萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 用免費wifi上網購物的風險性

用免費wifi上網購物的風險性

  用商家提供的免費WiFi上網購物和操作網銀安全嗎?

  不安全。

  你會用那些免費WiFi上網購物和操作網銀嗎?

  有可能。不過我會准備一張銀行卡專門用於這種情形下的網絡購物,這張卡余額不會超過1000元,並使用和其它銀行卡完全不同的密碼。

  明知不安全你還用?

  如我在《安全風險漫談之一:後門和借錢》中所述,處理不同價值的資產時,對風險的態度是不一樣的。通過控制風險涉及的資產價值,可以實現方便和安全之間的平衡。不因噎廢食,也不因食忘噎。

  免費WiFi為什麼不安全?

  很多免費WiFi傳輸都不加密,加密的那些密碼也很容易得到——問店員。最重要的是:當你接入一個叫“Starbucks”的接入點時,你無法確認這是星巴克提供的,還是猩疤客提供的。需要強調的是:這些是WiFi的通病,免費不免費都一樣存在這些問題。

  網銀不是都HTTPS通信嗎?HTTPS不是安全的嗎?

  網銀不是有“U盾”嗎?用“U盾”還不安全嗎?

  這類問題大概相當於“穿防彈衣還會被槍打死嗎”?

  HTTPS是一個大概念,其中包含了若干種算法和子協議,這些算法和子協議中的某些已經被找到了攻擊方法。例如BEAST、CRIME、Padding、Lucky 13等技術。

  設計的理想和實現的完美是兩回事。據我們測試,特別是一些手機上的浏覽器,在HTTPS的具體實現上有比較嚴重的問題,很容易受到攻擊。

  最重要的是:攻擊網銀根本用不著和HTTPS或是U盾直接對抗。

  面對一座固若金湯的城池,只能硬拼強攻?攻擊者的目標並非突破城牆,而是進入城內。所以三千年前希臘人就選擇了另一條路,讓認為自己有HTTPS和U盾就可高枕無憂的特洛伊人吃了一驚,然後把他們都殺了。

  當你連接了一個“猩疤客”的WiFi接入點,攻擊者有非常非常多的方法在你的系統上植入木馬(就像3000年前希臘人干的那樣)。

  而在系統被植入的木馬控制後,當希臘士兵藏在木馬裡進入特洛伊城之後,一切就是另一回事了。

  我們協助某銀行處理過一個案件:用戶在使用了U盾的情況下,通過網銀被盜轉近百萬元。這事沒有公開報道,我也不能透露具體犯罪手段,不能提供當事人姓名聯系方式家庭住址等細節來證明真有其事,我甚至都不能告訴你是哪家銀行,因為要替客戶保密。不過,如果公開報道可以讓你相信此事——2011年4月15日《新京報》第A14版刊載過一起案件:某用戶在使用了U盾的情況下,被盜轉30萬元。

  如需要看更多案例請搜索關鍵字“U盾 + 仍被盜”。

  注1:前些年我們和國內一些銀行合作,對網銀安全進行過長時間的研究,結論是:至少對當時的網銀來說,攻擊者入侵用戶電腦後,在有U盾的情況下仍然可以實現盜取。銀行後來根據我們提交的報告進行了改進,現在好多了。譬如在使用了有顯示屏和按鍵的新型U盾後,類似前面提到的《新京報》所刊載那起案件中的犯罪手法就無效了。

  注2:“U盾”是用於身份認證的有存儲數字證書等安全功能的USB安全設備的俗稱之一,本文中泛指所有此類設備。
copyright © 萬盛學電腦網 all rights reserved