酷应用

央视再爆重大无线安全风险，小小APP只是缩影

百家作者：绿盟科技 2018-04-02 10:59:14

央视近期爆出的无线安全问题，归结起来就是来自于躺在你我手机中的无线共享软件。大量个人、组织、企业单位的WIFI密码被共享在云端和后台，等着被“广而告之”。

整个报道过程有大量的验证过程，尝试验证在包括：居民小区、非经场所、企业办公楼、银行、国家机关单位等不同环境下的“偷密”效果，毫无悬念WIFI共享软件都在后台找到了对应的WIFI登录密码，顺利的登录未经授权允许的无线网络中。

从风险场景上来区分，使用APP自动连接热点，本质属于非法内联范畴（【名词解释】在未经允许或授权情况下，非法或暴力获得登录密码接入私人无线网络的行为统称为非法内联）。非法内联在有线网络就一直存在，比如典型的穷举法，暴力破解登录密码。但穷举或是其他传统的攻击方式，需要花费大量时间和学习成本才能支撑和执行攻击操作。但现在大量的无线共享APP，将攻击成本压缩到零，变成了一个没有技术门槛的体力活，被攻击人承受压力是以往的几倍甚至几十倍。

值得注意的是在无线网络，并不仅仅局限于一种攻击方式，已经发现并持续对无线网络造成影响和危害的还有：非法外连、无线钓鱼、非法私接、无线干扰（DDoS）、无线中间人攻击等，以及无线网络漏洞，都会增加无线网络和有线网络的安全风险。那针对WIFI共享软件就没办法了吗？其实还是有办法的。

针对个人和家庭防御WIFI共享软件可以通过以下方式进行预防：

定期修改无线路由器的登录密码，一般建议每半个月或一个月修改一次。

很多家用的无线路由器都已经具备同时创建多个SSID的能力，建议给家中的智能电器家居、主人、客人分别创建一个独立的SSID，这样方便家庭的网络管理和初步的网络隔离。

针对企业面临的WIFI密码共享问题可以通过两种方式来进行防御：

第一，定期或不定期统一更改WALN的登录密码。

优点：没有投入成本，只需要运维人员按照规则进行操作即可。

缺点：每个登录密码都会有使用周期，但登陆密码会最终输入到智能设备中，如其中存在WIFI共享APP，那密码就会被上传后台，造成密码泄露。这种方法本质上不能根治，只能延缓。

第二，在原WLAN环境中补充无线接入认证管理和无线网络边界防御，将原来裸奔的无线网络武装起来。

优点：

1.设备在没有通过无线接入认证之前，虽可获取热点密码，但无法访问网络资源，同时进行AP端的二层隔离，杜绝端到端的访问和攻击。

2.配合无线网络边界防御，对无线网络以及周边环境进行不间断防御监听，实现可信用户放行，不明用户的非法登录有效阻断和实施告警。

缺点：会对WLAN建设增加投入成本。

网络安全近几年在国内已经得到了高度的关注和重视，也形成了一整套安全防御机制和针对措施，有众多的网络安全产品做支持。但无线网络安全从最早高校出现钓鱼WIFI，到富士康员工私自搭WIFI非法获利300多万，12315晚会的无线钓鱼演示，WPA2的安全漏洞，以及最近央视曝光的WIFI共享软件等事件可见，无线安全还有很长的路要走，任重而道远。同时也在不断提醒我们无线网络安全与我们近在咫尺，并在时时刻刻影响着每个人、每台智能设备、每个无线网络和每个有线网络。

CCTV央视网《经济半小时》------- 偷密码的“万能钥匙”

绿盟安全无线防御系统（SWD）基于自主研发，将安全、无线、企业应用融合于一身的下一代智能无线安全防御产品。具有强大的无线安全控制力，创新的无线入侵防御、无线防火墙。通过安全无线探针7*24小时无死角监听、探测被防护环境，实时发现非法内网行为信号，实时无线阻断，杜绝非法内联的发生。

SWD产品的主要优势

领先的无线攻击防御引擎

针对无线网络架构的组合攻击，无线攻击检测引擎通过一体化关联分析技术，有效识别，确保无线攻击无处藏身。

先进的无线检测与阻断技术

针对不同的无线设备，结合发现、学习、反馈等过程，动态调整安全策略，自动匹配有效的阻断方式，完成对非法无线的阻断。

全方面的安全审计与预警

通过安全无线探针探测，实时发现非法攻击行为，如：攻击类型、BSID、信道等一系列信息，通过邮件等方式进行安全预警。

灵活的接入认证管理

系统本身为标准AAA + Radius Server + Portal 架构，系统支持：短信、二维码、账号密码登录、微信等接入认证方式，同时系统还提供认证登录页面定制。