据库中的数据,比较了不同国家的Wi-Fi流量加密情况。统计了超过一万个无线接入点数量的每个国家(这显然不包括南极洲和其他没有足够数据得出任何结论的地区)的信息。
无线网络安全概况
使用卡巴斯基安全网(KSN)的统计数据,我们分析了来自全球近3200万Wi-Fi热点的数据。
全球公共Wi-Fi热点加密类型概况
全球大约24.7%的Wi-Fi热点不使用任何加密。这基本上意味着通过使用能够以2.4GHz发送和接收数据的天线,位于无线接入点附近的任何个人都可以容易地截取并存储所有用户流量,然后浏览它们感兴趣的数据。幸运的是,现代网上银行系统和社交应用不传输未加密的数据。(利用HTTPS)是唯一阻止使用未加密流量的Wi-Fi网络用户在使用不安全无线接入点时泄露其密码和其他重要数据的手段。
使用WEP(有线等效保密)协议对Wi-Fi传输的数据进行加密的无线接入点大约占到分析数据的3.1%。 该协议是很久以前第一个被创建用于WiFi安全的协议,现在已被证明完全不可靠 - 黑客只需几分钟就可以破解它。 从数据安全的角度来看,使用WEP与使用开放网络没有太大区别。这个协议几乎已经被人遗忘了,但正如我们从上面的图表看到的,它仍然在被使用。
大约四分之三的无线接入点使用基于Wi-Fi保护接入(WPA或WPA2)协议族的加密。 该系列的协议目前相对是安全的。攻击WPA/WPA2所需的努力取决于其设置,包括热点所有者设置密码的复杂性。值得注意的是,黑客可以通过在会话开始时截取无线接入点和设备之间的握手信息来尝试解密“个人(WPA-Personal,PSK认证)”无线网络(公共接入点)的业务。 “公司”(WPA-Enterprise,802.1x/EAP认证)版本可以防护这种拦截。
可以注意到,在对Wi-Fi无线接入点的标准攻击期间,个人计算机可以平均每秒产生50到300个密钥。 如果您设置的加密密钥强度很高,则需要几年的时间来进行解密。然而,即使攻击者只有一台PC可供使用,也没有人可以保证您使用的密钥将是安全的。
总的来说,今天WPA/WPA2“个人”版本(AES加密)的安全性是相对安全的。大量存在的用于执行暴力和字典破解攻击的现成可用的公共工具(aircrack-ng和类似软件)以及大量的相关使用手册将是这种相对安全变得不安全。
不安全Wi-Fi无线接入点的地理位置分布
使用不可靠的WEP加密或不加密数据的Wi-Fi热点比例(按国家/地区统计)
我们要指出,无加密比例最高的国家为韩国(47.9%),法国(40.14%)和美国(39.31%)分别排在第9和第12位。
德国似乎是西欧国家中最安全的,通过WPA/WPA2协议加密保护了84.91%的无线接入点。
使用WPA/WPA2的Wi-Fi热点比例(按国家/地区统计)
但是,即使使用加密连接,您也不应完全依赖此安全措施。有几种情况可能危及良好加密的网络流量。 这些措施包括假冒无线接入点,重名或模拟的以假乱真(例如,TrainStation_Free或TrainStatio Free)SSID。 无论如何,照顾好自己的数据安全绝对是一个好主意。
给用户的建议
在咖啡馆,酒店,机场和其他公共场所使用开放式Wi-Fi网络时,有几个简单的规则可以帮助保护个人数据。
不要信任未受密码保护的网络。
即使一个无线网络需要密码才能接入,你也应该保持警惕。诈骗者可以在咖啡店找出网络密码,然后创建使用相同密码的伪造连接。这允许他们轻易窃取个人用户数据。您只应该信任企业员工为您提供的网络名称和密码。
为了最大限度地保护您的利益,每当你不使用Wi-Fi连接时关掉它。这也将节省您的电池寿命。我们建议禁用对现有的Wi-Fi网络自动连接功能。
如果你不是100%确定您所使用的无线网络是安全的,但你仍然需要连接到互联网,尽量限制自己基本的用户操作,如搜索信息。 您应避免输入社交网络或邮件服务的登录详细信息,绝对不要执行任何网上银行操作或在任何地方输入银行卡详细信息。
为了避免成为网络犯罪分子的目标,你应该能够在您的设备设置“始终使用安全连接”(HTTPS)选项。建议在访问您认为可能缺少必要保护的任何网站时启用此选项。
如果可能的话,通过虚拟专用网络(VPN)连接保护数据。使用VPN,加密的流量通过受保护的隧道传输,意味着罪犯将无法读取您的数据。
当然,您应该使用专用的安全解决方案。当连接到可疑的Wi-Fi网络时,他们通知用户任何潜在的危险,并防止任何密码或其他机密数据在有威胁时受到危害。
(后略)
英文原文链接请见“阅读原文”